TokyoBlackHatNews

darkreading.com 4分で読了

セキュリティ上の懸念がVibe Codingの導入に影を落とす

頭部の3Dモデル、半分が赤、半分が青

出典:Piotr Malinowski(Alamy Stock Photo経由)

チームはAIによるコード生成で一定の成功を収めているものの、多くはセキュリティリスクが大きすぎて統合する価値がないと感じている。

Vibe codingは、GoogleのGeminiのような大規模言語モデル(LLM)に自然言語で指示を出し、しばしば人間が直接関与せずにソフトウェア開発プロセスを支援させる手法を指す言葉である。AI支援のコーディングは非常に人気があり、Snykの最高技術責任者(CTO)であるDanny Allanは8月にDark Readingに対し、過去3か月間でAIコーディングツールを使っていない顧客に会ったことがないと語っている。生産性向上の効果もあるが、セキュリティリスクも無視できない。

AI生成コードはしばしば脆弱性を含んでいることが多く、LLMは依然として幻覚(誤った情報の生成)を起こしやすい。そのため、現在の一般的なアドバイスは、AI支援コードを適切な場面で開発者の効率化に活用することだが、熟練した開発者によるコードレビューなしにVibe Codingで作成したアプリケーションを公開するのは災厄のもとである。

最近のオンライン投票で、Dark Readingは読者にVibe Codingが自社のアプリケーション開発戦略にどのように適合しているかを尋ねた。その結果は、AIコーディングアシスタントが有望でありながらも、重大なリスクが存在する複雑な現状を反映している。

読者がVibe Codingについて意見を述べる

約1,000件の回答のうち、24%の読者がVibe Codingツールによってより効率的に安全なコードをリリースできていると答えたが、残りの76%は利用していなかった。さらに、41%はセキュリティリスクが高すぎるため選択肢にならないとし、16%は条件が整えば利用の可能性があるとし、19%はまだ利用していないが今後利用する予定だと答えた。

76%の回答者がVibe Codingツールを積極的に利用していないと答えたが、それは技術の実験やAI支援コーディングを限定的に使っていないことを意味するわけではない。

Dark ReadingはOmdiaの主任サイバーセキュリティアナリストであるRik Turner(Omdiaの親会社Informa TechTargetはDark Readingも所有)に、特にVibe Codingをある程度成功裏に使っている24%と、セキュリティリスクのため使っていない41%についてコメントを求めた。

「あなたの数字はおおむね正しいと思います。ただし、一部の開発者は少しだけVibe Codingを使っているが、それを認めていない可能性があります(つまり、“シャドウVibe”が存在するかもしれません)」と彼はメールで述べている。

一部の企業は、AI生成コードやAIツールの利用を(知的財産の観点などから)潜在的なスティグマを理由に公言しないかもしれないが、「シャドウAI」の方がより深刻な問題である。公式なソフトウェア調達ワークフローの手間を省き、効率よく作業するために、一部の開発者が監視されていない、許可されていないAIツールを無断で開発プロセスに組み込んでいる場合がある。これはコンプライアンスだけでなく、セキュリティの問題でもある。

IBMの今夏の調査では、監視されていないAIツールがデータ漏洩のコストを高くしていることが詳述されている。「データ漏洩コストレポート2025」によれば、調査対象組織の5社に1社がシャドウAIによるサイバー攻撃を経験しており、それらの攻撃はシャドウAIがほとんどない、あるいは全くない被害者と比べて平均67万ドル高額だった。

Vibe Codingをセキュリティリスクとみなす組織を示す棒グラフ

Vibe Codingは責任を持って行いましょう

AI生成コードの一部の用途には大きなセキュリティ上の懸念があり、多くのチームが現時点で大規模な適用に慎重になっているものの、AIは望むと望まざるとにかかわらず、そして時にはセキュリティチームが自社ネットワーク内に存在することを知らない場合でも、現代のアプリケーション開発に不可欠な存在になりつつある。

したがって、チームがAIコーディングツールの導入や実験を行いたい場合は、セキュリティと透明性を中心に、これらのツールをどのように、またどのように使わないかについて明確なプロトコルやガイドラインを設けて行うべきである。ひとつのモデルとして、英国政府が最近発表したAIコーディングアシスタント活用に関するガイドラインが参考になるだろう。

このガイドラインでは、開発者がAIの可能性と限界を理解し、そのリスクや制約、リスク低減策を把握すること、幻覚(誤情報)を見抜くこと、ピアレビューを義務付けること、AIツールを正しく活用するための教育を受けることが強調されている。

生産性向上の効果は期待できるが、LLMは魔法ではなく、責任あるAI活用には経験豊富な人間の開発者が中心にいることを忘れてはならない。

翻訳元: https://www.darkreading.com/application-security/security-concerns-shadow-vibe-coding-adoption

ソース: darkreading.com
#AIガイドライン #AIコーディングアシスタント #CRMデータ漏洩 #SSLVPNセキュリティリスク #Vibeコーディング #アプリケーション開発 #コード脆弱性 #シャドウAI #動画生成AI #生産性向上

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開