Metabaseの記事は、かなり挑発的なタイトルです。
“strip mining” というのは、地表をはぎ取るように広く浅く、でも大量に資源を掘り出す採掘方法のこと。ここではそれを比喩にしていて、要するに 「AIがオープンソースの脆弱性を、片っ端から掘り起こす時代になった」 という話です。
これ、なかなか面白い表現だと思います。
昔のセキュリティ調査は、熟練の研究者が狙いを定めて深掘りするイメージでした。ところが今は、LLMを使ったコードスキャナーが登場して、大量の公開コードを機械的に調べて、弱点をどんどん見つける ようになってきた、とMetabaseは述べています。
しかも、ただの思いつきではなく、実際にMetabase自身の窓口に来る報告が増えたそうです。
以前は月10件程度だったのが、年初からは週10件程度に増加。しかも、その多くはかなり実際に役立つ内容だったとのことです。
ここはかなり重要で、単なる「AIが雑に大量送信している」だけではなく、精度も上がっている というのがポイントです。
記事では、従来の脆弱性調査を大きく2種類に分けています。
OWASP scanner のような、手軽に回せるツールで広く確認するやり方です。
これは便利ですが、false positive(誤検出)も多い。
つまり「危ないかも」と言われても、実際には問題ではないことが多かったわけです。
こちらは、アプリの構造やフレームワークをよく知る研究者が、狙いをつけて深く調べるやり方。
こういう調査は、ちゃんとした発見につながりやすく、同じ種類の問題がまとまって見つかることも多かったそうです。
Metabaseが言いたいのは、今起きているのはこのどちらとも少し違う、ということです。
AIが大量のコードを読み、より深い層まで自動で掘れるようになっている。
だから、これまで見つかりにくかった脆弱性も、次々に露出していくのではないか、という見立てです。
これはかなり現実味がある話だと思います。
人間が頑張っても限界がある作業を、AIが安く大量に回せるようになると、当然「見つかる数」は増えるはずです。セキュリティの世界も、ついに“検索コストの暴落”みたいなことが起きている感じがあります。
Metabaseの比喩が秀逸なのは、単に「たくさん見つかる」ではなく、層を一枚ずつはがしていく感じを表しているところです。
最初は表面的な問題が見つかる。
次に、少し奥の設計ミスが見つかる。
さらに、その奥にある別の脆弱性も見つかる。
つまり、公開コードは一度スキャンされると終わりではなく、AIの性能が上がるたびに、もっと深い層が掘り返される。
この感覚は、オープンソースの世界にかなり強いプレッシャーを与えるでしょう。
しかも記事では、これを善意の研究だけでなく、ビジネスとして成立し始めている と示唆しています。
Claude や Codex のようなツールを組み合わせてスキャンサービスを作り、商用OSSに売り込む。
かなり露骨ですが、たしかに「成果が出るなら商売になる」のは自然です。
率直に言うと、ここはちょっと皮肉が効いていて面白い一方で、開発者側にはかなり胃が痛い話です。
Metabaseが強調しているのは、短期的にはかなり厳しい という点です。
公開コードを持つプロジェクトでは、ある脆弱性が1人の研究者に見つかった時点で、
「その問題は、もう他の誰かにも見つけられる状態にある」
と考えるべきだ、というのが記事の主張です。
これはかなり重い話です。
つまり、「公開前に直せるだろう」という猶予が短くなる。
研究者と「公表は少し待ってほしい」と合意しても、実際には別の人が同じ問題を見つける可能性が高い。
だから、発見されたらすぐ直す という即応体制が必要になる、というわけです。
個人的には、これはオープンソースの“美徳”が、少しだけ“負担”として返ってきている局面だと思います。
コードを公開して透明性を得る代わりに、攻撃者にも同じ透明性を与えてしまう。
昔から分かっていたことではありますが、AIでその非対称性が一気に縮まった、という感じです。
Metabaseは悲観一辺倒ではなく、長期的には良い面もあると書いています。
CI workflow は、コードを変更したときに自動でテストやチェックを回す仕組みです。
ここにセキュリティスキャンが入る未来は、かなり自然です。むしろ入らないと怖い。
なので、長期的には「AIに掘ってもらって、全部早めに潰す」世界は、そんなに悪くないかもしれません。
ただし、ここで大事なのは、長期的に正しいことと、短期的にしんどいことは両立する という点です。
記事はまさにその現実を言っています。
オープンソース界隈には、しばらく「修正ラッシュ」が来るのではないか、というのがMetabaseの見方です。
記事の中で興味深いのは、商用と非商用で事情が違うと整理している点です。
顧客がいて、セキュリティ対応が事業上の責任になる。
だから、AIスキャンで脆弱性が大量に見つかると、対応コストが一気に増える。
記事は、こうした事情からclosed source に戻る企業も出てくるのではないか と示唆しています。
例として Cal.com に触れていますが、これは「もう公開のままではしんどい」と判断する会社がいても不思議ではない、という文脈です。
こちらは、お金になりにくいぶん、セキュリティ対応の原資が少ない。
しかも、AIでどんどん問題が見つかるので、善意ベースのメンテナンスがさらに重くなる。
これはかなり厳しい。
正直、オープンソースの“理想”に対して、現実がかなり容赦ないなと思います。
私がこの記事でいちばん大事だと思うのは、
「脆弱性を見つける能力が、研究者の腕前から、スキャン基盤の性能へ移ってきた」
という点です。
昔は「強い人が見つける」だった。
今は「大量に回せる人が見つける」。
この変化は、セキュリティを民主化する一方で、公開ソフトウェアに対してはかなり冷酷です。
だから、オープンソースのメンテナは、以前よりもずっと
これはしんどい。けれど、たぶん避けられない流れです。
そして、利用する側も「OSSだから安全だろう」と雑に信じるのではなく、公開されている以上、見つけられる前提で運用する 意識が必要になっていくと思います。
Metabaseの記事は、AI時代のオープンソースセキュリティをかなり率直に描いています。
要するに、公開コードはこれから、AIによって“掘り尽くされる”ように脆弱性を発見される ということです。
それは短期的には地獄ですが、長期的にはソフトウェア全体の安全性を押し上げる可能性もある。
ただし、その間の移行期を耐えるのは、メンテナたちです。
ここは本当に大変だと思います。
