AIのバグ報告がゴミから本物へ——Linuxカーネル管理者が語る「謎の転換点」

「1ヶ月前に、何かが起きた」——Linuxカーネルの番人がそう語った。AIが生成するバグ報告は長い間ゴミだった。それが突然、使い物になった。理由は誰も知らない。

AIの「スロップ」が突然、本物になった

AIが生成するバグ報告の品質が、突如として様変わりしている。Linuxカーネルの安定版・LTSブランチ管理者として知られるグレッグ・クロア＝ハートマンは、2026年3月（日本時間）にアムステルダムで開催されたKubeCon Europeで、その変化を直接証言した。

数ヶ月前まで、AIが生成するバグ報告の大半は「スロップ（slop）」と呼ばれていた。明らかに間違っているか、品質が低いかのどちらかで、担当者の笑い話程度の扱いだった。cURLの開発者ダニエル・スタンバーグが、AIスロップの洪水に対応しきれずバグバウンティプログラムを停止したのが2026年1月（日本時間）のことだ。

しかし1ヶ月前を境に、状況が一変した。「本物の報告が届くようになった」とクロア＝ハートマンは述べた。これはLinuxカーネルだけの話ではなく、複数プロジェクトのセキュリティチームが非公式な情報交換を通じて確認しており、全てのオープンソースプロジェクトで同じ変化が起きているという。

なぜ変わったのか——誰も答えを持っていない

転換点の「なぜ」は、今も謎のままだ。「わからない。誰も知らないようだ」とクロア＝ハートマンは率直に言った。

ツールが急激に向上したのか、あるいは「こう使えばいい」という方法論が多くの組織に広まったのか——仮説はあるが、具体的な契機は特定できていない。業界の誰かが旗を立てたわけでも、特定のモデルがリリースされたわけでもなく、何かが静かに閾値を超えた。これは計画されていない転換点だ。

制御されないまま始まった変化は、制御されないまま加速する。それは新しい可能性である同時に、新しいリスクでもある。

AIがコードレビューに入り込んでいる

クロア＝ハートマン自身も、AIの可能性を試している。「本当に雑なプロンプトを投げた」と彼は笑って語る。

返ってきたのは60件の問題と修正案だった。約3分の1は間違いだった。しかしそれでも、実在する問題への糸口は示していた。残り3分の2のパッチは正しかった——ただし、より良い変更ログの追記や細かな整合性の調整など、人間によるブラッシュアップが必要だったという。使い物にならないわけではない。「ツールは優秀だ。無視できない」というのが、彼の率直な評価だ。

こうした動きを受けて、Googleがカーネル向けに開発したSashiko（刺し子）がLinux Foundationに寄贈された。現在、ほぼ全てのLinuxカーネルパッチを自動解析している。

Rust製のSashikoは、メーリングリストからパッチを取り込み、複数の段階でレビューを行う。計測では、人間が見逃した1,000件のバグのうち53%を検出した。「53%は大したことない」と思うかもしれないが、ポイントは基準となったバグが全て、人間のレビューをすり抜けて取り込まれたものである点だ。AIは人間の「目」を補完している。ネットワーク・BPF・DRMなど複数のサブシステムでLLMを使ったレビューはすでに実運用に入っており、Sashikoはそれらを共通インターフェースへ統合する役割も担っている。

恩恵と負担は、同じコインの表裏だ

AIのバグ報告が本物になることは、セキュリティの向上として歓迎できる。しかし同時に、レビューの負担も増加する。Linuxカーネルは分散した大規模チームを持つため「対応できる」とクロア＝ハートマンは言う。

問題は小規模なOSSプロジェクトだ。突然の報告の波を処理するための人手も仕組みも持っていない。OpenSSFのAlpha-Omegaプログラムを通じたツール整備が進められているが、具体的な中身はまだ公開されていない。SashikoをLinux Foundationに移管した意図も、ここにある。「以前はリソースを持つサブシステムだけが使えた。今は全員に開放している」とクロア＝ハートマンは述べた。

AIは今、バグを見つける側にも、バグを埋め込む側にも、同時になりつつある。誰もその均衡を設計していない。

参照元

• The Register - AI bug reports went from junk to legit overnight, says Linux kernel czar

#Linux #LinuxKernel #AI #オープンソース #セキュリティ #コードレビュー #ソフトウェア開発 #情報の灯台