3 月 17 日、Google は、オープンソース コミュニティの安定性とセキュリティを向上させるために、多くの大手テクノロジー企業と協力して、オープンソース ソフトウェア セキュリティに対する新たな大規模投資を実施すると発表しました。 Googleは声明の中で、オープンソースソフトウェアを「現代のネットワークのバックボーン」と表現し、「AIによる脅威」がより顕著になっている現在、オープンソースインフラストラクチャのセキュリティを確保することが重要であると強調した。

Linux FoundationのAlpha-Omegaプロジェクトの創設メンバーとして、Googleは「オープンソースコミュニティの安定性とセキュリティへのさらなる投資」を目的として、Amazon、Anthropic、Microsoft/GitHub、OpenAIなどの企業と総額1250万ドルの資金提供を約束すると発表した。この資金はAlpha-OmegaとOpenSSFによって管理され、主にオープンソースプロジェクトのメンテナが新世代のAI主導のセキュリティ脅威に対処し、単なる脆弱性の発見から実際の修復に移行し、より高度なセキュリティツールをメンテナの手に直接渡し、それによってAIによって生成された大量のセキュリティの発見を迅速に実行可能なアクションに変換するのを支援するために使用されます。
Google は、「AI が生成するセキュリティ発見」について語る際、社内の AI セキュリティ エージェント ツールの結果について具体的に言及しました。 2025 年 7 月には、Google の AI エージェント Big Sleep が、悪用された SQLite のゼロデイ脆弱性を、ブラックハットハッカーが武器化する前に発見し、ブロックしました。それから数か月のうちに、Google は「CodeMender」と呼ばれる AI エージェントを密かにリリースしました。これは、セキュリティ上の欠陥をマークするだけでなく、コードを自動的に書き換えてパッチ作業を完了することもできます。 Googleは、Big SleepやCodeMenderなどのツールは「より広範なオープンソースエコシステムを保護する上でAIの変革の可能性を実証している」と述べた。
今回の資金調達の背景には、多数の重要なオープンソースプロジェクトのメンテナーが「警戒疲れ」に苦しんでいることがある。 Python や React などの人気のあるプロジェクトでは、保守者は AI によって毎日自動的に生成される何千件もの脆弱性レポートに直面していますが、これはエネルギーを消費し、品質を審査するのが非常に困難です。一部のプロジェクトは戦略の調整を余儀なくされています。たとえば、広く使用されているネットワーク ツール cURL は、長期間にわたって報奨金目的で生成された疑いのある低品質の AI の「ジャンク レポート」が管理者に殺到したため、バグ報奨金プログラムの終了を選択し、不正な行為者がソースで無効なレポートを提出する経済的インセンティブを遮断しようとしました。
多くのテクノロジー大手が立ち上げた Google の財政的取り組みは、多大なプレッシャーにさらされているオープンソース保守チームに対して、より直接的かつ持続可能なサポートを提供することを目的としています。業界の観点から見ると、これは、大手のクラウドおよび AI メーカーが大きく依存しているオープンソース インフラストラクチャに対する一種の「フィードバック」であるだけでなく、AI によって前例のない自動テストと発掘機能がもたらされた後、大量のアラームやセキュリティのプレッシャーによってオープンソース エコシステム全体のバランスが崩れるのを防ぐ試みでもあります。