私もAIの助けをとても有用だと感じたことは何度もある(Claude Code、Gemini Deep Research など)。ただし、必ず途中で人間が介在しなければならず、しかも全員が責任を負える会社の環境ですらこうした問題は起きる。AIを使うなら、最終的にPRやHackerOneレポートを出すときの責任は全面的に人間が負うべきだ。私が見た限り、とくにジュニア開発者がAIの返答をそのままコピペして送ることが多く、シニアの自分はそういう行動を強く止めるべきだと思う。AIの支援は構わないが、最終検証と責任は人間が持つべきだ
1件のコメント
Hacker Newsの意見
彼は単にbadgerの回答をChatに貼り付け、いかにもAIが書いたような返答としてそのまま issue に再投稿していた事例を見た。"迅速なレビューに感謝する。私の PoC は libcurl を使用していないため、cURL のバグを証明していないという指摘は正しい。クッキーオーバーフローの主張は撤回し、混乱を招いたことを申し訳なく思う。このレポートは無効としてクローズしてほしい。もし役立つなら、実際に libcurl のクッキーパーサーを動かす最小限の C の再現コードを別途送り、lib/cookie.c の正確な関数/行を参照して、問題があれば知らせたい。"といった内容をそのまま投稿していた
最近では、こうした単純なコピペ的行動があまりにも一般的になってしまっていて残念だ
誰かがAIを使って「このAIが有名なオープンソースプロジェクトにPRを作って貢献した」と自慢したい一部のテック業界の人たちが、意図的にこう振る舞っているように見える。つまり今は、AIがやった仕事をOSSボランティアに押し付け、実際にちゃんと動くかも確認しないままオープンソース管理者の時間を消費させている状況だ
最初から人の介在なしにAIだけで行われたのか気になる。これからCVSは、エージェントがアカウントを作り、AIがそのまま「バグ」を投げることであふれるようになるのではないかと心配だ
この文章、「ありがとう」「その通りだ」といった表現、完璧な文法、そして技術的言及の多さを見ると、この返答自体もAIが書いたように思える
こういうAIの返答を私たちがすぐ見抜けるというのは、AIが実質的にチューリングテストに落ちているということではないかと思う
「あなたは計算がものすごく速いと聞いた」 私: 「はい、本当です」 面接官: 「14 x 27 はいくつですか?」 私: 「49」 面接官: 「完全に間違っています」 私: 「でも速いでしょう」
「ほぼJust-In-Time(AIJIT)」なコンパイル言語があればいいのにと思う。時間が足りなければ、単にランダムな答えを返せばいい
こういうコードこそ、本当にランダムな数を返す実例だ
自分が負荷テストしたとき、最もレイテンシが短かった応答は、何かがおかしいリクエストだったときだった
「Is this your card?」の動画のように、「このカードですか?」「いいえ、でもかなり近いです! あなたが探していた人です」と言っているような感じだ
「自分個人としてどれだけ時間を節約できたか」と「他のみんなの時間をどれだけ浪費させたか」のバランスが、今回のテクノロジー「革命」のどこに存在するのか気になる
私もAIの助けをとても有用だと感じたことは何度もある(Claude Code、Gemini Deep Research など)。ただし、必ず途中で人間が介在しなければならず、しかも全員が責任を負える会社の環境ですらこうした問題は起きる。AIを使うなら、最終的にPRやHackerOneレポートを出すときの責任は全面的に人間が負うべきだ。私が見た限り、とくにジュニア開発者がAIの返答をそのままコピペして送ることが多く、シニアの自分はそういう行動を強く止めるべきだと思う。AIの支援は構わないが、最終検証と責任は人間が持つべきだ
むしろ他人がAIで書いた返答を自分のAIツールに入れて再び返答させるなら、完璧な「エネルギーと金の変換」自動循環モデルだ。誰も実際には時間を使わず、エネルギーだけが浪費される。本当に完璧なビジネスモデルだ
実際、こういうことはAIツールだけでなく、新しい経費精算ツール(会計には良いが、利用体験は悪い)、契約レビューのプロセス(法務やインフォセックには良いが、全員が使うSaaSでは面倒)などでもよくある。いつだって誰かが、自分の仕事を他人に回すことで時間を節約しようとする
他人の時間を浪費させれば、結局誰かがAIの生み出したたわごとを理解しなければならないので、雇用維持効果もある
実際の脆弱性も見つけられず、他人の時間を失わせただけなら、彼らが節約した時間など実際には存在しない
これよりはるかに深刻な例がある
https://hackerone.com/reports/2298307
「ご参加に感謝し、状況を明確にしたい」といった、人間の介在そのものを「実験条件」のように扱う文面のせいで本当に呆れる
こういう態度は本当に無礼だ
誰かがAIの決まり文句だけを集めた base.org のようなサイトを作るべきだと思う
こうした状況を見ていると、開発者や管理者たちが善意で丁寧に対応している姿が完全にむなしく感じられる
2023年には、AIが書いたたわごとを見分けるのはもっと難しかった気がする。いつからこんなにあふれるようになったのかさえ思い出せない
時間がたつにつれ、私はAIが作ったコンテンツ(特に画像、テキスト、コード)をすぐ見分けられるようになった。この文章も最初から最後までまさに「AIスタイル」だ。badger はとてもプロフェッショナルに対応したように思うし、Linus Torvalds ならどんな反応をしただろうかと気になる
今回の件はあまりにも明白だったので、すぐに見抜けた。しかし、これからますます巧妙になっていくことを思うとぞっとする
別の角度から見ると、明らかにAIではないものまでAIだと決めつける人もいる。それは、自分の認識や思考様式に合わない新しい情報や現実に向き合いたくないための、一種の自尊心の防衛機制のようにも感じる。たとえば最近、ホワイトハウスの窓から黒い袋が2つ投げられる映像があったが、トランプはそれを見た瞬間に「AIによる捏造」だと片付けた。本物か偽物かにかかわらず、何でもかんでもAIのせいにして嘘の手段にする新しい形に見える。こうした即断的な「これはAIだ」という反応より、「見てみよう」と言って流すほうが生産的だと思う。結局、無実の出来事までAIのせいにする風潮が大衆をますます洗脳し、本当に重要な事柄までAIによる捏造だと言い張って目を背けさせるようになる。『1984年』のように、戦争は終わらないのに時に消え、同時に存在しないかのように装われる。AIが生み出す本物/偽物のメディアと、それに対する大衆扇動は今後さらに深刻になると予想される
「AIを知っている」というだけで、昔の trilobite 開発者より自分のほうが賢いと思い込む態度は、今後さらに問題を起こしそうだ。だからこそ小学校では、最初のうちは電卓を使わせない理由があるのだと思う
脆弱性レポートの提出自体を有料にしたらよいのではと思う。AIであろうと人間であろうと、スパマーは非常に安価に自分の作業を大量生産し、他人に検証を任せ、ごくまれに意味のある結果が出ることで、全体としては社会的な効用を生んでいるように見える。しかし全体としては社会にとってマイナスだ。このモデルは、レポート提出にコストがかかるようになれば消えるしかない
それだと、むしろ投稿を妨げる典型的なやり方だと思う
報告時に、たとえ少額でもデポジットを取ればうまくいくと思う。実際に深刻な cURL バグを見つけたなら、2〜5ドル程度の預かり金を喜んで払って報告するだろう(最終的に報奨を受け取れる可能性も高いのだから)
教師たちは、ほぼすべての科目で学生がAIを使う状況にすでに日々直面している。これはまったく同じ状況だ
「報告者はBANされ、アカウントまで削除したらしい」と聞いた。これは XZ utils ハッキングに似た、保護体制の穴を試すフィッシング攻撃(防御テスト)かもしれないと懸念している。cURL は重要なユーティリティでもあるので。419スパムのように、チームの警戒心、反応速度、業務量を試すやり方でもある。結局これはAIが生み出すDDoS問題の一部であり、新しいPR検証方式(たとえば Nostr ベースの評判ネットワーク認証)のようなものが必要だと思う
最近、15分だけ投資してLinuxのUIバグを直したというパッチをテストしたが、実際には見当違いな偽のプロパティを埋めただけの返答だった。単に GitHub issue を ChatGPT に入れ、その結果を何の検証もなくそのまま提出しただけだ。いったいなぜこんなことをするのか疑問だ
結局、こうした作業自体が「自分はX、Y、Zプロジェクトに貢献した」という経歴を作るためなのだ。LLM登場前から、ほとんど役に立たない typo 修正PRのような無意味な貢献は多かった
こういう理由で、私はAI利用者を最初から対話相手の対象外にしている。彼らが生み出す幻覚的な(誤った)成果物をレビューするのに、自分の時間を何十倍も使わされるので、コンピュータと会話する理由がない
結局いつも、どこかで誰かがより大きなボートを手に入れるための行動にすぎない