GitHub、Dependabot alertをAI coding agentに割り当て可能に

GitHubは2026年4月7日、Dependabot alertをAI coding agentに直接割り当ててremediationを進められる機能を発表した。Dependabot alert detail pageからAssign to Agentを選べば、Copilot、Claude、Codexなどのcoding agentに対応を任せられる。GitHubによれば、agentはadvisoryとrepositoryでのdependency usageを解析し、修正案を含むdraft pull requestを開き、updateによって生じたtest failureの解決も試みる。

この機能が狙うのは、software supply chain securityで繰り返し発生する「version bumpだけでは直らない脆弱性」だ。大きなversion upgradeはAPIの互換性を壊したり、deprecated methodを生み、type signatureの不整合を起こしたりする。その結果、dependencyの更新だけでなくapplication codeの修正も必要になる。GitHubは、Dependabotがpackage updateを担い、coding agentがrepository固有のcode changeを補う構図を示している。

agentが担う仕事

GitHubは複数のagentを同じalertに同時に割り当てることも認めている。各agentは独立して動き、それぞれdraft PRを開くため、チームは同じsecurity issueに対する複数の修正方針を比較できる。GitHubはまた、malware混入やcompromiseでpatched versionがない場合に、agentが最後に安全だったreleaseへのdowngradeを手伝うシナリオも想定している。

ただしGitHubは、AI-generated fixは必ずしも正しいとは限らないと明記した。pull requestのレビュー、testの成功確認、修正内容の妥当性確認は人間が行う必要がある。利用にはGitHub Code Securityとcoding agent accessを含むCopilot planが必要で、github.comで提供される。この発表は、AIがcode generationだけでなくsupply-chain remediationの領域へも入ってきたことを示す一方、最終的な責任と判断はhuman reviewに残される。