AIが自然言語からコードを生成する手法、バイブコーディング(Vibe Coding)は急速に普及しているが、深刻なセキュリティリスクを生んでいる。公開中のAI製アプリを対象とした調査では、数千件の重大な脆弱性と秘密情報の露出が見つかった。AI生成コードのセキュリティ上の欠陥は、人間が書いたコードの2.74倍に上る。理解を伴わないスピードは危険だ。
バイブコーディングで作られたアプリ5600件を調査──重大な脆弱性2000件超、秘密情報400件を発見
研究者らが最近、公開環境で稼働している、バイブコーディングで作られたアプリ5600件を調査し、重大な脆弱性を2000件超、外部に露出した秘密情報を400件見つけた。Escape.techの調査によれば、AIコーディングツールで作られたアプリのおよそ3本に1本が、誰でも悪用できる重大なセキュリティ欠陥を抱えたまま公開されていたことになる。
バイブコーディングとは、作りたいものを自然な言葉で説明し、AIにコードを書かせる手法だ。この手法は、この1年あまりで、一部の実験的な試みから主流の開発手法へと広がった。アンドレイ・カーパシーは2025年2月にこの言葉を生み出し、コードが存在することさえ忘れて「完全にノリに身を任せる」コーディングだと表現した。Collins Dictionaryはこれを2025年の「Word of the Year」(今年の言葉)に選んだ。その年の終わりまでに、世界で書かれるコード全体の41%がAI生成になっていた。
このスピードは驚異的だ。そしてセキュリティの穴も、同じくらいの速さで広がっている。
セキュリティ脆弱性は最大2.74倍、ロジックや正確性の問題は75%多い
2025年12月のCodeRabbitの報告書は、GitHub上で公開されているオープンソースソフトウェアに対するプルリクエストのうち、470件を分析した結果だ(編注:プルリクエストは、任意のソフトに人間またはAIがこのコードを取り込んでほしいと提案すること)。それによると、AIが書いたコードでは、人間が書いたコードより問題が約1.7倍多く見つかった。セキュリティ脆弱性は最大2.74倍、ロジックや正確性の問題は75%多く、コードの読みにくさの問題は3倍超に増えていた。
注意すべきは、これが実験的なサイドプロジェクトの話ではないという点である。実際のユーザーが利用する本番アプリケーションに組み込まれている実稼働コードの話なのだ。
5600件のアプリ全体で、2000件超の脆弱性と400件の秘密情報
Escape.techの調査は別のやり方を取った。プルリクエストを分析する代わりに、研究者らは、バイブコーディングのプラットフォームで作られた、一般公開中の実アプリを何千件もスキャンした。5600件のアプリ全体で、2000件を超える脆弱性と400件の秘密情報の露出が見つかった。そこには、誰も公開するつもりがなかったAPIキーや認証情報も含まれていた。
