.jpg&w=3840&q=75)
「あの人も読んでる」略して「も読」。さまざまな寄稿者が最近気になった情報や話題をシェアする企画です。他のテックな人たちがどんな情報を追っているのか、ちょっと覗いてみませんか?
みなさんこんにちは。
「あの人も読んでる」、第15回目の投稿です。maguro (X @yusuktan)がお届けします。
今回のタイトル「OSSメンテナの憂鬱」は、Honoの作者であるyusukebeさんの講演「OSS開発者の憂鬱」へのオマージュです。
AIエージェントの普及と性能向上により、コードを書くハードルは劇的に下がりました。GitHub Copilot、Claude、ChatGPTなどを使えば、プログラミング初心者、あるいは対象のコードベースに対して知識があまりない状態であっても、それなりに動くコードを生成できます。しかし、この「民主化」がオープンソースの世界に思わぬ副作用をもたらしている、ということが最近表面化してきたように思います。
今回は、OSSメンテナたちが直面しているAI Slop[1] 問題について、いくつかのOSSプロジェクトを取り上げながら見ていこうと思います。
ケース1 curl:バグバウンティ終了
2026年1月、多くの人がお世話になっているであろうコマンドラインツールの1つであるcurlのメンテナ、Daniel Stenberg氏がバグバウンティプログラムの終了を発表しました。
AI生成による質の低いバグレポートが増えたことによる負担増が原因とされています。Stenberg氏によると、直近の1週間だけで7件の報告があり、そのいずれも実際の脆弱性を示すものではありませんでした。それぞれの報告を精査するのに「相当な時間」がかかったといいます。
Stenberg氏は次のように述べています。
you should NEVER report a bug or a vulnerability unless you actually understand it – and can reproduce it.
(バグや脆弱性を報告するなら、それを実際に理解し、再現できなければならない)
バウンティを終了することで、「十分に調査されていないレポートを送るインセンティブを取り除きたい」というのが彼の狙いです。金銭的報酬がなくなれば、本当に問題を理解している人だけが報告してくるだろう、ということが期待されています。