- セキュリティ上の問題
- 米国のサイバーセキュリティ企業 Snyk が、ソフトウェアエンジニアリングおよびセキュリティチームのメンバー、リーダー 537人を対象にアンケート調査
- 回答者の91.6%: 「AIコーディングツールが安全でないコード提案を時々生成した」
- 回答者の80%: 「組織内の開発者がAIセキュリティポリシーを回避している」
- 回答者の25%: 「AIコーディング提案に含まれるオープンソース構成要素の安全性を確認するために、自動スキャンツールを使用している」
- オープンソースライブラリの安全性を保証するために適切な措置を取ろうとする人は少ない
- Snyk によると、GitHub の Copilot は既存のコードリポジトリからパターンと構造を学習してコードスニペットを生成する
- この際、コードは隣接ファイルにある既存のセキュリティ脆弱性や誤った慣行を複製する可能性がある
- 自動化されたセキュリティチェックやコード監査によって、セキュリティリスクのあるコードを見つけ、コード生成AIツールの安全性を検討する必要がある
- コード品質の問題
- 米国のオブザーバビリティ企業 Dynatrace の創業者兼 CTO である Bernd Greifeneder が指摘
- AI はこれまで、Stack Overflow のようなサイトにある、人がキュレーションした良質なソースで学習してきた
- 今後、開発者がAI生成コードをより多く使うようになれば、こうしたサイトを更新する動機が弱まる可能性がある
- 開発者がコードスニペットをコピー&ペーストしてデプロイ速度を高めることは、好ましくない慣行と見なされている
- これは保守性を低下させ、エラーや脆弱性が複製されたり見過ごされたりするリスクを高める
- コード生成AIツールは、コピー&ペーストのプロセスを高速で自動化する
- 組織は、AIが生成したコードを綿密に分析・テストし、品質とセキュリティ基準を順守する開発慣行を強化する必要がある
- AI生成コードに「クリーンコード」の原則を適用
- AIで生成したコードにクリーンコードが最終的に実装されるよう、テストと分析を行ってコード品質を確保する必要がある
- 著作権の問題
- Copilot のようなツールは、入力コードをリファクタリングしてコードを作る
- こうしたツールは、AIモデルの学習に使われた学習データと、学習済みモデルが生成した出力コードに由来する著作権やオープンソースライセンスの問題に直面する可能性がある
- グローバル法律事務所 Finnegan の分析:
- コード生成AIツールは、基盤AIモデルの学習に使用するコードのコピーを推奨する
- GitHub も「Copilot が生成したコードが、学習した公開利用可能なオープンソースコードを引用することがある」と認めている
- GitHub の社内調査によると、確率は 1% と極めて低いものの、Copilot が学習コードと正確に一致する一部のコードブロックを含むコードを生成する可能性がある
- オープンソースコードのライセンスは、Copilot を使って開発したコードにも適用される場合がある
- オープンソースライセンスが適用されたコードを、コード生成AIツールで作成したコードとして繰り返し使用すると、そのコードの利用が著作権表示や配布などのオープンソースライセンス条件に従わない場合、著作権侵害となる可能性がある
- コード生成AIツールが提案したコードは追跡性が不足しているため、「生成されたコードに、元のオープンソースライセンス条件に違反する可能性のある反復コードが含まれているか」をすぐに知る方法はない
- AIで生成したコードを手動でレビューし、既知の人気コードを確認する必要がある
- コードスキャンツールを使って、オープンソースライセンスが適用されたコードを点検する必要がある
まだコメントはありません。