2025年11月、Collins辞書は「Vibe Coding」を「Word of the Year」に選出した。自然言語でAIに指示を出し、生成されたコードを「Accept All」で受け入れる開発スタイルは、もはやニッチな実験ではない。GitHub Copilotのユーザーは2,000万人を突破し、米国の開発者の92%がAIコーディングツールを日常的に使用している。全コードの41%がAI生成とされるこの時代に、品質・セキュリティ・スキル形成の三つの軸で何が起きているのかを検証する。

Vibe Codingとは何か ── Karpathyの提唱から辞書登録まで

Vibe Codingは2025年2月、OpenAI共同創業者でTesla元AI責任者のAndrej Karpathyが自身のX投稿で命名した概念である。「LLMに完全に身を委ね、コードの存在すら忘れる」というその定義は、Cursor ComposerとSuperWhisperを用いてキーボードにほぼ触れず、差分を読まず、エラーメッセージをそのまま貼り付けるという開発スタイルを指す。

Karpathy自身はこれを「週末の使い捨てプロジェクト」向けと位置づけていた。しかし2025年後半、Collins辞書の編集責任者Alex Beecroftが「言語がテクノロジーとともに進化する様を完璧に捉えている」と評し、正式にWord of the Yearに選出したことで、Vibe Codingはバズワードから社会現象へと昇格した。

2026年現在、Stack Overflow 2025 Developer Surveyによれば、開発者の84%がAIコーディングツールを使用(または使用予定)し、51%が毎日使用している。GitHub Copilotは2025年7月に累計2,000万ユーザーを突破し、Fortune 100企業の90%が導入済みである。Copilotユーザーにおいては、コードの46%がAIによって生成されている。

品質の実態 ── 「ほぼ正しいが完全ではない」コードの危険性

生産性向上の裏側で、AI生成コードの品質に関する懸念が数値として顕在化している。CodeRabbitが470件のGitHub PRを分析した2025年12月のレポートでは、AI生成コードはヒューマンコードと比較して1.7倍の「重大な問題」を含むことが明らかになった。具体的には、ロジック・正確性エラーが1.75倍、コード品質・保守性の問題が1.64倍、セキュリティ上の発見が1.57倍、パフォーマンス問題が1.42倍である。

さらに深刻なのは、Stanford HAIが2025年11月に公開したCodeHallucinateベンチマークの結果である。AI生成コードの42%が「サイレントに失敗する」──つまりエラーを出さずに実行されるが、不正確な結果を返す。この種の障害は従来のテスト手法では検出が困難であり、本番環境に到達して初めて問題が発覚するリスクをはらむ。

Stack Overflow 2025 Developer Surveyでも、開発者の66%が「AIの解がほぼ正しいが完全ではない」問題に直面したと回答している。Harness社の調査では67%がAI生成コードのデバッグにヒューマンコードより多くの時間を費やしており、AIへの信頼度は2024年の40%から2025年には29%に低下した。Gartnerは「プロンプト・トゥ・アプリのアプローチは2028年までにソフトウェア欠陥を2,500%増加させる」と警告している。

セキュリティリスク ── 脆弱性の量産と実害

品質問題のなかでも特に深刻なのがセキュリティである。Veracodeが2025年に100以上のLLMモデルを対象に実施したGenAI Code Security Reportによれば、AIが生成したコードサンプルの45%がセキュリティテストに不合格となり、OWASP Top 10の脆弱性を導入した。Java言語では72%という高い失敗率を記録し、クロスサイトスクリプティング(CWE-80)防御では86%が失敗している。

これは学術的な懸念にとどまらない。2025年5月、Vibe CodingプラットフォームLovableで構築されたWebアプリ1,645件をスキャンしたところ、170件がユーザー情報への公開アクセスを許容していた(CVE-2025-48757)。5,600以上のアプリから2,000件超の脆弱性が発見され、400件以上のシークレット漏洩、175件のPII(医療記録、IBAN、電話番号等)の露出が確認された。根本原因はRow Level Security(RLS)ポリシーの欠如または不備であった。

2025年12月に公開された「IDEsaster」研究では、Cursor、Windsurf、GitHub Copilot、Zedなど主要なAI IDEにおいて30以上のセキュリティ脆弱性が発見され、24件のCVEが割り当てられた。テスト対象のAI IDEの100%がプロンプトインジェクション攻撃に脆弱であり、CursorとWindsurfは94以上の既知のChromium脆弱性にさらされていた。影響を受ける開発者は推定180万人に上る。

スキル空洞化 ── ジュニア開発者への構造的影響

Vibe Codingの普及がもたらす第三のリスクは、開発者スキルの空洞化である。Stanford Digital Economy Studyによれば、22〜25歳のソフトウェア開発者の雇用は2022年後半のピークから20%近く減少した(2025年7月時点)。エントリーレベルのテック採用は前年比25%減少している。

Stack Overflowのブログ「AI vs Gen Z」(2025年12月)は、若手開発者がバイナリサーチツリーのスクラッチ実装やメモリリークの独立デバッグといった基礎スキルを習得する機会を失いつつあると指摘する。「プロンプトのプロのように操作できるが、自分のコードが何をしているのか、なぜ動くのかを説明できない」という状況は、生産性ではなく脆弱性であると警鐘を鳴らす。

Google Brain創業者のAndrew Ngは別の視点を提供する。Ngは「Vibe Codingという名称は不幸だ。多くの人に、ただ雰囲気に任せればいいと誤解させている」と述べ、AI支援コーディングは「深い知的作業」であり従来のコーディングと同程度に消耗するものだと強調する。AIツールは使いこなすべきだが、基礎を軽視すれば「自らを無関係な存在にしてしまう」リスクがある。

検証パイプラインの設計 ── AI生成コードを本番品質にするために

AI生成コードのリスクを管理するためには、従来のコードレビュープロセスを根本的に再設計する必要がある。OpenSSFのセキュリティガイドは「AIは脅威モデルについて推論せず、組織のセキュリティ態勢を理解せず、どのワークフローが機微であるかを知らない。もっともらしいコードを予測するのであって、安全な振る舞いを保証するのではない」と明確に述べている。

効果的な検証パイプラインは以下の5層で構成される。第1層は静的解析の義務化である。SonarQube、Snyk Code等のSASTツールをCI/CDパイプラインに統合し、セキュリティ基準を満たさないコードのマージを自動でブロックする。変更差分のみを対象とするインクリメンタル分析により、大規模リポジトリでも10分以内にスキャンを完了できる。

第2層は行動検証である。AI生成コードは外見上正しく見えるがサイレントに失敗する特性があるため、従来の単体テストに加え、期待する振る舞いを明示的に検証するプロパティベーステストやミューテーションテストが有効となる。第3層は依存関係スキャンで、AIが提案するライブラリに既知の脆弱性がないかを自動検査する。

第4層はコードラベリングである。AI生成コードをコメントやコミットメッセージで明示的にラベル付けし、レビュー時に適切な注意を喚起する。第5層は人的レビューの質的転換で、「このコードは妥当に見えるか」ではなく「このコードが前提としている仮定は安全か」という問いに焦点を移す。Bright Security社の推奨するレビュー原則──「懐疑心、好奇心、振る舞いへの集中」──がAI時代のコードレビューの指針となる。

FAQ

Vibe Codingとは何ですか?

2025年2月にAndrej Karpathyが提唱した開発スタイルで、自然言語でAIに指示を出し、生成されたコードを詳細に確認せずに受け入れる手法である。Collins辞書の2025年Word of the Yearに選出された。

AI生成コードの品質はヒューマンコードと比べてどうですか?

CodeRabbitの分析によれば、AI生成コードはヒューマンコードの1.7倍の重大な問題を含む。Stanford HAIのベンチマークでは42%がサイレントに失敗する(エラーなく不正確な結果を返す)ことが判明している。

Vibe Codingはセキュリティ上安全ですか?

Veracodeの調査では、AI生成コードの45%がOWASP Top 10の脆弱性を含んでいた。Lovableプラットフォームの事例では1,645件中170件のアプリでユーザー情報が公開状態にあり、安全とは言えない現状がある。

AI生成コードを安全に利用するにはどうすればよいですか?

静的解析のCI/CD統合、行動検証テスト、依存関係スキャン、コードラベリング、人的レビューの質的転換の5層構造の検証パイプラインが推奨される。OpenSSFのガイドラインが実践的な指針を提供している。

Vibe Codingでジュニア開発者のスキルは低下しますか?

Stanford調査では22〜25歳の開発者雇用が20%近く減少している。基礎スキルの習得機会が減る懸念はあるが、Andrew Ngは「AIツールを使いこなしつつ基礎を学ぶ」バランスが重要だと主張している。

参考文献