Zenn
🗂

ソースコードをクラウドサービスのAIに投入することの是非

2023/10/04に公開
AI
#
クラウド
#
コードレビュー
ChatGPT
CodeRabbit
tech

背景

先日、以下の記事が話題になっていました。

https://zenn.dev/minedia/articles/7928ef7545b393

内容としましては、CodeRabbit というクラウドサービスを使用すると、ChatGPT と Github の連携によって AI がコードレビューをしてくれるというものです。

この機能を利用するためには、CodeRabbit、ChatGPT、Github の3サービスにソースコードを提供する必要があるようです。
この記事の反応で、賛否が起こっていたので、面白い話題だなと思い、まとめておきたいと思います。

ネットの反応

コードなんていう社外秘中の社外秘を新興クラウドサービスに投げるのよくやるわ。セルフホストできるようになってから出直してくれ

まず、このコメントが注目され、これに対して以下のような賛否が起こりました。

昔と違って現代においてコードはそこまで社外秘じゃないというか社外秘にできないしセルフホストにしたからって安全なわけでもない。その辺の感覚がわからないのは時代遅れでしかない。

本当に現代なのかビビった。Github/クラウド/....使ってるこの時代に、、

『社外秘を新興クラウドサービスに投げるのよくやるわ』に対してGitHubや他のクラウドサービスをあげるのは違うでしょ。

githubが信用できるからってクラウドサービスなんでも信用できるわけじゃないでしょう。そっちのほうが何いってんだ?

やり取り見て三井住友銀行のソースコード流出事件を思い出した

コードが社外秘じゃないところどこかあるんだろうか。汎用的なライブラリを公開してるところはあるけど事業のコア部分に関してコード公開してるところがあるなら知りたい。

プライバシーポリシーに「収集したデータはレビュー後に破棄」「学習には利用しない」ってあるのでChatGPTの履歴無しモードと同じデータ管理かと。逆にこれ系はこの規約が無いとビジネスでは使いづらいよね。

"コードはそこまで社外秘じゃないというか社外秘にできないし" じゃあこのサービスのコード公開されてんのかっていう / "セルフホストにしたからって安全なわけでもない" 意味が分からん。そんな環境ヤバすぎるわ

アクセストークンとかシークレット情報を埋め込んでなければそこまで社外秘でもないのでは?

さて、みなさんはどう思われましたでしょうか。

関連事件

これだけだと味気ないので関連する事件・問題を主観でまとめておきます。

三井住友銀行 ソースコード流出事件

設計図共有サイトに三井住友銀行のソースコードが公開された問題。
国内外で大変な話題となった。

https://xtech.nikkei.com/atcl/nxt/news/18/09551/
https://dic.nicovideo.jp/a/githubでのソースコード流出騒動

NovelAI ソースコード流出事件

画像生成サービスの NovelAI のソースコードが第三者から流出し、ライバルサービスが多数登場。
ビジネスの根幹を揺るがす事態となった。

https://www.itmedia.co.jp/news/articles/2306/23/news128.html
https://note.com/hibikine_kage/n/nb08df120f992

サムスン、ソースコードChatGPT貼り付け事案

今回の話と非常によく似た問題で、ChatGPT にソースコードのレビューをして貰うためにソースコードを投稿したところ、セキュリティインシデントとして懲戒処分を受けたという話。

https://gigazine.net/news/20230410-samsung-chatgpt-security-leak/

従業員は半導体の設備計測用プログラムのソースコードをChatGPTに入力し、コードの修正を依頼してしまったとのこと。

LINE、タイムラインやチャットや個人情報を中国で監視していた事件

LINE社がタイムラインやオープンチャットの監視や個人情報の閲覧を中国で行っていたことが判明した事件。
個人間の会話は暗号化されているとしたものの、別のサービスでは閲覧されていたため大きな問題に。

https://www.nikkei.com/article/DGXZQODZ1709O0X10C21A3000000/

LayerX、ChatGPTを活用したレビュー導入

流出事件ばかりでなく、活用事例についても記載しておきます。
仮想通貨の怪しい会社だったLayerXは、会計ソフト会社に転身しAIレビューを活用しているようです。

https://tech.layerx.co.jp/entry/2023/09/01/102612

所感

私はソースコードが社外秘でなかったプロジェクトに今まで出会ったことがありません。

しかし、これは会社の文化によって異なるものかもしれません。
社外秘ではないという会社であれば問題ないでしょうが、社外秘だという会社にとっては懲戒処分や賠償金裁判の対象になるでしょう。
新しいクラウドサービスにソースコードを提供しても良いと考える会社もあれば、危険だと考えて禁止する会社もあります。

過去の様々な事件・問題を考慮して使用しない判断をする会社もあるでしょう。
また、ChatGPT についても現在は学習しないと宣言していますが、それが必ずしも守られるかは不透明です。エンジニアなら分かると思いますが、いくら規約やポリシーで見ない・使用しないといったところで、見ようと思えば見えますしね。私はやりませんが。

最初のコメントにあるように、オープンソースの画像生成 AI、Stable Diffusion のように、セルフホストできるソースコードのレビューAIが登場すれば環境は大きく変わるかもしれないなと思いました。

ただ、この件については様々な意見を読んでみたいです。
Twitter(X)などで賛否書いていっていただければ幸いです。

Discussion