一番の脆弱性は"人間のコードレビュー"だった

ARANK

「LGTM 🚀」このたった4文字、何回書いてきただろう。PRが来て、差分を見て、ロジックを追って、「まあ問題なさそうだな」でApprove。正直、金曜の夕方に来た30ファイル変更のPRに対して、全行を真剣に読んだかと聞かれたら——答えに詰まる。たぶん、あなたもそうだと思う。はじめに認証・認可、入力バリデーション、そのあたりを「ちゃんとやってるつもり」で何年もやってきた。でも最近、自律型AIエージェントにセキュリティテストを任せてみたら、僕が一番信頼していた「人間のコードレビュー」が、実は一番のザルだったと気づいた。ツールを入れて満足する話じゃない。もっと手前の話だった。AIハッカーの時代が来た、らしい2025年あたりから、AIを使った脆弱性スキャナーが一気に増えた。中でも話題になったのが Shannon。GitHubでトレンド入りした自律型AI脆弱性スキャナーで、LLMを使ってコードベースを自律的に解析し、セキュリティホールを見つけてくれる。人間が「ここを見て」と指定しなくても、エージェントが自分で判断して探索する。Hacker Newsでも「AIでコード品質を上げるには」みたいな議論が盛り上がっていて、Zennでもセキュリティ×AIエージェントの…