AIエージェントが攻撃を自動化　2026年サイバーセキュリティ予測

生成コードの45％に脆弱性

　AIが書くコードは安全なのか。Veracodeの「GenAI Code Security Report」が100以上のLLM（大規模言語モデル）を調査したところ、安全なコードを生成する比率は55％にとどまり、残りの45％は既知のセキュリティ欠陥を含んでいた。

　さらに問題なのは、モデルの性能向上がセキュリティに反映されていないことだ。「構文的に正しいコードを生成する能力は劇的に向上したが、セキュリティ性能はこの2年間ほぼ横ばい」とVeracodeは指摘する。

　脆弱性の種類別に見ると、LLMの得意不得意も見えてくる。代表的な脆弱性である「SQLインジェクション」と「暗号化」では8割以上が安全なコードを生成したが、「クロスサイトスクリプティング（XSS）」と「ログインジェクション」では9割近くが脆弱なコードを生成した。

　なぜこれほど差が出るのだろう。Veracodeによると、SQLインジェクションや暗号化の場合、常に安全な実装方法を選べばよく、プリペアドステートメントを使えば追加の判断は不要だ。

　一方、XSSやログインジェクションでは、どのデータが外部から入力されたもので危険なのかを判断しなければならない。人間の専門家でも難しい作業だ。「LLMがこの種の複雑な判断を正確に行うのは困難」とVeracodeは指摘する。

　ただし、改善の兆しもある。OpenAIの推論モデルを見ると従来の50～60％台から大きく向上し、最新のGPT-5 Miniは72％、GPT-5は70％を記録した。Veracodeは「推論ステップが内部コードレビューのように機能し、安全でない構造を出力前に捉える」ためと分析する。