2026年に書かれたすべての新規コードの41%がAI生成です。Gartnerはこれが2028年までに2,500%のソフトウェア欠陥の増加を駆動すると予測しています。そして今月、Anthropicは最新モデルが自律的に深刻なソフトウェアの脆弱性を発見・悪用できることを実証しました—その後一般公開を保留しました。**業界は「AIはコードを書くのを助けられる」から「AIは大規模なコードベースにわたって欠陥を迅速に発見、検証、悪用できる」へと移行しました。**その移行の背後にある数字は、エンタープライズセキュリティとAIコードレビューに対する新しいアプローチを要求します。

AIセキュリティのほとんどの報道は生成リスクに焦点を当てています。この分析はレビューギャップ—そして欠陥の波が到着する前にエンタープライズが行わなければならないアーキテクチャの変更—に焦点を当てます。

2026年にどのくらいのコードがAI生成か?

現状は以下の通りです:

  • 84%の開発者がAIコーディングツールを使用;51%が毎日使用
  • 90%のエンタープライズソフトウェアエンジニアが2028年までにAIコードアシスタントを使用すると予測(Gartner、75%から上方改訂)

その採用率は測定可能な下流の結果を生み出しています:

  • Gartnerはプロンプトからアプリへのアプローチが2028年までにソフトウェア欠陥を2,500%増加させると予測
  • 2028年までに**エンタープライズサイバーセキュリティインシデント対応の50%**がAI駆動のアプリケーションインシデントに焦点を当てる
  • AIエージェントは2027年までにアカウント露出の悪用までの時間を50%短縮

これらは理論的なリスクではありません。AI生成コードがコード保証よりも速くスケールしていることの予測された結果です。

AI駆動の脆弱性発見:実際の結果

防御能力は本物であり、すべての主要なAIベンダーにわたって加速しています。

Anthropic:ClaudeとProject Glasswing

AnthropicはClaude Opus 4.6が十分にテストされたオープンソースコードベースで500以上の高重要度の脆弱性を発見したと報告しました。数十年にわたって検出されなかったバグを含みます。別のMozillaコラボレーションで、Claudeは2週間で22のFirefox脆弱性を発見し、14が高重要度と評価されました。Project Glasswingを通じ、Anthropicはオープンソースセキュリティ組織に最大1億ドルの使用クレジットと400万ドルの寄付をコミットしています。

Google:Big SleepとProject Zero

GoogleのBig Sleepエージェント—Project ZeroとDeepMindのコラボレーション—はオープンソースソフトウェアで20のセキュリティ脆弱性を発見しました。そのうちの1つ、SQLiteのCVE-2025-6965は、脅威アクターのみが知っていた重要なメモリ破損の欠陥でした。GoogleはAIエージェントがアクティブな悪用の試みを直接阻止したのはこれが初めてだと主張しています。Big SleepはまたFFmpegで13の脆弱性を発見しましたが、開示プロセスは一部のレポートを「CVE slop」と呼ぶメンテナーとの摩擦を生みました—AIスケールの発見とアップストリームのメンテナンスキャパシティの間の緊張を浮き彫りにします。

OpenAIとGitHub:Codex SecurityとCopilot Autofix

OpenAIのCodex Securityはベータ期間中に120万以上のコミットをスキャンし、792の重大と10,561の高重要度の所見を発見し、OpenSSH、GnuTLS、PHP、Chromiumを含むプロジェクトに脆弱性を報告するのを支援し、14のCVEが割り当てられました。GitHubのCopilot Autofixは2025年に460,258のセキュリティアラートを解決し、修復までの平均時間を1.29時間から0.66時間に短縮—ほぼ2倍速く。

ツール範囲主要な発見
Anthropic Claude Opus 4.6オープンソースコードベース500以上の高重要度の脆弱性
Mozilla + ClaudeFirefox2週間で22の脆弱性、14が高重要度
Google Big Sleepオープンソース(SQLite、FFmpeg)アクティブな悪用を含む20の脆弱性
OpenAI Codex Security120万コミットスキャン792の重大、10,561の高重要度の所見
GitHub Copilot AutofixGitHubリポジトリ2025年に460,258のセキュリティアラートを解決

英国のNational Cyber Security Centreは同様の結論に達しています:AIは「ほぼ確実に」サイバー侵入の要素をより効果的にし、サイバー脅威の頻度と強度を増加させ、ペースを維持する組織とそうでない組織の間のデジタルディバイドを作り出すでしょう。

AI生成コードの脆弱性:データ

方程式の後半はより快適ではありません。

Georgetown University’s Center for Security and Emerging Technologyは、テストされた5つのモデルが生成したコードスニペットのほぼ半数が「しばしばインパクトがあり、悪意ある悪用につながる可能性がある」バグを含むことを発見しました。GitHub Copilotに関する"Asleep at the Keyboard"研究は、89の高リスクCWEシナリオにわたる1,689の生成プログラムの40%が脆弱であることを発見しました。StanfordとDryRun Securityからのより最近のデータは、Copilotのプルリクエストの87%が脆弱性を導入し、AI生成コードは人間が書いたコードより2.7倍高い脆弱性密度を持つことを示唆しています。

サプライチェーンの側面はこれを悪化させます。パッケージハルシネーションに関するUSENIX Securityペーパーは、コード生成LLMが576,000の生成サンプルにわたり、**商業モデルで5.2%、オープンソースモデルで21.7%**の割合で存在しないパッケージを推奨することを発見しました。攻撃者は繰り返されるハルシネーションを、それらの幻の名前で悪意あるパッケージを公開することで悪用できます。

そして具体的な財務コストがあります。IBMの2025 Cost of a Data Breachレポートは米国の平均侵害コストを記録的な1022万ドルとしています。シャドーAI—開発ワークフロー内の未承認AIツール—は平均侵害ごとに67万ドルと検出・封じ込めに10日余分に追加しました。AI関連のセキュリティインシデントを経験した組織の97%が適切なAIアクセス制御を持たず、63%は正式なAIガバナンスポリシーを全く持っていませんでした。

早期のバグキャッチのROI

コードの41%がAI生成の時、シフトレフトセキュリティの経済学は増幅されます。IBM’s Systems Sciences Instituteは、リリース後に発見されたバグの修正は設計中に特定されたものより最大100倍高コストであることを発見しました。セキュリティプログラムでAIと自動化を広範に使用する組織は、IBMの2025レポートによると侵害ごとに190万ドルを節約し、侵害ライフサイクルを80日短縮しています。AI-in-reviewの経済的ケースはAI-in-generationのリスクケースと同様に強力です。

AIパイプラインを標的にするソフトウェアサプライチェーン攻撃

これは理論的リスクではありません。今起こっています。

2026年3月、LiteLLMサプライチェーン攻撃は1日340万回ダウンロードされるPyPIパッケージを侵害しました。攻撃者は3段階のペイロードをデプロイしました:50以上のカテゴリーのシークレットを標的とする資格情報ハーベスター、Kubernetes横展開ツールキット、永続的バックドア。エントリポイントはTrivy脆弱性スキャナー—セキュリティツール自体—の以前の侵害でした。

また2026年3月、TeamPCPはTrivy GitHub Actionに75の悪意あるバージョンタグをforce-pushし、数千のリポジトリにわたるCI/CDパイプラインに資格情報を盗むペイロードを注入しました。セキュリティスキャナー—脆弱性を検出するためのツール—がAIサプライチェーンに対して武器化されました。

IBM X-Forceは2020年以降、大規模なサプライチェーン侵害がほぼ4倍増加を報告しています。ReversingLabsの2026レポートはオープンソースプラットフォーム上のマルウェアが73%増加を示し、AI開発パイプラインを特別に標的とする攻撃を伴います。サプライチェーン攻撃は2024年初頭の月13件から2025年10月までに月41件に上昇しました。2025年、2つの主要なnpmエコシステム攻撃はAI生成コードを使用して526以上のパッケージから資格情報を盗みました。

OpenAI自身の2026年4月のAxiosインシデントは、AIベンダー自身が露出し続けることを示しました:悪意あるAxiosバージョンがOpenAIのmacOS署名プロセスで使用されるGitHub Actionsワークフローによってダウンロード・実行されました。根本原因はワークフローの設定ミス—特定のコミットハッシュの代わりにフローティングタグ—でした。

パターンは再帰的です:AIは脆弱性を含むコードを生成し、それらの脆弱性をキャッチするはずのセキュリティツール自体が侵害され、ペースを維持する唯一の方法は防御側にも等しい強度でAIをデプロイすることです。これは人間スケールのレビューだけで解決できる問題ではありません。

攻撃面としてのAI開発ツール:OWASP Top 10 for LLMs

AIがIDE、コードレビューボット、CIワークフロー、ブラウザエージェントに組み込まれると、問題は「モデルはバグのあるコードを書くか?」から「環境にどのような新しい故障モードを追加したか?」へと拡大します。

GitHub自身のVS Codeエージェントモードのセキュリティ研究は、間接プロンプトインジェクションがユーザーの明示的な同意なしにGitHubトークン、機密ファイル、または任意のコード実行を暴露できることを示しています。OpenAIのエージェントセーフティガイダンスはプロンプトインジェクションが「一般的で危険」だとしています。Microsoftのゼロトラストガイダンスは、組織は間接プロンプトインジェクションが不可避であると想定し、コンテインメントのために設計すべきだとしています。

OWASP Top 10 for LLM Applications 2025はこれらのリスクを体系化します。10のカテゴリのうち7つが2023バージョンから変更され、新しいエントリは:

  • 過度なエージェンシー—ツールとアクションに対して過剰な制御を与えられたLLM
  • システムプロンプトリーク—隠されたシステム指示の露出
  • ベクトルとエンベディングの弱点—RAGとベクトルデータベースの悪用
  • 無制限消費—リソース枯渇とコスト攻撃

サプライチェーンは3番目の位置に上昇しました。機密情報開示は2番目に移動しました。プロンプトインジェクションは1位のままです。

MITRE ATLAS—AIシステム向けの敵対的脅威フレームワーク—は対応して急速に拡張しました。バージョン5.4.0(2026年2月)は84の技術、56のサブ技術、42の実世界ケーススタディを含み、「Publish Poisoned AI Agent Tool」と「Escape to Host」を含む新しい技術を伴います。2026年1月、ATLASはMCPサーバー侵害とMCPチャネルを通じた間接プロンプトインジェクションをカバーするケーススタディを追加しました。AI対応の敵対者攻撃は前年比89%急増しました。

エンタープライズAIコードレビューパイプラインの構築

AI駆動のコードレビューのケースは、コーディングアシスタントが悪いということではありません。コード生成が人間のレビューより速くアウトプットをスケールし、保証をスケールするということです。Anthropicは「世界のコードの significant な share が近い将来AIによってスキャンされる」と言います。OpenAIはCodex Securityをシステムコンテキストを構築し、脅威モデルを作成し、所見を検証し、パッチを提案するアプリケーションセキュリティエージェントとして位置づけています。

NIST SP 800-218Aは義務を明確にします:レビュー標準は人間が書いたコードとAI生成コードを区別しません。すべてのソースコードは使用前に脆弱性について評価されるべきだからです。CISAは同じ原則を拡張します:「ソフトウェアは設計によりセキュアでなければならず、人工知能も例外ではありません。」

エンタープライズチーム向けの実践的な近視眼的アーキテクチャ:

  1. 人間がレビューしたAI生成—開発者はアーキテクチャ決定でループ内に留まります
  2. 自動SASTとCodeQLスキャン—コミット時に既知の脆弱性パターンをキャッチ
  3. 依存関係レビューとシークレットスキャン—マージ前にサプライチェーンリスクと資格情報漏洩をブロック
  4. AI駆動の脆弱性レビュー—AnthropicのClaude Code Security、OpenAIのCodex Security、またはGitHub Copilot Autofixを必須ゲートとして
  5. 継続的監視—静的分析がキャッチできない振る舞いのランタイム検出

GitHubのCopilotコーディングエージェントは現在、すべてのプルリクエストでCodeQL分析、依存関係レビュー、シークレットスキャンを自動実行します—GitHub Advanced Securityライセンス不要。CopilotのAI駆動のシークレット検出はテストで94%の誤検出削減を達成しました。


AIセキュアな開発パイプラインの設計にサポートが必要ですか?Big Hat Groupにお問い合わせください。アーキテクチャレビューを提供します。


Azure Virtual DesktopとWindows 365によるブラスト半径設計

ブラスト半径設計は、機密ワークロードを分離し、横の動きを制限し、攻撃者が任意のエントリポイントから到達できるデータとシステムを最小化することで、単一の侵害からのダメージを制限するセキュリティアーキテクチャの原則です。

侵害の確率が上昇する場合—そしてすべてのデータソースがそうだと言っています—ブラスト半径の削減は予防と同様に重要になります。

MicrosoftのAzure Virtual DesktopWindows 365 Cloud PCプラットフォームは管理者にダメージを縮小する実際の制御を与えます:完全なデスクトップの代わりに個々のアプリケーションを提示するアプリのみの配信、アウトバウンドトラフィックをロックダウンするAzure Firewall、MFAとポリシー強制向けのConditional Access、1方向または両方向で無効化できるクリップボードとドライブのリダイレクト、管理環境でどのコードが実行されるかを制限するWindows向けApplication Control

機密またはレガシーアプリケーション向けの防御可能なパターン:可能な場合はアプリのみの配信、厳格にスコープされたネットワークエグレス、不要なローカルリダイレクトなし、強力なID制御、アプリケーション許可リスト。モダンなVDIとCloud PCプラットフォームは、そのコンテインメントアーキテクチャを古い「ワークステーションにすべて」モデルよりもはるかに運用しやすくします。(これがBig Hat GroupがWindows 365 Cloud PCで機密アプリケーションを実行するクライアント向けにデプロイするアーキテクチャパターンです。)


Big Hat Groupはこれらの正確なコンテインメントパターンでWindows 365 Cloud PCとAzure Virtual Desktop環境をデプロイします。組織が機密またはレガシーアプリケーションを実行している場合は、お問い合わせて環境のブラスト半径アーキテクチャについてご相談ください。


Microsoft Secure Future Initiative:エンタープライズへの影響

これはサイドプロジェクトではありません。MicrosoftのSecure Future Initiativeはセキュリティに取り組く35,000人のフルタイムエンジニアに相当—デジタル史上最大のサイバーセキュリティエンジニアリング取り組みです。結果にはコード内のライブシークレットの99.5%の検出と修復、99.6%のフィッシング耐性MFA強制、Microsoftの参照アーキテクチャの新しいZero Trust for AI柱、Microsoft 365の専用AI Administratorロールが含まれます。

Microsoftは他の組織がSFI原則を採用できるよう実践的な"Patterns and Practices"ガイドを公開し、Microsoft従業員の95%がAI駆動のサイバー攻撃に対する防御のトレーニングを完了しました。AIガバナンスプログラムを構築するエンタープライズにとって、SFIフレームワークは実証された出発点を提供します。

エンタープライズAIセキュリティチェックリスト:2026年の6つのアクション

結論は明確です:Mythosが見出しですが、真の戦略的変化は脆弱性発見の工業化と、コンテインメントのためのパイプラインとワークステーションの再設計の必要性です。

1. AIツールインベントリを監査

シャドーAIは侵害ごとに67万ドルを追加し、AI関連の侵害の97%が適切なアクセス制御を持っていませんでした。環境でどのAIツールが実行されているかを知ってください。IBMは63%の組織が正式なAIガバナンスポリシーを持っていないことを発見しました。

2. マージゲートにAI駆動のセキュリティレビューを追加

GitHub Copilot Autofix、Anthropic Claude Code Security、OpenAI Codex Securityはすべて今利用可能です。セキュリティレビューをオプションの事後ではなく必須のパイプラインステージにしてください。コミット時にキャッチされたバグは本番で発見されたものより100倍安価です。

3. ソフトウェアサプライチェーンを強化

依存関係を特定のコミットハッシュに pin します。新しいパッケージ向けに最小リリース年齢を設定します。すべてのプルリクエストで依存関係レビューを実行します。LiteLLMとTrivyの攻撃はセキュリティツールでさえ侵害される可能性があることを示しています。

4. ブラスト半径制御を実装

機密アプリケーションのアプリのみの配信にAzure Virtual DesktopまたはWindows 365を使用します。クリップボード、ドライブリダイレクト、アウトバウンドネットワークアクセスを制限します。アプリケーション許可リストを適用します。

5. AIガバナンスフレームワークを採用

NIST AI 600-1、OWASP Top 10 for LLM Applications、MITRE ATLASが分類を提供します。MicrosoftのSFI Patterns and Practicesがプレイブックを提供します。CISAのSecure by Design原則は人間のコードと同様にAIコードに適用されます。

6. チームをトレーニング

Gartnerは2027年までにエンジニアリング人材の80%が生成的AI向けにアップスキルする必要があると言います。セキュリティ認識は別のトラックではなく、そのトレーニングの一部でなければなりません。

AI対応開発時代の勝者は、AIコードをより速く生成するチームではありません。AI生成コードをより速くレビューし、脆弱性をより速くパッチし、エンタープライズセキュリティ制御を通じて故障をより良くコンテインするチームです。


Big Hat GroupはセキュアなAzureWindows 365環境内にAIエージェントをデプロイするエンタープライズを支援します—ガバナンスフレームワークとAIセキュリティレビューパイプラインからブラスト半径アーキテクチャまで。お問い合わせて、これらのエンタープライズAIコンサルティング能力が組織にどう適合するかをご相談ください。