ハクソク

世界を動かす技術を、日本語で。

AIバイブコーディングホラー物語

2026年4月14日原文(tobru.ch)

概要

  • AI活用による自作システム が医療現場で導入された事例
  • 重大なセキュリティ問題 が発生し、患者データが無防備に公開
  • 法的リスク やプライバシー侵害の可能性
  • AIツールの無理解 による危険性の指摘
  • AI時代の課題 と今後への懸念

私が体験したAIコーディングホラー:医療現場での現実

  • 医療機関の 受付での出来事

    • フレンドリーなスタッフによる案内
    • AIで誰でも簡単にソフトウェア開発ができるという動画を見たとの話

  • 自作患者管理システム の導入

    • コーディングエージェントを起動し、独自の患者管理アプリを作成
    • 既存の患者データを全てインポートし、インターネット上で公開
    • 診察中の会話録音機能を追加し、音声データを2つのAIサービスへ送信して自動要約
    • 手動での記録作業を廃止

  • セキュリティ問題の発覚

    • アプリを調査し、30分で全患者データへの 読み書きアクセス が可能に
    • データは 暗号化されず、インターネット上で完全に公開状態
    • すぐにスタッフへ通知
    • 返答は AI生成のテンプレート で、基本認証追加やアクセスキーのローテーションを報告

  • 根本的な問題点

    • スタッフは 構築したシステムの内容やリスクを理解していない
    • データは米国サーバーに保存、 データ処理契約なし
    • 音声記録は米国のAI企業へ送信、患者への事前説明なし
    • 医療データの扱いとして 明確に不適切

  • 法的リスク

    • nDSG(新データ保護法)や 職業上の守秘義務 違反の可能性
    • 法律の専門家ではないが、明らかに複数の規定に抵触

技術的背景

  • アプリケーションは 単一のHTMLファイル
    • JavaScript、CSS、構造が全てインライン記述
  • バックエンドは 管理型データベースサービス
    • アクセス制御なし、行レベルのセキュリティなし
    • 全てのアクセス制御ロジックはクライアントサイドのJavaScript内
    • データは誰でも curlコマンド一発で取得可能
  • 音声データは 外部AI APIへ直接送信
    • 転送・要約処理を完全外部依存

今後への展望と懸念

  • 望ましいAIの未来像 とはかけ離れた現状
  • AIコーディングエージェントの活用は有用だが、 コードやアーキテクチャの理解が不可欠
  • 無知なままAIに依存する危険性 の強調
  • 誰もが「ノリ」でAIを使う未来は、 決して安全で幸せなものではない

Hackerたちの意見

一方、LinkedInでは… 技術的な理解がゼロの営業マンたちが、AIで全てを解決できるって大声で叫んでる。解雇や経済問題、何でもかんでも。ほんとに悪いことが起こるのは時間の問題だよ。

コーディングのヒンデンブルク。

悪いことが起こってるみたいだね。本当に悪いことは、命や生計に対する脅威と考えるとちょっと怖い。次世代のモデルがこの問題に何をもたらすか見てみよう。

スペインの地元企業に似たようなことをしたことがある。医療関係じゃなくて、小さな保険会社なんだけど。信じられないかもしれないけど、彼らはCRMを「バイブコーディング」してたんだ。メールを送ったら、訴えるって脅された。そんなバカな反応にちょっとショックだったけど、学ぶのが遅い人もいるから、まずはスペインのデータ保護機関(AEPD)に報告した。あそこは厳しいことで有名だからね。先週の金曜日には、彼らのシステムから私のデータを削除するようにバウロファックスも送ったよ。

一度手を火傷するのはいいけど、会社だと学ばないよね。

[バウロファックスは] 配達証明と受取日確認の証明書付きで文書を送るサービスで、この確認には法的効力があります。

せめてチョコレートくらいくれてもいいよね。紙の文書があれば、すぐにでも安全になると思う :)

OWASPツールをエージェントと一緒にセットアップして、会社のツールをクローリングするのにどれくらいの労力がかかるのか、ちょっと興味あるな。これを考えたのは私だけじゃないと思うけど、地元のビジネスにとっては良い評判になるんじゃないかな。来年のテーマはセキュリティになる気がする。みんな、テクノロジーに関しては頭を使わなくなってるよね。

AEPDは…残酷だって知られてるね。いいね。もっと多くの国がこんなのを持ってほしいな。こういう組織はだいたい無気力で、市民の努力やメディアによって行動を強いられないと動かないから。

このスレッドで進展を教えてくれる?

昔、Wi-Fiがまだ新しかった頃に似たようなことがあった。オープンネットワークに参加したら、法律事務所だったんだ。彼らのコンピュータは全てSambaネットワークでCドライブが共有されてた。問題について知らせるREADME.txtファイルをドライブに書いたけど、しばらくしても変わらなかった。それで、直接その場所に行って話をしようと思ったし、最初の仕事を得るチャンスかもって思ってたんだけど…彼らはすごく怒って、いい契約者がコンピュータやネットワークを管理してるって言って、私が侵入したみたいに言われた。急いでその場を離れたよ…

こういうアプリを作ってる人たちは、データプライバシーのルールについて全然知らないことが多いよね。私は小規模ビジネスのオーナーが集まるフォーラムに参加してるんだけど、あるオーナーが自分のビジネスアプリをvibeコーディングで作ったってすごく自慢してた。最初の反応は「すごいな!」だったけど、データプライバシーのルールの話が出てきたら、全然知らなかったんだよね。これは心配だった。彼のビジネスだけじゃなくて影響があるから。指摘したときの彼の反応は、法律を知らないことが彼を守るって言ってた。結局、vibeコーディングのRedditのサブに助けを求めに行ったんだけど、戻ってきたら怒ってた。Redditの開発者たちが「ちゃんとした開発者を雇え」って言ったから。彼は、そういう開発者たちは妄想に取り憑かれてるし、もうすぐ死に絶える種族だと思ってる。AIが進みすぎて、開発者は1年後にはいなくなるって。

Hacker Newsで議論の続きを見る