バイブコーディングが増やす攻撃面
生成AIに要件を伝えるだけでコードを組み立てるバイブコーディングは、内製・自動化を加速させる。一方で、依存パッケージの急増、コード出所の不明確化、レビューの形骸化、シークレットの雑な扱いが同時に起きやすい。結果として、外部由来の部品が増え、侵入点が分散して管理が追い付かなくなる。情シスは「スピードを止める」のではなく、破綻しない前提条件を整える必要がある。
典型的なサプライチェーン攻撃シナリオ
狙われやすいのは、タイポスクワッティングや悪性混入パッケージの取り込みである。AI提案の名称を深追いせず導入すると、開発端末やCI/CDから認証情報が漏れ、横展開につながる。次に危険なのがCI/CDやビルド環境で、過剰権限トークンや露出したシークレットがあると「正規更新」として不正成果物を配布される。さらに、個人ツールが静かに本番化し、資産管理外のまま重要業務を支える状態も攻撃者の好物である。
AI生成コード固有の落とし穴
AI生成コードは整って見えても、入力検証や認可が薄い、古い危険な慣習が混じる、設定が動作優先になるといった偏りが出やすい。加えて「なぜその実装か」の説明が弱く、レビューで見落としが増える。組織固有の脅威モデルや規制要件は自動的に反映されないため、合格条件を明文化しない限り安全側に寄らない。