エンジニアリング組織の大多数がAIを活用してコードを書いており、その多くはAIが生成したコードを本番環境に展開せずに運用しています。Fluxが実施したエンジニアリングリーダーおよび実務担当者を対象とした調査によると、AIが生成したコードを本番環境で稼働させている組織は全体の約半数に上りました。また、調査対象のほぼすべての企業が開発プロセスのいずれかの段階でAIを活用しており、1年以内に導入する予定がないと回答した企業は5%未満にとどまっています。

AIへの信頼が高い領域
開発チームがまずAIに任せるのは、繰り返しの多い定型作業です。ドキュメントの作成、ユニットテストの補完、シンプルな関数の実装など、ミスが起きても影響が小さく、すぐに発見できる種類のタスクです。リスクが高まるにつれて、AIの活用範囲は狭まっていきます。
開発速度の向上という点では、期待に近い成果が得られています。現在AIを利用しているユーザーの3分の2が生産性の向上を実感しており、同様の割合でプロトタイピングの高速化を報告しています。一方、期待外れに終わったのがエラー削減です。AI未導入の組織の約半数がエラーの削減を期待していましたが、実際に効果を実感している現行ユーザーは3分の1程度にとどまっています。
コード出荷前に積み重なるセーフガード
Fluxの創業者兼CEOであるテッド・ジュリアン氏は、AIコードの作成から本番投入までの間には、ある共通のパターンがあると指摘しています。チームはセーフガードを重ねてい きますが、特定の1つのツールを導入するだけで慎重なチームが即座に本番投入に踏み切るわけではないといいます。
「解放のきっかけとなる単一のセーフガードが存在しないこと自体が、一つの発見です。十分なツールを揃えたチームでも、あえてリリースしないという判断を下しています」と、ジュリアン氏はHelp Net Securityに語りました。
AIコードを本番環境に投入しないチームは、事前により多くの投資を行っています。そうしたチームはツールを一切導入していないケースが少なく、コード品質分析、ソフトウェアコンポジション分析、コーディングアシスタントと連携したトレーニングを積極的に取り入れています。一方、本番運用チームが先行しているのは自動コードレビューの分野です。
今回の調査では、躊躇しているチームを本番投入に踏み切らせる要因については踏み込んでいません。「どの閾値やツールの組み合わせが、慎重なチームを本番投入に動かすのかは特定できていません」とジュリアン氏は述べています。また、待機理由についても、企業規模や業種別の記録は行っていませんでした。
レビュー負担と可視性の欠如
課題となっているのがレビューです。コードレビューはすでに多くの開発者の週次業務の大部分を占めており、約10人に1人は勤務時間の40%以上をレビューに費やしています。AIが生成するコードが増えれば読むべきコードも増え、しかもそのコードはレビュアーが見慣れたスタイルと異なる場合が多いため、作業がさらに遅くなります。
AIがバグを増やすかどうかについては、意見が分かれています。「増えた」と答えた人が約3分の1、「減った」と答えた人が約3分の1、残りは「変わらない」という回答でした。
問題が顕著に現れているのが可視性の面です。多くのリーダーは週単位の変更内容を把握できていると答えていますが、約3分の1は把握できていないと認めています。見落とされやすい変更は、見過ごされたときのダメージが最も大きいものです。セキュリティ上の修正、依存関係の変更、パフォーマンスへの影響——これらはいずれも、気づかずに流れると高コストのインシデントにつながる種類の変更です。
ジュニア開発者の育成問題
最も多く挙げられたデメリットは、バグとはほとんど関係ありません。40%を超える組織が「ジュニア開発者の学習機会の損失」を問題点として指摘しています。この割合は、企業内でAIをどの程度普及させているかに関わらずほぼ一定で、一部のチームのみ、半数のチーム、全チームという導入規模を問わず、同様の水準で報告されており、上昇傾向は見られませんでした。
企業規模による違いはより明確です。開発者数が50人未満の組織では影響を感じていると回答した割合が31%であるのに対し、それ以上の規模の組織はすべて44%から46%の間に集中しています。「開発者数が50人を超えると、企業規模による差はほとんど見られなくなります」とジュリアン氏は述べています。
ジュニアエンジニアの育成に向けた道筋は、まだ模索中の段階です。「エージェントを管理するスキルは、生産性の高いチームメンバーになるために新たに習得できる能力です」とジュリアン氏は語り、「高度に自動化された環境においても、組織や市場に関するコンテキストの把握は成功に不可欠です」と付け加えました。一方で「従来のシニア開発者のスキルのうち、新しいエンジニアリングの秩序においても重要であり続けるため、ジュニアをシニアに育てるうえで伝承すべきものはどれか」については、いまだ不透明だと述べています。
セーフガードへの投資
こうした課題への対応として、企業は積極的に投資を行っています。約半数がコード品質分析ツールを導入済みであり、相当数の企業が自動レビュー、静的・動的セキュリティテスト、ソフトウェアコンポジション分析を追加しています。これらのカテゴリの多くは、ほんの数年前にはほとんど存在しませんでした。
働き方も変わってきています。80%を超える組織がAI生成コードに合わせて開発・リリースプロセスを見直しており、変更の大半は小規模なものです。最も多く取られた対応策はAI利用に関する新しいポリシーの策定で、次いで必須トレーニングの実施、コードレビューの強化が続きます。
こうした動向の背景には、ある共通の見方があります。回答者の約3分の2は、少なくとも一部の側面でAIが人間によるコードレビューを上回る可能性があると考えており、76%がAI生成コードのリスクを低減するツールに価値を感じると回答しています。企業はAIが引き起こした問題をAIで解決できると考え、その答えを探すために投資を続けています。
翻訳元: https://www.helpnetsecurity.com/2026/07/01/ai-generated-code-risks-security/