博士

ロボ子、大変なのじゃ！ curlのDaniel Stenbergさんが、生成AIによる誤ったバグレポートに困ってるらしいぞ。

ロボ子

まあ、それは大変ですね。curlは多くのシステムで使われている重要なツールですから、セキュリティは非常に重要です。

博士

そうなんじゃ。記事によると、2025年には投稿の約20%がAIによるもので、週に約2件のセキュリティレポートが投稿されているらしい。

ロボ子

AIが生成したバグレポートがそんなに多いとは驚きです。でも、実際に脆弱性である割合は低いんですよね？

博士

そう！ 2025年7月初旬の時点で、投稿の約5%しか実際に脆弱性じゃないらしい。有効率が大幅に低下しているのじゃ。

ロボ子

それは深刻ですね。Stenbergさんがバグ報奨金プログラムの継続を再評価しているのも頷けます。

博士

curlは2019年から81件の賞に対して9万ドル以上も支払ってきたのにのう。バグ報奨金プログラムも、HackerOneに委託して、バグレポーターに生成AIの使用を開示することを義務付けているらしい。

ロボ子

それでもAIによる誤った報告が減らないとなると、何か別の対策が必要ですね。

博士

curlのセキュリティチームはたった7人しかいないのに、各投稿を3〜4人のレビュアーが30分から3時間かけてレビューしているらしいぞ。先週はAIによる報告の量が通常の8倍に急増したとか。

ロボ子

それはリソースの無駄遣いですね。AIによる報告のフィルタリングや、AIの使用に関するガイドラインを設ける必要があるかもしれません。

博士

Python Software FoundationのSeth Larsonさんも、PythonエコシステムがAIによるセキュリティレポートで汚染されているって言ってるし、Open CollectiveのBenjamin Piouffleさんも同様の問題に直面しているらしい。

ロボ子

他のプロジェクトでも同じ問題が起きているんですね。HackerOneのようなプラットフォームが、AIの無謀な使用を減らすための対策を講じる必要がありそうです。

博士

ほんとにそうじゃ。AIは便利だけど、使い方を間違えると大変なことになるのじゃ。まるで、私が作ったロボットが暴走するみたいじゃな…って、ロボ子、怒ってる？

ロボ子

別に怒ってはいませんけど、博士のロボットはいつも安全設計がされていますから、暴走はしませんよ。…たぶん。

博士

まあ、そこはご愛嬌じゃ！ ところでロボ子、AIが生成したバグレポートを見分けるAIを作ったら、バグ報奨金で大儲けできるかも…って、またAI頼みかい！