David Lokerは、CodeRabbitのAI担当副社長であり、コードレビューと開発者ワークフローを変革するエージェントAIシステムの開発を主導しています。 起業家であり、賞を受賞した研究者として、2007年から大規模な機械学習とAIシステムを構築しており、NeurIPS、ICML、AAAIなどの主要なカンファレンスに12以上の論文を発表しており、生成的なAIの先駆者でもありました。
2025年がインターネットが壊れ続ける1年だったように、2026年も同様の状況になる可能性が高い。停止、インシデント、生産性の低下は、エンジニアリングチームを驚かせる稀なイベントではなくなった。現代のソフトウェア開発では、常に発生する背景条件になっている。IsDown.appなどの停止トラッカーからのデータによると、2022年以降、毎年インシデントが増加していることがわかり、逆転する兆しは見られない。また、独立した調査でもこれを裏付ける結果が出ている。1,000人を超えるCIO、CISO、ネットワークエンジニアを対象に行われた世界的な調査では、84%の組織が停止の増加を報告しており、そのうち半分以上の組織で2年間で10〜24%の増加が見られた。ThousandEyesも同様の変動を観察しており、月ごとの大きな変動が一過性的ではなく、継続的な上昇圧力があることを示唆している。気になることは、毎日頼るシステムが、クラウドインフラストラクチャ、可観測性、自動化への投資にもかかわらず、より堅牢ではなく、より脆弱になっていることである。主要プラットフォームが停止すると、影響は即時に広がる。支払いは失敗し、消費者アプリはフリーズし、内部ツールは停止し、全体のサプライチェーンが影響を受け、経済損失の推定額は通常、数十億ドルに達する。例えば、電子商取引のリーダーであるAmazonは、インシデントの増加、包括して今月のウェブサイトとショッピングアプリのほぼ6時間の停止を、ジェネレーティブAIの支援による変更に帰した。これにより、会社は最近の停止の増加についての深い分析のためのエンジニアリング会議を予定した。大きな停止の後、冗長性、多クラウド戦略、ベンダー集中リスクについての同じ議論が繰り返される。これらの議論は重要だが、大きな絵は見えていない。インフラプロバイダーが悪くなっていないと仮定して、ツールが成熟し続ける場合、インシデントはどうしてまだ増え続けるのか?AIがソフトウェアの出荷方法を変えたインシデントの増加と同時に起こっている大きな変化の1つは、AI支援ソフトウェア開発の広がりである。AIコーディングツールは実験的ではなくなった。IDEまたはCLIに組み込まれており、AIでコードを生成することが以前よりも容易になった。業界全体で、開発者ごとのプルリクエスト数が大幅に増加しており、一部の分析では、AIが出力を加速させたことにより、年間約20%の増加が見られた。同時に、プルリクエストごとのインシデント数もさらに急激に増加しており、23%以上の増加が見られた。この相関関係は因果関係の証明ではないが、無視することはできない。AIはコードを書くことを速めるだけでなく、リスクの形を変える。現在、ほとんどのチームはAI支援コードで経験豊富なエンジニアが独自に導入しなかったバグの連続流れに出会っている。これらは劇的な構文エラーや明らかに壊れた変更ではない。細かい論理的ミス、誤った設定、ガードレールの欠如、エッジケースの失敗が、見た目には妥当に見えるものである。AI生成コードはクリーンにコンパイルされ、基本的なテストに合格し、妥当なコードのように読める。問題は、AIが新しい種類のバグを発明することではなく、同じバグをより頻繁に、そして既存のレビューとQAプロセスを圧倒するスケールで生成することである。AIがコードを書くときにデータが示すもの私たちは、AI vs. Human Code Generation Reportでこの直感を裏付ける数字を分析するために、数百のオープンソースプルリクエストを分析した。AIと共同で作成された変更は、人間だけのプルリクエストと比較され、サイズで正規化されると、AI支援PRには約1.7倍の問題があった。より心配なことに、それらはまた1.4〜1.7倍の重大な問題を示した。論理的および正確性の問題、包括して制御フローの欠陥、依存関係の不正使用、設定エラーは約75%多かった。エラーハンドリングのギャップ、包括してnullチェックの欠如、例外パスの不完全性、ガードレールの欠如はほぼ2倍に増えた。セキュリティ問題も増加しており、一部のカテゴリでは2.7倍高いレートで発生していた。特に、資格情報の取り扱いと不安全なオブジェクト参照についてである。コンカレンシーと依存関係の正確性の問題も約2倍増加した。人間もこれらの同じミスを犯すが、AIが関与する場合、これらの欠陥はより頻繁に発生し、より大きなコードベースで、伝統的なコードレビューの速度を超えるスピードで発生する。これらは、セキュリティインシデントまたはプロダクション環境での停止として現れる可能性のある、正確に同じ欠陥である。2026年が異なるように見えるかどうかを決めるものセキュリティの観点から見ると、この傾向は無視できない。論理的欠陥、安全でないデフォルト、設定エラーは、個別に見ると壊滅的な脆弱性ではないが、攻撃面を拡大する。エラーハンドリングのギャップと依存関係のミスは、停止が安全に劣化するのではなく、カスケードする可能性を高める。強力な分離、最小特権の実行、短期間の資格情報、暗号化は、何かが間違った場合に爆発の範囲を制限できるが、開発ライフサイクルの早い段階で導入された欠陥を補うことはできない。セキュリティと信頼性は、インフラストラクチャの問題だけでなく、ソフトウェアが構築され、レビューされ、テストされる方法の直接的な結果である。この不均衡が続く場合、2026年もインターネットは壊れ続ける。これはAIに反対するものではなく、AIはすでに存在し、消えることはない。最もよくなるチームはAIを避けるのではなく、AIに合わせてガードレールを適応させるチームである。つまり、レビューとQAチームに高い出力に対応するために適切にリソースを割り当て、開発ループの早い段階でテストと検証を移動し、AI生成された問題に深い検討が必要であることを明示し、AI支援コードをデフォルトで信頼できる出力ではなく、変動の高い入力として扱うということである。教訓はシンプルである。責任を自動化することはできない。AIがより多くのコードを書くにつれて、チームはコードをより少なくレビューするのではなく、より多くのコードをレビューする時間、ツール、ヘッドカウントが必要になる。レビューがボトルネックになっているAIはコード生成能力を劇的に増加させた。ただし、レビュー能力は自動的に増加しなかった。このギャップはリスクを生み出す。AIの次の段階はコードが生成される速度ではなく、コードがどれほど自信を持って出荷できるかで定義される。つまり: レビューとQAに高い出力を対象としてリソースを割り当てること。 開発ループの早い段階で検証を移動すること。 プルリクエストにシグナルを増やし、レビューアーが重要なことに焦点を当てること。 AI支援コードを軽い監視ではなく、深い検討に値するものとして扱うこと。 インターネットは壊れ続ける必要はない。AIが根本的な問題ではない。AI支援コードのレビューが不十分なことが問題である。AIが生産ソフトウェアの増加するシェアを書く場合、同じくらい厳格なものがそれをレビューする必要がある。このシフトは、AIコードレビューが基盤となるインフラストラクチャになり、任意のツールではなくなった理由である。CodeRabbitなどのプラットフォームは、コンテキストを認識したAIレビューをGitワークフローに直接組み込み、チームがインシデントになる前に論理エラー、セキュリティギャップ、エッジケースをキャッチできるようにする。コード生成がスケールする場合、レビューもスケールする必要がある。そうでない場合、2026年は2025年と同じように見えるだけだーだけ速くなる。
