Google、AI時代のopen source security強化へ funding と defender tooling を拡大

脆弱性を見つける段階から remediation を支える段階へ

Googleは2026年3月17日、公式発表で、AI時代のopen source security投資を拡大すると明らかにした。インターネットの基盤がopen source softwareに大きく依存している以上、今後は脆弱性を見つけるだけでなく、actual fixesをより早く届けられるようmaintainerを支援する必要があるという位置づけだ。

最も具体的なのはfundingである。GoogleはLinux FoundationのAlpha-Omega Projectのfounding memberとして、Amazon、Anthropic、Microsoft/GitHub、OpenAIと共同で総額$12.5 millionを拠出すると述べた。Googleによれば、この資金はAlpha-OmegaとOpenSSFが管理し、maintainerがAI-driven threatsに先回りし、reportの蓄積だけで終わらずremediationまで進め、より高度なsecurity toolingを実務で使えるようにすることを狙う。

同時にGoogleは、自社で活用してきたAI security systemsも前面に出した。発表ではGoogle DeepMind由来のBig SleepとCodeMenderに触れ、Chromeのような複雑なsoftwareでもdeepでexploitableな vulnerabilitiesの発見と修正に役立っていると説明した。さらにSec-Geminiのような研究をopen source projectsへ広げる計画も示しており、AI-based code securityを社内実験からmaintainer向けのshared infrastructureへ移そうとしていることがわかる。

重要なのは、ボトルネックが変わっている点だ。generative AIの普及でcode generation、dependency reuse、automated vulnerability discoveryは増える一方、実運用ではtriageとpatchingがより重い課題になる。Googleはfunding、maintainer支援、AI-assisted remediationを別々の論点ではなく一体の運用問題として扱っている。open sourceに依存する開発者や組織にとっては、widely used librariesの弱点がより速く広がり得る時代に、defender sideの資金とtoolingが同時に強化され始めたこと自体が大きなシグナルだ。

Primary source: Google.