無料のコードに、いくら払っているか？

オープンソースのコードは「タダ」だ。AI（ChatGPTやCopilot）にコードを書かせるのも、ほぼタダだ。

では聞きたい。そのタダのコード、本当にタダだったか？

レビューに何時間かけた？　本番で動かなくて何日潰れた？　セキュリティの穴に気づかず、顧客データが漏れたらいくらかかる？

今、「無料のコード」の裏側で2つの異変が同時に起きている。ひとつはオープンソースの大規模汚染。もうひとつはAI生成コードの品質崩壊。どちらも、コードの「調達コスト」がゼロに近づいた結果、検証コスト・修正コスト・事故コストが爆発するという同じ構造を持っている。

特に影響が大きいのは、セキュリティ専任者もコードレビュー体制も薄い中小企業だ。

—

3,800リポジトリが汚染された——オープンソース汚染の実態

GitHubが報告した事実はこうだ。ハッカーグループ「MUT-1244」（一部報道ではStargazers Ghostとも）が、約4,000のコードリポジトリにアクセスし、少なくとも3,800のリポジトリが悪意あるコードで汚染されていたことが確認された。

手口はシンプルで巧妙だ。正規のオープンソースプロジェクトをフォーク（複製）し、見た目はほぼ同じだが中身にバックドアやマルウェアを仕込んだ「偽リポジトリ」を大量に作る。スター（評価）を偽装し、検索上位に表示させる。開発者が何も疑わずにそのコードを自社プロジェクトに取り込む——これで感染が成立する。

3,800という数字の意味を考えてほしい。 ひとつのリポジトリが平均10社に使われていたとすれば、影響範囲は38,000社だ。100社なら380,000社。オープンソースの依存関係は連鎖するから、実際の被害はさらに広がる。

IBMの「Cost of a Data Breach Report 2024」によれば、データ侵害の平均被害額は488万ドル（約7.3億円）。中小企業に限っても、1件あたり数千万円規模の損害が発生するケースは珍しくない。ランサムウェアの身代金、業務停止、顧客への賠償、信用毀損——「タダのコード」から始まった被害としては、あまりに高い。

—

AI生成コードの「4分の1」が新たな品質問題を生む

もうひとつの異変がAI生成コードだ。

GitHub CopilotやChatGPTでコードを書かせる企業は急増している。実際、開発スピードは上がる。だがスピードと品質はトレードオフだという当たり前の事実が、数字で裏付けられ始めた。

GitClear社の調査（2024年）によれば、AI支援で書かれたコードのうち、約24%が静的解析ツール（Pylint等）で新たな品質問題を引き起こすことが確認された。4行に1行が「問題あり」という計算だ。

さらに深刻なのは、AIが「もっともらしいウソ」をつくことだ。法律分野では、弁護士がAI生成の判例を引用して裁判所に提出し、その判例が実在しなかったという事件が米国で複数発生している。2023年にはニューヨークの弁護士がChatGPTの出力した架空の判例6件を裁判書面に記載し、制裁処分を受けた。

コードでも同じことが起きる。AIが生成した関数が、存在しないライブラリを参照している。テストは通るが、エッジケースで静かに壊れる。本番環境に入ってから発覚する——こうした「もっともらしいバグ」は、人間が書いたバグより発見が遅れる傾向がある。なぜなら、コードの見た目がきれいだからだ。

結果どうなるか。AI生成で浮いた開発工数の何倍ものレビュー工数・修正工数・障害対応工数がかかる。ある開発会社の試算では、AI生成コードを検証なしで使った場合、保守コストが従来比1.5〜2倍に膨らむというデータもある。

—

構造を整理する——「調達コストゼロ」の罠

ここで一歩引いて、構造を見てみよう。

調達コストがゼロになると、人は検証コストも軽視する。「タダだから、とりあえず使おう」——この判断が、後から10倍のコストになって返ってくる。

これは技術の問題ではない。コスト構造の問題だ。

—

中小企業こそ「コードの調達方針」を持て

大企業にはセキュリティチームがある。コードレビューの専門部隊がある。SBOM（ソフトウェア部品表）を管理するツールも導入済みだ。

中小企業にはない。だからこそ、方針が要る。

具体的に何をすればいいか。3つだけ決めればいい。

1. 「どこから取ってきたコードか」を必ず記録する

オープンソースなら、どのリポジトリの、どのバージョンか。AI生成なら、どのツールで、どのプロンプトで生成したか。これだけで、問題が起きたときの原因特定スピードが桁違いに変わる。コストはゼロだ。Excelの一覧表で十分。

2. 「外から来たコード」は本番投入前に最低限の自動チェックを通す

静的解析ツール（ESLint、Pylint、Bandit等）は無料で使える。CI/CDパイプラインに組み込めば、人手はかからない。24%の品質問題のうち、かなりの部分はこれで引っかかる。 セットアップに半日、運用コストはほぼゼロ。やらない理由がない。

3. 「タダのコードのトータルコスト」を見積もる習慣をつける

オープンソースのライブラリをひとつ導入するとき、「調達コスト：0円、検証コスト：X時間、アップデート追従コスト：年Y時間、セキュリティ監視コスト：月Z時間」と書き出してみる。AI生成コードも同じだ。この見積もりをやるだけで、「タダだから全部使おう」という判断が減る。

—

「タダより高いものはない」が、コードの世界でも現実になった

昔からある言葉だが、ソフトウェアの世界でこれほどリアルに実感される時代は初めてだ。

オープンソースの汚染は、3,800リポジトリという数字で可視化された。AI生成コードの品質問題は、24%という数字で定量化された。どちらも「調達コストゼロ」の裏側にある隠れたコストだ。

中小企業にとって、コードは「書くもの」から「調達するもの」に変わりつつある。外注先が人間からAIやオープンソースに変わっただけだ。外注先の品質管理をしないまま本番に使う会社はない。コードも同じだ。

必要なのは、大企業並みのセキュリティ投資ではない。「どこから来たコードか記録する」「自動チェックを通す」「トータルコストを見積もる」——この3つの習慣だけだ。 どれもコストはほぼゼロ。やるかやらないかの問題でしかない。

「無料のコード」を使うなとは言わない。ただ、その無料にいくら払っているか、一度計算してみてほしい。

—