「Just for Fun」から遠く離れて

• 

現代におけるデジタルエコシステムのインフラをなしていると言ってよいオープンソース・ソフトウエア（以下、OSS）の多くが、ごく少数の開発者の半ば義務感によってなんとか維持されているという問題は以前より定番の話題で、本連載でも「自由なソフトウェアと抗議と倫理の「（不）可能性」について」や「米国の国家サイバーセキュリティ戦略とインフラとしてのオープンソース」で触れています。

これをxkcdの有名なウェブコミックから「ネブラスカ問題」と命名したのは、人間的な好き嫌いは別として、その仕事にはワタシも深い敬意を払っている八田真行氏ですが、今年に入り、生成AIによって「ネブラスカ問題」の深刻さが増した印象があります。そして、それだけに留まらない力学も感じるので、今回はオープンソース×AIについて書いていきます。

「AIもメタクソ化の道を辿るのか、あるいは「普通の技術」に落ち着くか」で取り上げたAI Disclosures Projectが2月に公開した「オープンソースはAIの時代を生き残れるのか？」はタイトルからしてズバリですが、取り上げられている事例は以下の3つです。

・生成AIの登場により質問数が激減した開発者向けのQ＆AサイトStack Overflow
・ユーザーがドキュメントサイトを訪れずIDE上のチャットボットで解決するため、サイトトラフィックが40％減少し、商用版の売上が激減してエンジニアの75％を解雇せざるをえなかった人気CSSフレームワークのTailwind
・AIが生成した大量の脆弱性報告（AIスロップ）が半ばDDoS攻撃化してメンテナーの精神的健康が損なわれ、バグ報奨金プログラムの中止を余儀なくされたマルチメディアフレームワークのFFmpegやコマンドラインツールのcurl

Stack Overflowの話はオープンソースの直接的な事例ではありませんが、共有される質問と答えが減少することで、将来的にAIが学習する人間の知見が減ることにもなり、OSSプロジェクトの持続可能性への影響が懸念されます。

OSSプロジェクトの維持の難しさについては、OSSを利用する大企業が収益をあげても、開発者がそれから恩恵を得ることがなく、その多くは無償でも義務感からメンテナンスを続けているが、致命的なセキュリティホール報告をきっかけに廃止が決まったIngress NGINXの事例が2025年末にも話題になりました。Tailwindの事例は、AIがOSSのビジネスモデルのより直接的な破壊につながったものであり、やはりOSSの持続可能性に関わる問題に違いありません。

404 Mediaの「バイブコーディングがオープンソースを殺そうとしている、と研究者が主張」は、やはりTailwind CSSを例にしながら、生成AIを使ったバイブコーディングが、短期的にはソフトウェア開発を効率化する一方で、長期的にはOSSの供給基盤を破壊しうるという趣旨の論文を取り上げています。

メンテナが直接的なユーザーエンゲージメントを主に収益化する従来のOSSのビジネスモデルの元では、バイブコーディングの普及が進むとOSSの提供が減少し、多様性が縮小してOSSの平均的な品質が低下し、社会全体の便益が低下するというのがこの論文の結論ですが、要はバイブコーダーは自らが恩恵を受けているOSSコミュニティに対して「還元」を行っていないということです。

これはバイブコーダーの倫理性の問題ではなく、AI自体に内在する構図であることを404 Mediaは示唆します。

AIは究極のレントシーカーであり、クリエイターとユーザーの間に割り込む仲介者であり、しばしば自らの生命源そのものを消費してしまう。 OSSとバイブコーディングの力学は、他の場所でも展開されている。昨年10月、ウィキペディアはトラフィックが急増したと発表したものの、その大半はAIによるサイトのスクレイピングによるものだった。AIという仲介者を介してウィキペディアを利用するユーザーは、サイトを更新することもなければ、頻繁に行われる資金調達キャンペーンに寄付をすることもない。

この問題はワタシも「AIスクレイパーボットへの対策と開かれたウェブのジレンマ」で取り上げていますが、OSSコミュニティも開発者への還元、つまりはその報酬の問題に向かい合うべき時であることは、The Registerの「オープンソースは寄付箱ではない――アクセス料を徴収する時が来た」を読んでも分かることです。

でもね、多くのオープンソース開発者はそんな高額な年収を得たことさえない。実際、2024年にTideliftがメンテナーに実施した調査報告書によると、オープンソースのメンテナーの60％は無報酬であり、60％がメンテナンスを実際辞めたか辞めることを検討したことがある。その主な理由は燃え尽き症候群と報酬の欠如だ。ああ、それに報酬を得ている人の中でも、その作業で年間1000ドル以上稼いでいるのはわずか26％に過ぎない。地元のマクドナルドで「フライドポテトもいかがですか？」と尋ねる方が稼ぎはまだマシだろう。

この記事で取り上げられるHeroDevsのオープンソース・サステイナビリティ・ファンドやSentryのOpen Source Pledgeの取り組みはもっと注目されてよい動きですし、企業とOSSとの関係を再構築し、開発者への報酬が気まぐれな慈善的寄付ではなく、事業運営のコストとなるような仕組みづくりが求められています。

OSSとAIの「還元」の問題では、Pythonの文字エンコーディング検出ライブラリのchardetで起きたAIを使ったライブラリの書き換えとライセンス変更の話も欠かせません。

この問題については佐渡秀治氏が法的・実務的な整理のための文章を書いており、そこでの「独立実装と断言するには苦しいが、直ちに著作権侵害と断定するには足りない」という結論に同意しますが、付け加えるならこれは単なる「ライセンスウォッシュ」の問題に留まらず、これもAIがイノベーションと流用との境界線を曖昧にし、コミュニティを還元することなくOSSを商用化してしまう可能性が現実の課題となったと言えます。

antirezの名で知られるサルヴァトーレ・サンフィリッポのように、「ここにもっと根本的な真実がある。それは、ソフトウェアの本質が変わったということ。異なるライセンスの下で行われる再実装は、その本質が永遠に変化してしまったことを示す一例に過ぎない。自動プログラミングのあらゆる兆候と対立するのではなく、新たなメンタルモデルを構築し、それに適応していくほうがよいと私は考える」と穏当な反応をする人もいれば、「オープンソースの定義」の起草者であるブルース・ペレンズのように、「私は今、ガラスを割って火災報知器を鳴らしている！ ソフトウェア開発の経済構造全体が死んだ、消えた、終わった、完全に崩壊したんだ！」と物騒な表現を使う人もいます。

ワタシ自身はペレンズよりもantirez寄りですが、ペレンズが合わせて言っている「以前は採算に合わなかったニッチなソフトウェアが普及する」という予想を読んで、ドリュー・ブレイニヒの「大聖堂、バザール、そしてウィンチェスター・ミステリー・ハウス」を想起しました。

これはエリック・S・レイモンドが「伽藍とバザール」で対比させた2つのソフトウェア開発モデルに加え、「ウィンチェスター・ミステリー・ハウス」モデルが加わったと主張する文章です。

ウィンチェスター・ミステリー・ハウスとは、19世紀末に莫大な遺産を相続した未亡人のサラ・ウィンチェスターが、その死まで38年もの間絶えず建設を続け、最盛期には500もの部屋があったという大邸宅ですが、今では多くのプログラマーがサラ・ウィンチェスターそのものだとブレイニヒは書きます。

もちろん我々はサラ・ウィンチェスターほど裕福ではありませんが、AIによりこれほどコード作成が安価になれば、同じことだと言います。フレデリック・P・ブルックス,Jr.の『人月の神話』によれば、優秀なエンジニアでも1日あたりに書くコードは10行程度に過ぎないとのことで、それは少ないと多くの人が直感的に思うわけですが、前述のantirezがRedisのコードを例に計算してみたところ、当たらずとも遠からずだったとのこと。

で、Claude Codeが1コミットあたりに追加するコードは約1000行で安定しており、つまりは人間のプログラマが1日に書く行数よりも2桁多いことになります。

しかし、書いたコードに対する調整やフィードバックのコストは下がっていません。そうなると、自分自身がレビュアーになり、自分が作りたいものを構築し、それを自分で使うだけになり、ソフトウェアは自分の好みや癖や用途にぴったり合う、だが他人には理解できない「ウィンチェスター・ミステリー・ハウス」化するというわけです。

そして、これにはOSS開発の「バザール」を衰退させる懸念があります。ブレイニヒは、今もバザールは人で溢れかえっているが、それは良い意味での賑わいではないと書きます。彼が問題とするのは、前述の「AIスロップ」問題ですが、コード作成の速度が上がっても、調整インフラは人間の速度に合わせて構築されているため、メンテナーに負担のしわ寄せが押し寄せます。

ブレイニヒは、「バザール」モデルと「ウィンチェスター・ミステリー・ハウス」モデルは共存できると考えており、驚くほどモジュール化されており、柔軟性のある作りになっている、自律的に動作するオープンソースのAIエージェントのOpenClawをその実例と考えていますが、以下の結論を楽観視できるかは疑問です。

インターネットは調整を安価にし、我々に「バザール」をもたらした。コーディングエージェントは実装を安価にし、我々に「ウィンチェスター・ミステリー・ハウス」をもたらした。我々に欠けているのは、注目を安価にし、メンテナーが機械並みの速度で貢献を取り込み、ノイズの中から優れたアイデアを浮き上がらせるツールと慣習だ。これを解決するまでは、バザールは賢くなることなく騒がしくなり続け、我々のミステリー・ハウスにある最高のアイデアも、メンテナンスをやめた瞬間に忘れ去られてしまうだろう。

そして、最後に触れなければならないのは、今月に入ってからの、Anthropicが非公開を発表したClaude Mythosを巡る騒動です。

ワタシ自身はClaude Mythosの漏洩、そしてそれに続く一般への非公開や、限られた主要組織だけがアクセスできるProject Glasswing target=”_blank”発表の報に接しても、「危険すぎて一般公開できない」最新モデルというのも一種の宣伝文句ではないかと疑っていたくらいです。

しかし、Mythosが示した能力は衝撃的でした。これについては平和博氏や小林啓倫氏が既に記事を書いているのでそちらを参照いただきたいですが、主要OSSに長年潜伏していた未知の「ゼロデイ脆弱性」の発見から、高い確率で攻撃を成功させるエクスプロイト（攻撃コード）の生成までを自律的にこなすAIエージェントが、サイバーセキュリティにもたらす影響は破壊的と言えます。多くの企業が、AIリスクをサイバーセキュリティ戦略の中核に据える必要が出てきました。

アニール・ダッシュは、これまでならその年における最大の脆弱性として扱われていたレベルのセキュリティ脆弱性の報告が、生成AIによって日常茶飯事になりつつある現状を、かつての2000年問題になぞらえて「Y2K 2.0」と呼んでいますが、まさにAIセキュリティの正念場というわけです。

ダッシュが書くのは、この文章で取り上げてきた問題全部入りというべき現状です。

オープンソースプロジェクトは、この新たな攻撃の波に甚大な打撃を受けることになるだろう。既に私が指摘した通り、オープンインターネット全体が包囲されているという広範なトレンドの一環として、オープンソースプロジェクトは攻撃にさらされている。オープンソースのメンテナーたちは、時間を浪費し、主に無償で時間とエネルギーをボランティアとして捧げている人々を苛立たせ、疲弊させるAIスロップのコードを大量に送り付けられている。さらには、粗悪なコードの氾濫を招いたのと同じLLMが、悪意ある攻撃者にセキュリティ上の脆弱性を発見し、悪用する手段を提供している。あるいはよくても、修正が必要な新たなセキュリティ上の問題を発見するくらいだ。しかし、仮に新たなセキュリティ上の問題が報告されたとしても、粗悪なコードの山の中から正当なセキュリティパッチを見つけ出すために、すべてのコード提出物を精査しなければならない！ 人々がAIエージェントにオンデマンドでコードを生成させるようになるにつれ、オープンソースプロジェクトへの参加が減少している現状と相まって、多くのオープンソースプロジェクトは単に白旗を掲げることを選ぶかもしれない。

実際、AIによるセキュリティリスクがあるとしてクローズドへ移行を決断したOSSプロジェクトも出ています。

2000年当時、大事故も金融危機も起きなかったため、2000年問題のバグなど実は存在しなかったと多くの人は考えているが、実際には世界中のエンジニアが総動員されたおかげで、2000年問題のバグから皆が守られ、一般の人々の日常生活にはまったく支障がなく済んだのだとダッシュは釘を刺します。

果たして我々は「Y2K 2.0」を回避できるのでしょうか。

今後数週間から数ヶ月の間に誰もが直面することになりそうな一連のセキュリティ上の課題において、歴史がここで繰り返されるかどうかは分からない。オープンソースやオープンソースのインフラ組織が取り組まなければならない問題に対処するのを支援すべく、それなりのリソースや資金（巨大AI企業に投資された莫大な金額に比べれば比較的少額だが）の提供が約束されている。テクノロジー分野の多くの大手企業は、少なくとも協力を始めつつある。これは、セキュリティの専門家たちが長年にわたり、企業間の競争が公益を守るためのベストプラクティスの妨げにならないよう、非常に思慮深く、規律正しく行動してきた歴史に立脚している。

そしてダッシュは、現時点でAIセキュリティの分野で最も先行しているのがAnthropicなのは運が良かった、と漏らしていてちょっと笑ってしまったのですが、やはりニューヨーカー誌におけるローナン・ファローとアンドリュー・マランツによる長編記事において、その信頼ならなさが明らかにされたOpenAIのサム・アルトマンのことがダッシュの頭にあったのかな、とか思ってしまいました。

やはり、超知能AIなんか作らなくても、人類は順調に絶滅の道を進んでいる気がしますが、それは気のせいであり、人類もOSSも生き残ってほしいところです。

Tags

• オープンソース
• 生成AI
• AIセキュリティ
• ソフトウェア開発
• デジタルエコシステム