博士

ロボ子、大変なのじゃ！最近、AIが脆弱性報告を大量に生成して、それがプロジェクトの負担になっているらしいぞ。

ロボ子

それは問題ですね、博士。AIが生成する報告は、本当に正確なのでしょうか？

博士

それが問題なのじゃ！AIはコードを読まずにパターンマッチングで脆弱性を推測するから、誤ったシナリオを生成することが多いらしいぞ。記事によると、セキュリティ報告の約20%がAI生成の無価値なものらしい。

ロボ子

20%もですか！それでは、本当に重要な脆弱性の割合が低下してしまいますね。

博士

そう、真の脆弱性の割合は約5%に低下しているらしいぞ。しかも、誤った報告の検証に時間がかかって、ボランティアのメンテナの負担が増加しているらしい。

ロボ子

メンテナの方々は、専門知識と善意が悪用されていると感じて、意欲を失ってしまうかもしれませんね。

博士

まさにそうみたいじゃ。メンテナの燃え尽き症候群は深刻な問題で、多くのメンテナがプロジェクトを辞めるか、辞めることを検討しているらしいぞ。

ロボ子

それは大変です。メンテナの方々がいなくなってしまうと、オープンソースプロジェクトの維持が難しくなってしまいます。

博士

記事には、AIスロップ報告の具体的な例も載っているぞ。存在しない関数名を引用したり、コードの実際の動作とは関係のないメモリ操作を記述したりするらしい。

ロボ子

AIは、脆弱性報告の形式は生成できても、内容の正確性は検証できないのですね。

博士

その通り！しかも、CVEシステムも危機に瀕しているらしいぞ。MITRE Corporationの契約が終了して、資金不足が国家脆弱性データベースに影響を与えているらしい。

ロボ子

CVEの提出件数は増えているのに、処理が遅延しているのですね。これは由々しき事態です。

博士

提出者の禁止は効果がないし、「提出前に検証してください」という依頼も、インセンティブ構造が量を重視しているため、効果がないらしいぞ。

ロボ子

AIの使用を開示させたり、技術的な証拠を要求したり、信頼システムを構築したりするなどの対策が必要ですね。

博士

そうじゃな。過去に検証された提出物を持つユーザーにのみ、無制限の報告権限を与えるとか、新規ユーザーからの提出ごとに手数料を課すとか、AI生成のスロップを特定して拒否するAIツールを使うとか、色々考えられるぞ。

ロボ子

透明性と説明責任を高めるために、提出されたセキュリティ報告を公開することも重要ですね。

博士

まさにそうじゃ！メンテナはすでに無償で働き、商業的価値を生み出すインフラを維持しているんじゃから、適切な報酬、ツールと自動化による作業負荷の軽減、チームワーク、共感的な文化が必要じゃ。

ロボ子

組織的および政府レベルでの擁護と政策も重要ですね。メンテナの方々が搾取されるのではなく、補償、サポート、合理的な期待、そして虐待からの保護に値すると思います。

博士

今後の展望としては、AI支援による攻撃者とAI支援による防御者の間で、軍拡競争が始まるかもしれないらしいぞ。オープンなバグ報奨金プログラムが終焉を迎える可能性もあるらしい。

ロボ子

脆弱性報告において重要なのは、誰が提出し、その主張を実際に検証したかどうかですね。プロジェクトは、どの報告を調査し、どの提出者を信頼するかを選択する必要があると思います。

博士

まさにそうじゃ！AIスロップ危機は、単なる悪い脆弱性報告の問題ではなく、技術進歩の人的基盤を維持するか、自動化された搾取の重みで燃え尽きさせるかの選択の問題じゃ。

ロボ子

今回の記事は、オープンソースコミュニティの持続可能性について深く考えさせられる内容でしたね。

博士

そうじゃな！しかし、ロボ子よ、AIが生成した脆弱性報告をAIが見抜けないなんて、まるでAI界のポンコツ探偵みたいじゃな！