AI の脅威からオープンソースを守るため 1,250 万ドルを AWS など複数社が拠出

本ブログは 2026 年 3 月 17 日に公開された AWS Blog “AWS and Others Invest $12.5M to Defend the Open Source Ecosystem from AI Threats” を翻訳したものです。

AWS、Anthropic、Google、Microsoft、OpenAI は本日 (2026 年 3 月 17 日)、AI によって強化された、あるいは AI が生成したセキュリティ脆弱性レポートの急増にオープンソースプロジェクトが対応できるよう支援するため、Linux Foundation を通じて 1,250 万ドルを拠出することを発表しました。Alpha Omega イニシアチブと Open Source Security Foundation (OpenSSF) の両方が、Linux Foundation の助成金を通じて資金提供を受けます。

ソフトウェアセキュリティは重要な転換点を迎えています。重要なコードのバグを発見する能力において、基盤モデルがセキュリティ研究者を上回り始めています。たとえば Anthropic は 2026 年 2 月、最新の Claude Opus 4.6 モデルが研究の初回ラウンドで、オープンソースプロジェクトにおける重大度の高い脆弱性を 500 件以上発見し、検証したと報告しました。

今回の新たな資金提供は、AWS、Google、Microsoft が Alpha Omega に対してこれまで行ってきた数百万ドル規模の取り組みを基盤としています。AWS はこの資金を活用し、オープンソースのメンテナーが正当な脆弱性を迅速に検証して修正しつつ、低品質な提出物を除外できるよう、ツール、自動化、リソースを提供します。この拠出は、過去 4 年間にわたってエコシステム全体のオープンソースセキュリティを強化してきた Alpha Omega の実績の上に成り立っています。

Alpha Omega の参加組織、Linux Foundation、OpenSSF、そしてより広範なオープンソースセキュリティコミュニティとともに、AWS は新たな課題を生み出しているのと同じ AI の能力を活用し、世界のデジタルインフラを支えるソフトウェアサプライチェーンに、より堅牢な防御を構築できるよう取り組んでいきます。

AI によるオープンソースプロジェクトの脆弱性発見の増加

セキュリティ関連のバグレポートを作成する作業は、かつては専用のツールでアプリケーションのファジングやペネトレーションテストを実施し、問題を検証して報告し、脆弱性を修正するという多大な労力を要するプロセスであり、しばしば数か月、あるいはそれ以上の時間を要しました。このプロセスは今や、時間との戦いとなっています。広く利用可能な生成 AI ツールを使い、悪用の可能性を特定できる強力な AI モデルに同じようにアクセスできる潜在的な脅威アクターよりも、先んじなければならないからです。

オープンソースのメンテナーは、AI が生成したバグレポートがレビューしきれないほど押し寄せているという警鐘も鳴らしています。それらのレポートの多くは非常に低品質であり、これが「AI スロップ」(AI が生成した低品質なコンテンツ) という新しい業界用語を生む現実となっています。多くのプロジェクトはすでに、AI による提出物に対するガイドラインを導入することを選択しており、なかには AI が生成したプルリクエストの殺到を防ぐために、アップストリームへの貢献を完全に停止したプロジェクトもあります。

AI が正当な脆弱性を発見しているにせよ、スロップレポートを提出しているにせよ、迅速かつ大規模に対応する必要性は、急速に業界全体の課題になりつつあります。プロジェクトはコードにパッチを適用する必要がありますが、その責任を、すでに対応が逼迫しているメンテナーだけに完全に負わせることはできませんし、そうすべきでもありません。

AWS、オープンソース、人工知能

世界をリードするクラウドプロバイダーとして、オープンソースのサプライチェーンセキュリティ、ツール、ベストプラクティスに深く注力してきました。AI が遍在する時代に生じる新たなセキュリティ課題への対応を支援するために、AWS は積極的に取り組んでいきます。AWS は、数えきれないほどの企業と同様に、クラウドサービスを構築・運用するために、コア技術をオープンソースとして活用し、開発に参加し、自社コードも公開しています。安全なオープンソースプロジェクトは、お客様の次なる素晴らしい AI 対応イノベーションを支えるクラウドサービスを AWS が提供するための基盤です。

AWS はすでに、高度な AI システムを構築・維持するための価値あるツールや技術を数多く提供しています。安全なモデルホスティングを実現する Amazon Bedrock サービスと Amazon Bedrock AgentCore フレームワークは、高度で安全なエージェント型アプリケーションのための豊富な構成要素を提供します。これらの機能には、Firecracker をベースとしたエージェント向けの安全で隔離されたコンピューティングプラットフォーム、IAM と OAuth ベースの ID 管理、AgentCore Gateway と Cedar ベースのポリシーエンジンによって仲介される一元化されたツールアクセス、そして豊富なオブザーバビリティと Evaluations の機能が含まれます。Kiro は、最先端の AI モデルの力を活用し、AWS のセキュリティベストプラクティスに支えられた仕様駆動開発によって、AI コーディングに構造をもたらします。

Amazon の Frontier Agents は、自動化されたソフトウェア開発だけでなく、AWS Security Agent および AWS DevOps Agent も提供し、ソフトウェアの開発・デプロイのライフサイクルに対してより包括的な AI サポートを実現します。Alpha Omega への追加拠出により、AWS はより広範なオープンソースエコシステム全体にわたって AI の力をより広範なオープンソースエコシステム全体に広げていきます。

バグの発見と修正

AI が生成したバグレポートはオープンソースプロジェクトにとって問題を生み出すこともありますが、サプライチェーンのセキュリティを向上させる上では計り知れない価値があります。これほどの速度や規模でバグを発見し、修正できるようになったことはこれまでありませんでした。AWS は、問題を発見しているのと同じ高度なモデルやツールが、より優れたツールと自動化を通じて、それらを修正するためにも活用できると考えています。

しかし、この問題を 1 社だけで解決することはできません。より高度なモデルがリリースされるにつれて、問題はさらに大きくなっていきます。業界のリーダーは協力し合い、修正を迅速に行いつつ、オープンソースのメンテナーが長期にわたってプロジェクトの健全性を維持できるような方法で進めなければなりません。そうすることで、すべての人のためにソフトウェアサプライチェーンのセキュリティ確保を支援できます。

この目的のために、AWS は Alpha Omega のプラチナメンバーである Google、Microsoft、そして新メンバーの Anthropic、OpenAI とともに、1,250 万ドルの追加資金提供を発表しました。AWS による 250 万ドルの拠出は、オープンソースプロジェクトとそこで働くメンテナーがセキュリティ脆弱性をより迅速に修正できるよう支援するために特別に確保された、より大きな資金プールの一部です。この新たな資金により、Alpha Omega は、基盤モデルが新たな脆弱性を報告する速度にオープンソースプロジェクトが追いつけるよう、ツール、自動化、トレーニング、その他のリソースの提供を目指します。

Alpha Omega によるオープンソースセキュリティの改善

過去 4 年間、Alpha Omega はオープンソースプロジェクトと財団に助成金を提供し、セキュリティの改善に充ててきました。これらの改善には、フルタイムのセキュリティエンジニアの雇用、セキュリティ監査の実施、リリースツールの改善など、さまざまなものが含まれます。Alpha Omega を通じて、拠出組織は互いに協力し、またプロジェクトのメンテナーやオープンソースセキュリティコミュニティの他のメンバーと連携して、資金が最も重要なプロジェクトやイニシアチブに確実に届くようにできます。

この組織は Linux Foundation の OpenSSF 内に置かれており、エコシステム全体に影響を与える重要なセキュリティ改善をすでに達成しています。過去 4 年間にわたり、Alpha Omega はセキュリティレポートを提供し、脆弱性への対応を調整し、Internet Security Research Group、Apache Software Foundation、Rust Foundation、Python Software Foundation、Eclipse Software Foundation などの組織とパートナーシップを築いてきました。

たとえば、2025 年の Alpha Omega の資金提供の結果として、Rust Foundation は crates.io に Trusted Publishing を完全に展開し、公式の CVE 採番機関 (CNA) となりました。Node.js は重大度の高い脆弱性を 2 件修正しました。Python Software Foundation は PyPI のマルウェア検出とアカウントセキュリティを強化しました。FreeBSD Foundation は FreeBSD のベースシステムにおけるサードパーティソフトウェアのセキュリティを改善し、OpenSSL の 3.0 から 3.5 LTS へのアップグレード (2030 年までサポートを延長) に成功しました。Eclipse Foundation は OpenVSX の脆弱性に対処しました。

AWS は、新たな AI 技術や将来の未知の課題から生じる問題の解決を支援するために、他の Alpha Omega 参加組織や、それらが資金提供するプロジェクトとともに取り組むことに尽力しています。皆様もぜひご参加ください。プロジェクトやそのイニシアチブの詳細、参加方法については、https://alpha-omega.dev/ をご覧ください。