オープンソースのMacクリーンアプリが流石に怖すぎるから、AIを使って悪意のあるコードが仕込まれていないか調べた | TechDistill
> Source: Qiita_Trend
Execute Primary Source
// Problem
Full Disk Access(フルディスクアクセス)を要求するアプリは、ユーザーの機密情報(メール、SSHキー等)にアクセス可能なため、たとえオープンソースであっても悪意のあるコードが混入しているリスクが常に存在する。開発者は、その安全性をいかに迅速かつ正確に検証できるかが課題となる。
// Approach
Claude Codeのプランモードを活用し、3つのエージェントによる並列監査を実施。プロジェクト構造の読解、最新のmacOSマルウェア(AMOS, Banshee等)の手法との照合、外部プロセス実行の検証、ファイル削除ロジックの安全性、サプライチェーン攻撃の可能性を網羅的に調査した。
// Result
ネットワーク通信コードは存在せず、既知のマルウェア手法も検出されなかった。ファイル削除はホワイトリスト方式とシンボリックリンク解決により安全性が確保されており、外部依存もゼロであった。TOCTOU等の軽微な改善点は見つかったが、悪意のある挙動は認められなかった。
Senior Engineer Insight
> AIによるコード監査は、サードパーティ製OSSの導入判断における一次スクリーニングとして極めて強力な武器となる。特に、依存関係を排除した設計や、ホワイトリストによる権限管理といった「防御的設計」の妥当性を短時間で検証できる点は、開発スピードと安全性の両立において価値が高い。ただし、TOCTOUのような論理的な競合状態や、AIの検知限界を考慮し、最終的なリスク判断は人間が責任を持つべきである。ツールを過信せず、監査の「効率化」として組み込むのが実戦的な運用だ。