「放置されたOSS」が招く“第2のLog4j”の恐怖 文化を守る4つの生存戦略とは:バイブコーディングがOSSを破壊する【後編】
数年以上更新のないOSSを用いている商用ソフトウェアが大量に出回っている。開発者の意欲が削がれ、保守が止まったOSSは「第2のLog4j」のような深刻な脆弱性を生む。AI時代にOSSを救うための4つの処方箋とは。
商用アプリケーションを含む現代のソフトウェア開発において、オープンソースソフトウェア(OSS)はもはや欠かせない社会インフラだ。しかし、AI(人工知能)技術の急速な普及が、このエコシステムを揺るがし始めている。
AIツールに自然言語で指示を出し、ソースコードを生成させる「バイブコーディング」という新たな開発スタイルは、生産性を劇的に向上させた。その一方で、AIツールが仲介役になることで、利用者とOSSのメンテナー間の直接的なつながりが断たれるという副作用も生んでいる。ミクロス・コレン氏らの経済学者グループが発表した研究論文「Vibe Coding Kills Open Source」は、この変化がOSSの持続可能性を根本から破壊しつつあると警告する。利用者は増えても、メンテナーには利用者の声も正当な報酬も届かないという「需要の横取り」が起きているのだ。
本稿は、この交流の断絶が招く具体的な弊害を取り上げ、人気ツールの収益激減や、管理が行き届かない「放置されたソースコード」が引き起こす深刻な脆弱(ぜいじゃく)性など、ソフトウェアサプライチェーンを揺るがす危機の正体を読み解く。崩壊の危機にひんしたOSSを救うために必要な「4つの対策」も併せて紹介する。
人気ライブラリの開発者が感じているOSS文化の“崩壊”
併せて読みたいお薦め記事
連載:バイブコーディングがOSSを破壊する
OSSをどう活用すべきか
バイブコーディングが広まると、共有されるOSSの種類が減り、平均的な品質も低下するという見方がある。
切り離される利用と交流
CSSライブラリ「Tailwind CSS」の事例がその象徴だ。コレン氏らの論文によれば、同ライブラリのダウンロード数は2025年にかけて急増したが、技術掲示板での質問数は逆に減少した。
Tailwind CSSの開発者アダム・ワサン氏は2026年1月、同ライブラリのドキュメント閲覧数が2023年初頭から約4割、収益は8割近く減少したことを報告した。「OSSを使いやすくする努力をしても、プロジェクトの継続に必要な資金が得られない状況だ」とワサン氏は語る。
情報共有サイトの衰退が示すもの
エンジニア向け質問サイト「Stack Overflow」の衰退も、この変化を裏付けている。2024年の論文「Large language models reduce public knowledge sharing on online Q&A platforms」によれば、2022年11月に登場した「ChatGPT」の普及によって、同サイトの活動はChatGPTのリリースから半年以内(2023年前半)までで25%減少した。
ただし、交流の減少が悪影響ばかりだとは限らない。「Linux」ディストリビューションベンダーSUSEで、ポートフォリオアーキテクチャおよびコミュニティー部門の責任者を務めるマット・ファリーナ氏は、「AIツールが開発者の問題解決を助けることで、メンテナーの負担が減る側面もある」と述べる。
一方、Red Hatのコミュニティーアーキテクチャおよびインフラストラクチャ担当シニアマネジャーであるジェイソン・ブルックス氏は、雑多な質問が減る一方で、収益化に欠かせない「新たな発見の場」も失われていると指摘する。「私は提案されたライブラリの制限を深く知るために、今でも意識的に公式ドキュメントを探すようにしている」と、自発的な確認の重要性を説く。
保守の停滞が招く危機
OSSの保守不足は以前からの課題だったが、バイブコーディングがそれに拍車を掛けている。特に、企業向け有料販売という収益の柱を持たない中堅のオープンソースプロジェクトが、深刻な危機に直面している。
アプリケーションセキュリティベンダーBlack Duck Softwareのレポート「2026 Open Source Security and Risk Analysis Report」は、950以上の商用コードベースを監査した。その結果、調査対象となったアプリケーションの93%で、過去2年間更新されていないOSSコンポーネントが使われていることが判明した。Sonatypeのレポート「2023 State of the Software Supply Chain」は、4つの主要エコシステムにわたる約117万件のOSSプロジェクトを分析した。それによれば、2022年に保守されていた「Java」および「JavaScript」プロジェクトの18.6%が、2023年時点では放置されている。
適切に管理されないソースコードは、深刻な脆弱(ぜいじゃく)性を生む。2021年に発見された、Javaのログ出力ライブラリ「Apache Log4j」の脆弱性は、企業のサーバやクラウドインフラ全体でリモートコード実行を許す事態を引き起こした。修正版の公開から約2年が経過した2023年時点でも、ダウンロードの40%が依然として欠陥のあるバージョンだった。
2024年初めには、ファイル可逆圧縮ツール「XZ Utils」にバックドアが仕込まれる事件が起きた。攻撃者は2年もかけてメンテナーの信頼を勝ち取った上で、不正なプログラムを仕込んでいた。Black Duck Softwareのレポートによると、調査対象の65%が2024〜2025年にソフトウェアサプライチェーン攻撃を経験したと報告している。
深刻な収益ギャップ
コレン氏らの論文のシミュレーションによれば、バイブコーディングの普及率が70%に達すると、プロジェクトの1人当たりの収益は7割減少する。これに対して、AIツールによる人手不足の解消効果は、開発費用の12%程度を補うにとどまる。
従来のOSS提供水準を保つには、バイブコーディングツールを使う開発者が、OSSを直接利用する開発者と同等の資金還元をするか、収益の8割以上を利用実績に頼らない外部資金で賄う必要がある。しかし、現実はそのどちらからも程遠い。
OSSエコシステムを救うための4つの対策
コレン氏らは、AIツールの普及を止めるのではなく、仕組みを再構築すべきだと提唱する。
1.サービス提供側での収益分配
AIコーディングツールは、どのパッケージをどの程度の頻度で使ったかを記録している。これを利用し、サービス利用料を実績に応じて分配する仕組みが有効だ。論文はこれを「OSS版『Spotify』」と呼んでいる。技術的な準備は整っており、後は提供企業間での調整を進めるだけだ。テストツールベンダーSmartBear Softwareのエンジニアリング担当バイスプレジデントであるスコット・キングスリー氏は、「バイブコーディングが当たり前の世界を前提とした、新たな収益化戦略への転換が必要だ」と指摘する。
2.利用実績に依存しない資金提供
現在、企業によるOSSへの貢献の大半は従業員の労働力によるものだが、これを直接的な資金提供にシフトさせる必要がある。「GitHub Sponsors」や「Open Source Pledge」などの資金提供に関する仕組みを、より緊急性の高いものとして活用すべきだ。
3.社内でのソースコード管理の徹底
AIツールは、生成したソースコードの出典を明示しないことがある。古いライブラリや欠陥のあるソースコードを提案する恐れもある。ただし、AIツールは問題を生み出すだけではなく、管理を助ける手段にもなり得る。ブルックス氏が言うように、「AIツールを使えば、プロジェクトの基準に適合した適切なソースコードを提供しやすくなる」はずだ。
4.隠れた依存関係への直接投資
本当に危険なのは、目立つ巨大プロジェクトではなく、その下層で広く使われているにもかかわらず、少人数が保守している中堅プロジェクトだ。業界団体Linux Foundationが2025年5月に実施し、841件の回答を分析したレポート「State of Global Open Source 2025」によれば、企業の83%がOSSの採用を自社の運用にとって価値があると見なしている。その一方で、自社内にフルタイムのOSSメンテナーを雇用または正式に指名している企業は29%に過ぎない。
未来に向けた行動
コレン氏らは、研究結果を「崩壊の予測」ではなく「行動への呼びかけ」だと位置付けている。OSSのエコシステムは、これまでも技術と制度を変化させることで危機を乗り越えてきた。バイブコーディングの時代にも、同様の再編が不可欠だ。
今、必要なのは「意志と連携」だ。ITリーダーにとってのリスクは、もはや個別のパッケージの欠陥だけではない。そのパッケージが依存しているプロジェクトそのものが今後も存続するかどうかという点にまで、リスクの対象は広がっている。
Copyright © ITmedia, Inc. All Rights Reserved.