AI駆動開発 2026年5月24日

AIが1秒で作るノイズを、人間が数日かけて処理する構造——「ミトス問題」が教える工数崩壊のリアル

𝕏 シェアする

AIが「すごいでしょ」とやらかした話

AnthropicのAI「Claude Mythos」が、OSSの主要コンポーネントであるcurlのリード開発者に対して脆弱性を5件報告した。ところが精査してみると、4件が誤検知だった。

開発者が激怒したのは、誤検知の数だけが理由ではない。「自社AIのマーケティング（誇大広告）のベンチマークに、現場が利用された」という構図に対する怒りだ。これが、AI・セキュリティ界隈で議論を呼んでいる「ミトス問題」の核心である。

この話、「OSSの世界の特殊なトラブル」として読み流すのはもったいない。一般企業のDX現場でも、全く同じ構造の問題が静かに進行している。

問題の本質は「精度」ではなく「構造」にある

AIスキャンツールの精度が上がれば解決する、という話ではない。

元Yahoo! JAPANエンジニアの山田健太郎氏が指摘しているのは、もう少し根深い構造的問題だ。

まず、工数の話。組織のエンジニアはクォーター（四半期）単位でコミットメントを積んでいる。新機能開発やシステム改修など、期初に握った約束がある。そこに「AIが見つけた脆弱性レポート」が突発タスクとして降ってくる。

対応の流れを見ると、レポートのコンテキスト理解、ステージング環境での再現確認、本当に脆弱性として成立するかの検証——この「仕分け作業」を1件こなすだけで数時間から丸一日、量が多ければ数日単位のリソースが消える。AIが1秒で出したノイズの後処理を、生身の人間が数日かけてやる構造だ。

次に、評価制度のねじれ。期初のコミットメントを達成すれば評価シートの点になる。しかし「上から急に降ってきたAIツールの誤検知の仕分け」は、夜遅くまで残業してこなしても加点評価に繋がらないケースがほとんどだという。

引き算（既存タスクのスケジュール調整）もない。足し算（対応への加点インセンティブ）もない。「セキュリティは最優先だから」という正論だけで丸投げされる。これをやられ続けると、組織へのエンゲージメントは急速に腐る、というのが山田氏の見立てだ。

ここからは見方の話

「ミトス問題」を構造として読むと、AI企業側と現場の間に明確な非対称性がある。

AnthropicはClaude Mythosの能力を世界にアピールしたい。そのためには実際のOSSコードで検証し、「これだけ見つけられました」という実績が必要だ。一方、受け取った側のエンジニアには、報告された脆弱性を精査するコストが丸ごとのしかかる。AI企業のベンチマーク活動のコストが、現場エンジニアの工数という形で外部化されている構図とも読める。

一般企業でのAIツール導入も、本質的には同じ問題を抱える。ツールを導入した経営・IT部門は「AIがこれだけの問題を検知してくれた」と満足する。現場のエンジニアは、そのリストの大半がノイズかどうかを自分の時間で判断しなければならない。

もう一点。AIが検知してくるバグの多くは、山田氏の言葉を借りれば「特定の異常なエッジケースが何重にも重ならないと絶対に発火しない挙動」だ。明日すぐにリモートコード実行されて顧客情報が流出するような致命的な穴と、「悪意あるユーザーが特定の異常値を100万回叩いたら1回エラーが出るかも」レベルの話は、技術的には同じ「脆弱性」というラベルが貼られても、ビジネス上の優先度は天と地ほど違う。この優先度判断を誰が持つか、という設計が組織に欠けているケースが多い。