概要
https://www.veracode.com/blog/genai-code-security-report/
詳細内容
## AI生成コードのセキュリティリスクに関するVeracodeレポート
https://www.veracode.com/blog/genai-code-security-report/
Veracodeのレポートは、AI生成コードが広くセキュリティ脆弱性を含んでおり、新しいモデルでも改善が見られないことを明らかにした。
**Content Type**: Research & Analysis
**Scores**: Signal:4/5 | Depth:3/5 | Unique:4/5 | Practical:5/5 | Anti-Hype:5/5
**Main Journal**: 80/100 | **Annex Potential**: 81/100 | **Overall**: 84/100
**Topics**: [[AIコード生成, セキュリティ脆弱性, OWASP Top 10, ソフトウェアサプライチェーン, アプリケーションセキュリティ]]
Veracodeの最新レポートは、AI生成コードが深刻なセキュリティ脆弱性を抱えている現状を明らかにしました。100以上の主要な大規模言語モデル(LLM)で生成されたJava、Python、C#、JavaScriptのコードをテストした結果、驚くべきことに、その45%がOWASP Top 10に挙げられる既知のセキュリティ脆弱性を含んでいました。特にJavaは72%ものセキュリティ失敗率を記録し、Cross-Site Scripting (CWE-80)のような基本的な脆弱性が関連するコードサンプルの86%で防御されていなかったことは、ウェブアプリケーション開発者にとって警鐘です。
さらに懸念されるのは、AIモデルのサイズやトレーニングの洗練度が向上しても、生成されるコードのセキュリティ品質は横ばいであり、全く改善が見られなかった点です。「よりスマートなAIモデルが自然に安全なコードを生み出す」という期待は、このデータによって否定されました。
この問題は、AIツールを直接利用している開発者だけに留まりません。オープンソースプロジェクト、サードパーティベンダー、あるいはローコード/ノーコードプラットフォームを通じて、知らぬ間にAI生成コードが自社のアプリケーションスタックに組み込まれている可能性が高いのです。これにより、データ侵害、企業の評判失墜、財政的損失といったリスクに晒されることになります。
本レポートは、AIがもたらす生産性向上の裏に潜む新たな大規模リスクを具体的に示しており、AI生成コードも従来のコードと同様に厳格なセキュリティスキャンと検証が不可欠であることを強く訴えかけています。スピードとセキュリティはトレードオフではなく、両立させるべき重要な要素であるという認識を、全ての開発組織が持つべきです。