【要約】curlが7月の脆弱性報告をまるごと停止、AIスロップが優秀になった逆説 [Qiita_Trend] | Summary by TechDistill
> Source: Qiita_Trend
Execute Primary Source
// Problem
curlのセキュリティチームは、AIによる報告件数の急増により、深刻な運用負荷に直面している。
- ・脆弱性報告が2024年比で4〜5倍、2025年比で約2倍に増加した。
- ・報告の質は向上したが、未処理案件の切り分け作業が膨大化した。
- ・生成コストの低下に対し、検証コストが固定された非対称性が課題である。
// Approach
メンテナは、システムの過負荷を防ぐため、物理的な受付停止という手段を採用した。
- ・2026年7月1日から8月3日まで、HackerOne等の窓口を停止した。
- ・GitHubのIssueやPR、有償サポートは通常通り運用を継続した。
- ・報告者に対し、人間による理解と再現性を重視したガイドラインを提示した。
// Result
メンテナは、物理的な受付停止により、精神的負荷の軽減と休息を確保した。
- ・窓口を閉鎖することで、バックログの増大を一時的に遮断した。
- ・副作用として、次期リリースが約2週間後ろ倒しとなった。
- ・報告者には、AI利用の是非ではなく、人間としての責任ある報告を求めた。
Senior Engineer Insight
> 生成AIは「作るコスト」を劇的に下げる。しかし「検証コスト」は人間に依存し、固定される。この非対称性は、あらゆる開発パイプラインでボトルネックとなる。レビュー負荷の増大に対し、検証の自動化や、上流での自己検証を強制する設計が不可欠だ。単なるツール導入ではなく、フロー制御の視点が求められる。