AIは誰でもコードを書けるようにするが、書いたあとにどうするのか誰も教えてくれない。4月6日、『ニューヨーク・タイムズ』の記者Mike IsaacとErin Griffithが、AIプログラミングツール普及後のもう一つの側面を明らかにする記事を投稿した:**コード過多。**ある金融サービス会社がAIプログラミングツールCursorを導入したところ、**月産のコード量が2.5万行から25万行へ跳ね上がり——10倍の増加。その結果、100万行が審査待ちで滞留している。** セキュリティの新興企業StackHawkの共同創業者兼CEOであるJoni Klippertは、「彼らはコード納品量の増加、そしてそれに伴う脆弱性の急増についていけていない」と述べた。これは単発の事例ではなく、業界全体が直面する新しい現実だ。「コード工場」が「爆発」した--------AnthropicとOpenAIは昨年11月、それぞれ自社のプログラミングツールClaude CodeとCodexの基盤モデルをアップグレードした。報道によれば、このアップグレードにより、AIプログラミング・エージェントは「ときどき役に立つアシスタント」から「完全自動のコード生成マシン」へ変わった——少量の人間のガイドだけで、AIがごく短時間で、それまで数週間かかっていたプログラミング作業を完了できるようになった。Googleの2025年9月の調査では、ソフトウェア開発者の90%がAIを補助的に使っており、71%のプログラマーがAIでコードを書いている。コード生産の爆発がもたらした厄介な問題は:誰が審査するのか?Replitの社長兼AI責任者のMichele Catastaはこれを率直に認めている。**「社内の全員がプログラマーになってしまった。これは福音でもあり、呪いでもある。」**Metaの最高技術責任者(CTO)Andrew Bosworthは、今年の社内メモで次のように書いた。『以前は数百人のエンジニアが必要だったプロジェクトが、今は数十人で終わる。以前は数カ月かかっていた仕事が、今では数日で済む。』さらに彼は、AIがMetaのような組織に与える「影響は深遠」だと付け加えた。Cursorのエンジニアリング、プロダクト、デザイン責任者Tido Carrieroのまとめは、さらに直接的だ。『ソフトウェア開発の工場は、ある意味で既に崩れていて、私たちはこれらの部品を改めて組み立て直そうとしている。』セキュリティ脆弱性:見過ごされた代償-----------コード量の急増と同時に、セキュリティ審査能力は追いついていない。Tencent Technologyによると、2025年5月、Replitの従業員Matt PalmerがVibe CodingプラットフォームLovable上で作られたサイトアプリ1645個をスキャンした結果、**そのうち170個(約10.3%)に重大なセキュリティ脆弱性があった——誰でもログインなしでユーザーデータにアクセスでき、氏名、電子メール、財務情報、APIキーを取得できた。**PalantirのエンジニアDaniel Asariaは47分だけで、複数のLovableで展示されているアプリから個人の負債額、住宅住所、センシティブなプロンプトを抽出した。その後、セキュリティ研究会社EscapeはVibe Codingアプリ5600件以上を対象により大規模なスキャンを行い、2000件以上のセキュリティ脆弱性、400件以上の露出したキー、175件の個人プライバシーデータ漏えい事例を発見した。医療記録や銀行口座が含まれていた。しかも、これらのアプリの作成者の多くはセキュリティ知識を何ら持っていなかった。シリコンバレーのベンチャーキャピタルCostanoa VenturesのアドバイザーJoe Sullivanは「世界のアプリケーション・セキュリティエンジニアを全部足しても、米国企業のニーズには満たない」と述べた。彼は、大企業で人を雇えるなら、どの企業もこの種のポジションをさらに5〜10名増やしたいはずだと言う。Sullivanは、より見えにくいリスクも指摘している。AIプログラミングツールはローカルのノートPC上で動かすほど性能が良く、その結果、ますます多くのエンジニアが会社全体のコードベースを個人のPCにダウンロードしている。「これは6カ月前には誰も想像していなかった狂気のリスクで、今はそれを解決しようとしています。」オープンソース・コミュニティ:ガラクタPRの「DDoS攻撃」------------------AIがコードを生成することの衝撃は、オープンソース・コミュニティで特に顕著だ。Tencent Technologyによると、cURLの創設者であるDaniel Stenbergは、2026年1月に脆弱性の懸賞金プログラムを6年間続けた後に停止した。理由は予算ではなく、AIが生成した虚偽の脆弱性レポートが、運用チームを押し流したためだ。停止前の3週間で、cURLには20件の提出があったが、いずれも実在する脆弱性としては確認されなかった。StenbergはFOSDEM 2026大会で、2025年以前のcURLのセキュリティ報告のうち有効だった割合は約6分の1で、2025年末にはその比率が2分の1〜3分の1ではなく、さらに下がり「20分の1〜30分の1」になったと明かした。彼はこの現象を「オープンソースへのDDoS攻撃」と呼んだ。デジタルホワイトボードのスタートアップtldrawの創業者Steve Ruizは『ニューヨーク・タイムズ』に対し、**「昨年の秋から大量の異常なコントリビューターに気づき始めた。全作業を終えた後、最後のステップで契約に署名するところで突然離脱する人、明確な指示を無視する人、大量にガラクタの更新を投入する人がいた。私はこれらの多くはおそらくAIロボットだと判断し、今年1月に外部コントリビューションの導線を閉じた。」**「コードベースへのリスクは非常に高い」と彼は言う。「この衝撃は、チーム、コミュニティ、プロジェクトの評判を危険にさらし得る。」Ghosttyの作成者Mitchell Hashimotoもまた、2026年初頭に、審査されていないAI生成コードのすべての貢献を禁止し、信頼に基づくVouchシステムを導入した。Voiceflowのインフラ責任者Xavier Portilla Edoは、定量的な判断としてこう示した。**「AI生成のPRのうち、妥当なのは10分の1だけで、残りの9つはメンテナーの時間を無駄にしている。」**GitHubは2026年2月に、リポジトリでPull Requestを完全に無効化する、または共同作業者のみが提出できるよう制限するという2つの新しい設定を導入した。そして、プラットフォーム自体が「止めるためのバルブ」を提供し始めたときには、問題はすでに構造的であることを意味する。大手企業のAIエンジニアがTencent Technologyにまとめたところによれば、**「開発者がVibeのガラクタPRを提出しているのは、オープンソースのメンテナーを落とし穴にするため。セキュリティ担当者がVibeのガラクタ脆弱性を提出しているのは、脆弱性の審査担当者を落とし穴にするため。他人の時間をまったく尊重していない。」**効率の錯覚:速くなった気がするが、実際は遅い--------------AIプログラミングツールは本当に効率を高めているのか?データは意外な答えを示している。Tencent Technologyによると、METR(モデル評価・脅威研究機関)が2025年に公表したランダム化比較実験では、熟練したオープンソース開発者16人が、見慣れた大型コードリポジトリで246の実在タスクを完了し、AIツールを使えるかどうかが無作為に割り当てられた。**結果:AIツールを使った開発者は、タスク完了までの時間が実際には19%延びた。**さらに注目すべきは、認知バイアスだ。これらの開発者は実験前に、AIによって自分は24%速くなると見込んでいたが、実験後も自分は20%速いと思い続けていた。**一方で、2025年のStack Overflow開発者調査では、開発者のAIの正確性に対する信頼度が、前年の40%から29%に低下し、46%の開発者がAIツールの正確性を「信じていない」と明確に回答している。**アプリ数の急増は、この「効率の錯覚」の規模を裏付けている。Tencent TechnologyがSensor Towerのデータを引用するところによれば、2025年12月の米国iOSアプリのリリース数は前年同月比で56%増、2026年1月は前年同月比で54.8%増で、いずれも過去4年で最速の伸び率を記録した。Appfiguresの集計では、2025年のApp Storeで新たに提出されたアプリは55.7万件で、2024年から24%増、2016年以来最大の新規波だ。そしてAppleは、Vibe CodingアプリのAnythingをApp Storeから取り下げた(このアプリは1億ドルの企業価値で1100万ドルの資金調達を受けていた)ほか、ReplitやVibecodeなどの同種ツールのアップデートを凍結しており、継続期間は数カ月に及ぶ。AIが製造した問題をAIで解く------------コード過多に直面し、テック企業が出す答えは、依然として「より多くのAI」だ。AnthropicとOpenAIはいずれも、エラーを自動検出するためのAI駆動のコードレビュー・ツールをリリースした。Cursorは昨年12月に、コードレビュー・ロボットのスタートアップGraphiteを買収し、その技術をプロダクトに統合して、エンジニアが最もセンシティブなコードレビューのニーズを優先して処理できるよう支援する。だが、この道が実際に通るかどうかは、現時点では結論が出ていない。Tencent Technologyによると、Tailwind CSSの創設者Adam Wathanは2026年1月に次を明かした。月のダウンロード数は7500万回に達しているにもかかわらず、ドキュメントの流入は2023年初頭から約40%減少しており、収益は約80%近く下落した。「ドキュメントは、人々が当社の商用プロダクトを見つけるための唯一の手段です。顧客がいなければ、フレームワークの開発を維持できません。」**RedMonkのアナリストKate Holterhoffは、この現象を「AI Slopageddon(AIゴミの終末)」と名付けた。そして、Tencent Technologyが述べたとおり、AIコードの“屎山(しざん)危機”はまだ始まったばかりだ。**リスク提示および免責条項 市場にはリスクがあります。投資には慎重さが必要です。この記事は個人の投資助言を構成せず、特定の利用者の固有の投資目標、財務状況、または必要事項を考慮するものでもありません。利用者は、この記事内のいかなる意見、見解、結論が自らの特定状況に適合するかを検討する必要があります。それに基づく投資は、自己の責任で行ってください。
AIプログラミング:「全民狂欢」対「屎山危機」
AIは誰でもコードを書けるようにするが、書いたあとにどうするのか誰も教えてくれない。
4月6日、『ニューヨーク・タイムズ』の記者Mike IsaacとErin Griffithが、AIプログラミングツール普及後のもう一つの側面を明らかにする記事を投稿した:コード過多。
ある金融サービス会社がAIプログラミングツールCursorを導入したところ、月産のコード量が2.5万行から25万行へ跳ね上がり——10倍の増加。その結果、100万行が審査待ちで滞留している。 セキュリティの新興企業StackHawkの共同創業者兼CEOであるJoni Klippertは、「彼らはコード納品量の増加、そしてそれに伴う脆弱性の急増についていけていない」と述べた。
これは単発の事例ではなく、業界全体が直面する新しい現実だ。
「コード工場」が「爆発」した
AnthropicとOpenAIは昨年11月、それぞれ自社のプログラミングツールClaude CodeとCodexの基盤モデルをアップグレードした。報道によれば、このアップグレードにより、AIプログラミング・エージェントは「ときどき役に立つアシスタント」から「完全自動のコード生成マシン」へ変わった——少量の人間のガイドだけで、AIがごく短時間で、それまで数週間かかっていたプログラミング作業を完了できるようになった。
Googleの2025年9月の調査では、ソフトウェア開発者の90%がAIを補助的に使っており、71%のプログラマーがAIでコードを書いている。
コード生産の爆発がもたらした厄介な問題は:誰が審査するのか?
Replitの社長兼AI責任者のMichele Catastaはこれを率直に認めている。「社内の全員がプログラマーになってしまった。これは福音でもあり、呪いでもある。」
Metaの最高技術責任者(CTO)Andrew Bosworthは、今年の社内メモで次のように書いた。『以前は数百人のエンジニアが必要だったプロジェクトが、今は数十人で終わる。以前は数カ月かかっていた仕事が、今では数日で済む。』さらに彼は、AIがMetaのような組織に与える「影響は深遠」だと付け加えた。
Cursorのエンジニアリング、プロダクト、デザイン責任者Tido Carrieroのまとめは、さらに直接的だ。『ソフトウェア開発の工場は、ある意味で既に崩れていて、私たちはこれらの部品を改めて組み立て直そうとしている。』
セキュリティ脆弱性:見過ごされた代償
コード量の急増と同時に、セキュリティ審査能力は追いついていない。
Tencent Technologyによると、2025年5月、Replitの従業員Matt PalmerがVibe CodingプラットフォームLovable上で作られたサイトアプリ1645個をスキャンした結果、そのうち170個(約10.3%)に重大なセキュリティ脆弱性があった——誰でもログインなしでユーザーデータにアクセスでき、氏名、電子メール、財務情報、APIキーを取得できた。
PalantirのエンジニアDaniel Asariaは47分だけで、複数のLovableで展示されているアプリから個人の負債額、住宅住所、センシティブなプロンプトを抽出した。
その後、セキュリティ研究会社EscapeはVibe Codingアプリ5600件以上を対象により大規模なスキャンを行い、2000件以上のセキュリティ脆弱性、400件以上の露出したキー、175件の個人プライバシーデータ漏えい事例を発見した。医療記録や銀行口座が含まれていた。しかも、これらのアプリの作成者の多くはセキュリティ知識を何ら持っていなかった。
シリコンバレーのベンチャーキャピタルCostanoa VenturesのアドバイザーJoe Sullivanは「世界のアプリケーション・セキュリティエンジニアを全部足しても、米国企業のニーズには満たない」と述べた。彼は、大企業で人を雇えるなら、どの企業もこの種のポジションをさらに5〜10名増やしたいはずだと言う。
Sullivanは、より見えにくいリスクも指摘している。AIプログラミングツールはローカルのノートPC上で動かすほど性能が良く、その結果、ますます多くのエンジニアが会社全体のコードベースを個人のPCにダウンロードしている。「これは6カ月前には誰も想像していなかった狂気のリスクで、今はそれを解決しようとしています。」
オープンソース・コミュニティ:ガラクタPRの「DDoS攻撃」
AIがコードを生成することの衝撃は、オープンソース・コミュニティで特に顕著だ。
Tencent Technologyによると、cURLの創設者であるDaniel Stenbergは、2026年1月に脆弱性の懸賞金プログラムを6年間続けた後に停止した。理由は予算ではなく、AIが生成した虚偽の脆弱性レポートが、運用チームを押し流したためだ。停止前の3週間で、cURLには20件の提出があったが、いずれも実在する脆弱性としては確認されなかった。StenbergはFOSDEM 2026大会で、2025年以前のcURLのセキュリティ報告のうち有効だった割合は約6分の1で、2025年末にはその比率が2分の1〜3分の1ではなく、さらに下がり「20分の1〜30分の1」になったと明かした。彼はこの現象を「オープンソースへのDDoS攻撃」と呼んだ。
デジタルホワイトボードのスタートアップtldrawの創業者Steve Ruizは『ニューヨーク・タイムズ』に対し、「昨年の秋から大量の異常なコントリビューターに気づき始めた。全作業を終えた後、最後のステップで契約に署名するところで突然離脱する人、明確な指示を無視する人、大量にガラクタの更新を投入する人がいた。私はこれらの多くはおそらくAIロボットだと判断し、今年1月に外部コントリビューションの導線を閉じた。」「コードベースへのリスクは非常に高い」と彼は言う。「この衝撃は、チーム、コミュニティ、プロジェクトの評判を危険にさらし得る。」
Ghosttyの作成者Mitchell Hashimotoもまた、2026年初頭に、審査されていないAI生成コードのすべての貢献を禁止し、信頼に基づくVouchシステムを導入した。
Voiceflowのインフラ責任者Xavier Portilla Edoは、定量的な判断としてこう示した。「AI生成のPRのうち、妥当なのは10分の1だけで、残りの9つはメンテナーの時間を無駄にしている。」
GitHubは2026年2月に、リポジトリでPull Requestを完全に無効化する、または共同作業者のみが提出できるよう制限するという2つの新しい設定を導入した。
そして、プラットフォーム自体が「止めるためのバルブ」を提供し始めたときには、問題はすでに構造的であることを意味する。大手企業のAIエンジニアがTencent Technologyにまとめたところによれば、「開発者がVibeのガラクタPRを提出しているのは、オープンソースのメンテナーを落とし穴にするため。セキュリティ担当者がVibeのガラクタ脆弱性を提出しているのは、脆弱性の審査担当者を落とし穴にするため。他人の時間をまったく尊重していない。」
効率の錯覚:速くなった気がするが、実際は遅い
AIプログラミングツールは本当に効率を高めているのか?データは意外な答えを示している。
Tencent Technologyによると、METR(モデル評価・脅威研究機関)が2025年に公表したランダム化比較実験では、熟練したオープンソース開発者16人が、見慣れた大型コードリポジトリで246の実在タスクを完了し、AIツールを使えるかどうかが無作為に割り当てられた。結果:AIツールを使った開発者は、タスク完了までの時間が実際には19%延びた。
さらに注目すべきは、認知バイアスだ。これらの開発者は実験前に、AIによって自分は24%速くなると見込んでいたが、実験後も自分は20%速いと思い続けていた。
一方で、2025年のStack Overflow開発者調査では、開発者のAIの正確性に対する信頼度が、前年の40%から29%に低下し、46%の開発者がAIツールの正確性を「信じていない」と明確に回答している。
アプリ数の急増は、この「効率の錯覚」の規模を裏付けている。Tencent TechnologyがSensor Towerのデータを引用するところによれば、2025年12月の米国iOSアプリのリリース数は前年同月比で56%増、2026年1月は前年同月比で54.8%増で、いずれも過去4年で最速の伸び率を記録した。Appfiguresの集計では、2025年のApp Storeで新たに提出されたアプリは55.7万件で、2024年から24%増、2016年以来最大の新規波だ。
そしてAppleは、Vibe CodingアプリのAnythingをApp Storeから取り下げた(このアプリは1億ドルの企業価値で1100万ドルの資金調達を受けていた)ほか、ReplitやVibecodeなどの同種ツールのアップデートを凍結しており、継続期間は数カ月に及ぶ。
AIが製造した問題をAIで解く
コード過多に直面し、テック企業が出す答えは、依然として「より多くのAI」だ。
AnthropicとOpenAIはいずれも、エラーを自動検出するためのAI駆動のコードレビュー・ツールをリリースした。Cursorは昨年12月に、コードレビュー・ロボットのスタートアップGraphiteを買収し、その技術をプロダクトに統合して、エンジニアが最もセンシティブなコードレビューのニーズを優先して処理できるよう支援する。
だが、この道が実際に通るかどうかは、現時点では結論が出ていない。
Tencent Technologyによると、Tailwind CSSの創設者Adam Wathanは2026年1月に次を明かした。月のダウンロード数は7500万回に達しているにもかかわらず、ドキュメントの流入は2023年初頭から約40%減少しており、収益は約80%近く下落した。「ドキュメントは、人々が当社の商用プロダクトを見つけるための唯一の手段です。顧客がいなければ、フレームワークの開発を維持できません。」
RedMonkのアナリストKate Holterhoffは、この現象を「AI Slopageddon(AIゴミの終末)」と名付けた。そして、Tencent Technologyが述べたとおり、AIコードの“屎山(しざん)危機”はまだ始まったばかりだ。
リスク提示および免責条項