何が起きたか
Semgrep の2026年4月の AppSec プラットフォーム更新では、Insecure Direct Object Reference(IDOR)と認証破損を含む複雑な脆弱性クラスに対するAI駆動検出がベータ版で導入されました。これらのカテゴリは従来、ルールベースの静的解析では対応が難しいものでした。この更新により、開発者のAI環境(Cursor、Claude Code)との直接統合も追加され、リアルタイムスキャンが可能になるとともに、AIクレジット制限を可視化制御できるようになります。
なぜ重要か
AIを活用したコード生成により、本番環境に到達するコードの量が劇的に増加しています。SemgrepのAI検出機能は、従来のSASTがAI生成出力に対応しきれないセキュリティツール側の課題に対処します。ガバナンスレイヤー(クレジット制限、AI機能管理)は、AppSecワークフロー内の統制されないAIツールに関するエンタープライズの懸念に対応しています。
適用範囲
Semgrepを使用しているエンジニアリング主導のセキュリティチームと DevSecOps 組織は、ベータ版のAI検出機能をIDORと認証脆弱性のバックログに対して評価する必要があります。開発にCursorやClaude Codeを使用している組織は、AIを活用したコーディングワークフロー内でリアルタイムスキャンを有効にするために統合テストを優先する必要があります。