2026年6月23日、Goセキュリティチームの元責任者であるフィリッポ・バルスオルダ氏は、オープンソース開発における脆弱性報告の伝統的な枠組みが終焉を迎えていると指摘した。従来、セキュリティ研究者の内部報告には迅速な対応と謝辞が不可欠とされ、研究者が機密保持を条件に脅威を報告する代わりに開発者がユーザー保護義務を負う対価交換モデルが定着していた。しかし、大規模言語モデルの進化によりこの前提は崩れつつある。 同氏によれば、LLMは現在、専門的な脆弱性調査と同等の分析能力を備えており、誰でも利用可能である。その結果、貴重な知見の供給源は外部研究者からAIへと移行し、開発者の負担は潜在的な問題の発見から実態ある脅威の選別へとシフトした。外部報告者はAIの出力精査工程に加わることが難しく、セキュリティ担当窓口への投書とAI分析の信号対雑音比は同程度である。また、攻撃側も同様のAIツールを採用しており、公開前における機密保持や調整の必要性は大幅に低下した。 このパラダイム転換により、開発コミュニティは脆弱性報告を特別扱いする慣行を見直す必要がある。今求められているのは、CI環境へのAI分析統合による自動トリエージ、迅速な修正パッチの適用、そして予防的セキュリティ設計である。Geomyｓを支援するTeleportやAva Labs、Datadogといった企業も、認証基盤や暗号プロトコルの持続的維持へ投資を強調しており、インフラセキュリティの自動化・高度化が業界標準へ移行しつつある。 今後、オープンソース維持者は報告チャネルの停止ではなく、AI活用に基づく効率的な脅威対応ワークフローの構築に注力する必要がある。セキュリティ文化の転換が、次世代のソフトウェアサプライチェーン保護の鍵となる。