脆弱性の概要 Googleは2026年3月のAndroidセキュリティ情報において、Qualcommのオープンソースのグラフィックスコンポーネントに存在する脆弱性CVE-2026-21385が「限定的な標的型攻撃で悪用されている兆候がある」ことを公式に確認した。この脆弱性はCVSSスコア7.8（高深刻度）と評価されており、整数オーバーフローに起因するバッファオーバーリードの問題である。Qualcommのアドバイザリによれば、「利用可能なバッファ領域を確認せずにユーザー提供のデータを追加する際にメモリ破壊が発生する」と説明されている。 発見から修正までの経緯 この脆弱性は2025年12月18日にGoogleのAndroidセキュリティチームによってQualcommに報告された。その後、Qualcommは2026年2月2日に顧客（端末メーカー等）への通知を行い、Googleは2026年3月2日に公開したセキュリティ情報（パッチレベル2026-03-01および2026-03-05）で修正を提供した。さらに、米サイバーセキュリティ・インフラセキュリティ庁（CISA）は3月3日にこの脆弱性をKnown Exploited Vulnerabilities（KEV）カタログに追加し、連邦政府機関に対して3月24日までの修正適用を義務付けた。 3月のセキュリティ更新全体の状況 今回の3月セキュリティ情報にはCVE-2026-21385を含め、合計129件の脆弱性が修正されている。中でも注目すべきは、Systemコンポーネントにおけるリモートコード実行（RCE）の脆弱性CVE-2026-0006（重大度：Critical）や、Frameworkにおける権限昇格の脆弱性CVE-2026-0047、Systemにおけるサービス拒否（DoS）の脆弱性CVE-2025-48631、さらにカーネルレベルの権限昇格に関する7件の脆弱性が含まれている。Androidデバイスを利用するユーザーや組織は、端末メーカーから提供されるセキュリティアップデートを速やかに適用することが強く推奨される。

概要 2026年3月、米国の医療機器大手Stryker（年商約250億ドル、従業員5万6,000人）がイラン系ハクティビストグループHandala（別名：Handala Hack Team）によるサイバー攻撃を受けた。Handalaは攻撃の実行を主張しており、20万台以上のシステム・サーバー・モバイルデバイスからデータを消去したとしている。攻撃が表面化した2026年3月11日以降、受注処理・製造・出荷に支障が生じ、アイルランドの拠点では5,000人以上の従業員が自宅待機を余儀なくされた。Strykerの医療サービスに依存している複数の病院も影響を受け、心臓発作患者の心電図データを病院に転送するための救急通信システム「LifeNet」との接続が切断されるなど、患者ケアへの直接的な影響も発生した。 攻撃手法と技術的詳細 最有力な攻撃シナリオとして、クラウドベースのデバイス管理サービスMicrosoft Intuneを不正に掌握し、リモートワイプコマンドを大量展開したと見られている。Stryker独自の調査では、ランサムウェアやワイパーマルウェアの痕跡は検出されなかったが、攻撃者が独自に展開した悪意あるファイルが1件発見されており、既存のソフトウェアだけに頼らないカスタムツールの利用が示唆された。セキュリティ研究者は、Handalaが高度な攻撃技術を持つグループではなく、情報窃取マルウェア（infostealer）のログから入手した認証情報を侵入経路として利用した可能性が高いと指摘している。流出していた認証情報の多くは数カ月〜数年前のものであり、Stryker側がリセットによって侵害を防ぐ時間的猶予は十分あったとも述べられている。なお、Microsoft Outlookをスマートフォンにインストールしていた従業員の個人端末も消去被害を受けたとされる。 攻撃の背景と動機 Handalaは米国政府によってイランの**情報保安省（MOIS）**と関連するグループ「Void Manticore」の一部として公式に認定されており、司法省（DOJ）がその関係を確認した。攻撃の動機として、Handalaは2026年2月28日に行われた米国によるイランの学校へのミサイル攻撃（子どもを中心に少なくとも175人が死亡）への報復と主張している。またStrykerを「シオニスト系企業」と呼んでいることから、同社が2019年にイスラエル企業OrthoSpaceを買収した事実も背景の一つとして挙げられている。Palo Alto Networksの評価によれば、Handalaの活動は「日和見的で粗雑」であり、イスラエル関連の標的を特に狙う傾向がある。 政府の対応と今後の展望 米国のFBIとCISAはStryker幹部と直接接触し、調査に関与している。また、米国政府はHandalaが使用していた複数のウェブサイトを閉鎖するとともに、FBIがMOIS系脅威アクターの攻撃手法に関するアラートを発出した。今後もイラン・イスラエル・米国間の地政学的対立が続く中、医療インフラを含む重要インフラへのサイバー攻撃リスクは高まると見られており、Intune等のクラウド管理基盤の不正利用を防ぐための認証情報管理と多要素認証の徹底が改めて重要視されている。

攻撃の概要と規模 GlassWormは、開発者のソフトウェアサプライチェーンを標的とした大規模な攻撃キャンペーンである。Socket、Aikido Security、Step Security、OpenSourceMalwareコミュニティなど複数のセキュリティ研究機関が調査を進めており、合計433件以上の侵害されたコンポーネントが確認された。内訳はOpen VSX拡張機能72件以上、GitHubリポジトリ351件（Pythonリポジトリ200件、JavaScript/TypeScriptリポジトリ151件）、npmパッケージ10件以上に及ぶ。キャンペーンの痕跡は2025年10月にKoi Securityが最初に検出しており、その後2025年11月から2026年3月にかけて複数の攻撃波が確認されている。 Solanaブロックチェーンを利用した巧妙なC2メカニズム GlassWormの最大の特徴は、Solanaブロックチェーンをコマンド＆コントロール（C2）インフラとして利用する斬新な手法にある。マルウェアは5秒ごとにブロックチェーンのトランザクションを照会し、トランザクションメモに埋め込まれたペイロードURLから指令を取得する「デッドドロップリゾルバ」方式を採用している。2025年11月から2026年3月の間に約50件のブロックチェーントランザクションでペイロードURLが更新されており、分散型インフラを活用することで従来のドメインベースのテイクダウンを困難にしている。また、Solanaウォレットをローテーションさせることで追跡回避を図っている。 感染手法と難読化技術 攻撃者はVSCode/Open VSXの拡張機能においてextensionPackやextensionDependenciesフィールドを悪用し、一見無害なパッケージが信頼を獲得した後に悪意ある別の拡張機能を取り込む「推移的配信」アプローチを採用している。リンター、フォーマッター、AIツールなどを装った拡張機能が確認されており、angular-studio.ng-angular-extensionやgvotcha.claude-code-extensionなどの具体名が報告されている。GitHubではアカウントを乗っ取って悪意あるコミットをforce-pushする手法が使われ、コミット履歴をLLMで生成したと見られる自然なカバーコミットで偽装する巧妙さも指摘されている。さらに、コードエディタやターミナルでは不可視のUnicode文字を使ってペイロードを隠蔽する難読化技術や、バージョン更新なしにコードを動的に変更できるRemote Dynamic Dependencies（RDD）と呼ばれる手法も用いられている。 窃取される情報と検出方法 マルウェアは開発者環境から認証情報・APIトークン・SSH鍵、環境変数・CI/CD認証情報、暗号資産ウォレットの内容、システムメタデータなど広範なデータを窃取する。コード分析からロシア語話者による攻撃が示唆されており、ロシア語ロケールのシステムでは実行をスキップする挙動が確認されているが、決定的な帰属証拠とは言えないと研究者は指摘している。Step Securityは検出指標として、コードベース内のマーカー変数lzcdrtfxyqiplpd、ホームディレクトリの~/init.json永続化ファイル、予期しないNode.jsインストール、クローンプロジェクト内の不審なi.jsファイル、Gitコミット履歴の異常などを確認するよう推奨している。Open VSXは確認された悪意ある拡張機能を削除済みで、開発者には使用中の拡張機能やnpmパッケージの再確認が求められている。

概要 米連邦通信委員会（FCC）は2026年3月24日、海外で製造された新型コンシューマー向けルーターを「Covered List（対象リスト）」に追加し、新規モデルの輸入・販売承認を全面的に禁止すると発表した。FCC委員長のBrendan Carr氏は「行政府による国家安全保障上の判断を歓迎する」と述べ、海外製ルーターが「米国経済、重要インフラ、国防を混乱させるサプライチェーン上の脆弱性」をもたらし、「深刻なサイバーセキュリティリスク」を構成すると指摘した。既に承認済みのモデルの販売や、現在使用中のルーターには影響しない。 規制の背景となったサイバー脅威 今回の規制強化の直接的な要因として、中国系ハッカー集団による一連の大規模サイバー攻撃が挙げられている。Volt Typhoon、Flax Typhoon、Salt Typhoonといった脅威グループが、海外製ルーターの脆弱性を悪用し、米国の通信、エネルギー、交通、水道などの重要インフラに対する攻撃を実行してきた。また、Storm-0940に帰属するCovertNetwork-1658ボットネット（Quad7）が、侵害したルーターを利用してパスワードスプレー攻撃を大規模に展開していたことも確認されている。ルーターはネットワーク監視、データ窃取、マルウェア配信の侵入口として悪用されるリスクがあり、FCCはこれらの脅威に対する根本的な対策として今回の措置に踏み切った。 市場への影響と実現可能性への疑問 この規制の影響範囲は極めて広い。CiscoやNetgearといった米国ブランドのルーターも含め、事実上ほぼすべてのコンシューマー向けルーターが海外で製造されているためだ。現時点で米国内製造が確認されているのは、テキサス州で生産されるStarlinkの新型Wi-Fiルーター程度に限られる。国防総省（DoD）または国土安全保障省（DHS）による「条件付き承認」を得れば例外的に販売が可能だが、メーカー側はFCCに個別の申請を行う必要がある。米国内でのルーター製造能力の確立には数年を要するとの指摘もあり、短期的には消費者の選択肢が大幅に制限される可能性がある。

概要 米国司法省（DoJ）は2026年3月、FBI主導のもとカナダ・ドイツの法執行機関と連携し、AISURU・Kimwolf・JackSkid・Mossadという4つの主要なIoTボットネットの指令制御（C2）インフラを解体・無効化したと発表した。これらのボットネットは合計で世界中の約300万台のデバイスに感染しており、2025年11月にCloudflareが観測した31.4Tbpsという史上最大規模のDDoS攻撃の実行基盤として機能していた。Akamai・AWS・Cloudflare・Google・Lumen・Oracleなど多数の民間テクノロジー企業も本作戦に協力した。 技術的な詳細 今回摘発されたボットネット群は、DVR・Webカメラ・Wi-Fiルーター・Androidスマートテレビ・セットトップボックスなど多様なIoTデバイスを標的としていた。特にKimwolfは2025年12月にXLabが初めて記録したAISURUの亜種で、200万台以上のAndroidデバイスを侵害した点が際立っている。Kimwolfが開拓した新しい攻撃手法は、**ADB（Android Debug Bridge）**が外部に露出した住宅向けプロキシネットワーク（IPIDEAなど）の脆弱性を悪用し、家庭内ネットワークを経由してローカル保護されたネットワークに侵入するというものだ。JackSkidやMossadはその後この手法を模倣して拡散した。 攻撃の規模感を数字で示すと、AISURUだけでも20万件以上のDDoSコマンドを発行しており、JackSkidは2026年3月初旬に1日あたり平均15万台のデバイスを被害に遭わせ、3月8日には最大25万台に達した。2025年11月の最大攻撃は35秒間しか続かなかったものの、ピーク時140億パケット/秒・3億リクエスト/秒という凄まじいトラフィックを記録した。AWSのTom Scholl氏は「Kimwolfはボットネットの運用とスケーリングの根本的な変革を示した」と評している。 背景と影響 これらのボットネットは「サービスとしてのサイバー犯罪（CaaS）」モデルで運営されており、感染デバイスへのアクセスをDDoS攻撃や恐喝目的で有償提供していた。Cloudflareは今回の攻撃の規模を「英国・ドイツ・スペイン3カ国の人口が同じ1秒間に同時にWebサイトのURLを入力してEnterキーを押すようなもの」と表現している。 調査の過程でジャーナリストのBrian Krebsは、カナダ・オタワ在住の23歳Jacob Butler（オンライン名「Dort」）をKimwolfの管理者として特定した。Butlerは現在の関与を否定し、「Dort」というハンドルネームは2021年以降使用しておらず、アカウントが成りすまされた可能性があると主張している。また、ドイツ在住の15歳の少年も主要容疑者として浮上しているが、現時点で逮捕者は出ていない。 今後の課題 Lumen Black Lotus Labsは約1,000台のC2サーバーをヌルルーティングで無効化したが、ADBを悪用する攻撃手法はすでに複数の競合ボットネットに採用されており、脅威が完全に収束したとは言えない状況だ。Black Lotus LabsのRyan English氏は「脆弱なデバイスが大量に存在するため、Kimwolfは驚くほどの回復力を持ち、さらに複数の新ボットネットが同じ手法を模倣し始めた」と警告している。住宅向けプロキシネットワークにおけるADB露出の脆弱性は引き続き大きなリスクであり、IoTデバイスのセキュリティ強化が業界全体の急務となっている。

提携の概要 ドイツを拠点とするロボット企業Agile Robotsは、Google DeepMindとの新たな提携を発表した。この提携により、Agile RobotsはGoogle DeepMindが開発するロボティクス基盤モデルを自社のロボットプラットフォームに統合する。同時に、Agile Robotsは実際のロボット運用から得られるデータをGoogle DeepMindに提供し、AI研究の発展に貢献する双方向の協力関係を構築する。 Google DeepMindのロボティクスエコシステム戦略 今回の提携は、Google DeepMindが複数のロボット企業と連携を進めている流れの最新事例となる。Google DeepMindは、さまざまなロボットメーカーとパートナーシップを結ぶことで、自社の基盤モデルを多様なハードウェアプラットフォームや用途で検証・改良できるエコシステムの構築を進めている。ロボット企業側にとっては、最先端のAIモデルを自社製品に取り込むことで製品の知能化を加速できるメリットがある。 物理AIの今後の展望 この動きは、大規模言語モデルや画像生成で注目を集めてきた基盤モデルの技術が、物理世界で動作するロボットにも本格的に適用され始めていることを示している。AI研究機関とハードウェアメーカーの間でデータとモデルを共有するパートナーシップモデルは、ロボティクス分野における基盤モデルの進化を加速させる鍵となりそうだ。産業用ロボットから日常生活を支えるロボットまで、物理AIの応用範囲は今後さらに広がることが期待される。

概要 AWSは、Kubernetes Load Balancer ControllerにおけるGateway APIサポートのGA（一般提供）を発表した。これにより、Application Load Balancer（ALB）とNetwork Load Balancer（NLB）をGateway API仕様で管理できるようになり、従来のアノテーションベースの設定から型安全なCustom Resource Definitions（CRD）ベースの設定へと移行が可能になった。Gateway APIはKubernetes Ingress APIの後継として位置づけられており、今回のGA対応はAWSにおけるKubernetesネットワーキングの標準化にとって重要なマイルストーンとなる。 技術的な詳細 今回のリリースでは、レイヤー4ルーティング（TCP、UDP、TLS、NLB経由）とレイヤー7ルーティング（HTTP、gRPC、ALB経由）の両方がサポートされる。新たに導入されたCRDとして、TargetGroupConfiguration、LoadBalancerConfiguration、ListenerRuleConfigurationの3つがあり、スキーマバリデーション付きの型安全な設定が可能になった。従来のアノテーション方式ではJSONを埋め込む形で設定していたため、スキーマバリデーションやIDEサポートがなく、実行時にエラーが発覚するリスクがあった。新しいアプローチでは、適用時に設定が検証されるため、こうした問題が解消される。 RBACとの整合性とクロスネームスペースルーティング Gateway APIはリソースをGatewayClass（インフラストラクチャテンプレート）、Gateway（リスナー、TLS、サブネット配置）、Routes（パスベースルーティング）の3つに分離しており、Kubernetesのロールベースアクセス制御（RBAC）の境界と自然に対応する設計となっている。これにより、プラットフォームチームが共有Gatewayをプロビジョニングし、各アプリケーションチームは自身のネームスペースからHTTPRouteを作成して参照するという運用が、クラスタ管理者権限なしで実現できる。GitOpsフレンドリーなYAML設定との親和性も高く、開発者体験の向上にも寄与する。 今後の展望 なお、AWSのVPC Latticeはすでにサービスメッシュのeast-west（サービス間）トラフィックにおいてGateway APIをサポートしており、今回のリリースでnorth-south（イングレス）トラフィックのカバレッジが完成した形となる。これにより、AWS上のKubernetesネットワーキングはGateway APIを共通インターフェースとして統一的に管理できる基盤が整ったと言える。

概要 ISO C++標準化委員会（WG21）は、2026年3月23日から28日にかけてイギリス・ロンドン近郊のクロイドンで開催された会議において、C++26標準を正式に確定した。C++23以来となるこのメジャー改訂は、言語の安全性、表現力、並行処理能力を大幅に強化する広範な機能群を含んでおり、C++の歴史の中でも特に重要なリリースの一つとなる。2025年6月のソフィア（ブルガリア）会議でフィーチャーフリーズが完了し、2025年11月のコナ（ハワイ）会議で国際コメントの70%が解決された状態でロンドン会議に臨み、最終的な標準化作業が完了した。なお、今回の会議からGuy Davidsonが新たなWG21コンビナーを務めており、23年間その役割を担ったHerb Sutterからの世代交代も実現している。 主要な新機能 C++26で導入される主要機能は多岐にわたる。最も注目されているのがコントラクト（P2900）で、関数の事前条件（precondition）、事後条件（postcondition）、アサーション（contract_assert）を言語レベルで記述できるようになる。これにより、APIの契約を型システムと並ぶ形で明示的に表現でき、ソフトウェアの安全性と信頼性が向上する。コナ会議ではバグ修正とハードニング改善が採用され、「このアサーションは必ず実行時に検証されなければならない」と指定するメカニズムの設計も進められた。 静的リフレクションは、コンパイル時にプログラムの型情報や構造を検査・操作できる機能で、メタプログラミングの可能性を大きく広げる。meta::info型のハッシュサポート（P3816）や構造型判定（P3856）など、リフレクション関連の整備も進められた。 std::execution（P2300）は、Sender/Receiverモデルに基づく非同期実行フレームワークで、構造化された並行処理を標準ライブラリレベルで実現する。スケジューラアフィニティ（P3941）やSenderアルゴリズムのカスタマイズ修正（P3826）なども含まれている。 安全性とライブラリの強化 C++26は安全性を重視した設計が際立つ。エラネアスビヘイビア（Erroneous Behavior） の概念が導入され、未初期化変数へのアクセスなど従来は未定義動作だった操作が「定義されているが誤り」として扱われるようになった。コナ会議での改良により、影響範囲が特定の未初期化値のみに限定され、プログラム全体に波及しない設計となっている。また、std::array、std::vector、std::spanなど主要コンテナの標準ライブラリハードニング（P3471）により、境界チェックが強化された。 標準ライブラリには多数の新ヘッダと型が追加される。固定容量の動的配列std::inplace_vector、メモリ効率の高いstd::hiveコンテナ、BLAS準拠の線形代数インターフェース<linalg>、データ並列型std::simd、ロックフリーメモリ回収のためのハザードポインタとRCU、間接所有権ラッパーstd::indirectと型消去ユーティリティstd::polymorphicなどが含まれる。constexprの適用範囲も大幅に拡大され、constexprでの例外処理（P3068）が可能になった。 言語機能の改善と今後の展望 言語レベルでは、パックインデクシング（T...[N]）による可変長テンプレート引数への直接アクセス、#embedプリプロセッサディレクティブによるバイナリファイルの直接埋め込み、= delete("理由")による削除理由の明示、構造化束縛の大幅な拡張（条件式での使用、constexpr対応、パック導入）など、開発者の生産性を向上させる多くの改善が盛り込まれた。一方、ショーストッパーとなるバグが発見されたトリビアルリロケータビリティはC++26から削除されており、将来の標準での再導入が検討される見込みである。 C++26の正式なISO標準としての発行は今後のISO手続きを経て行われる。主要コンパイラ（GCC、Clang、MSVC）での実装は段階的に進められており、一部の機能はすでにGCC 15やClang 19以降で利用可能となっている。コントラクトやstd::executionなどの大型機能の完全な実装にはさらに時間を要する見通しだが、C++の安全性・表現力・並行処理能力を次のレベルへと引き上げる重要なマイルストーンとなった。

脆弱性の概要 Citrix NetScaler ADCおよびNetScaler Gatewayに、CVSSスコア9.3の深刻な脆弱性CVE-2026-3055が発見された。この脆弱性は入力検証の不備に起因するメモリ過剰読み取り（out-of-bounds read）であり、攻撃者がデバイスメモリからアクティブなセッショントークンを抽出できる可能性がある。悪用の条件として、対象アプライアンスがSAML Identity Provider（SAML IDP）として構成されている必要があるが、Rapid7は「シングルサインオンを利用する組織ではSAML IDP構成は非常に一般的」と指摘しており、影響範囲は広いとみられる。 影響を受けるバージョンと修正パッチ 影響を受けるのは以下のバージョンで、いずれもパッチが既に提供されている。 NetScaler ADCおよびNetScaler Gateway 14.1（14.1-66.59より前） NetScaler ADCおよびNetScaler Gateway 13.1（13.1-62.23より前） NetScaler ADC 13.1-FIPSおよび13.1-NDcPP（13.1-37.262より前） この脆弱性はCitrixの社内セキュリティレビューで発見され、2026年3月24日に公開された。Cloud Software GroupのシニアVPであるAnil Shetty氏は「CVE-2026-3055およびCVE-2026-4368について、未修正の環境に対する悪用は現時点で確認していない」と述べている。 野生環境での偵察活動とCitrix Bleedとの類似性 セキュリティ企業Defused CyberおよびwatchTowrの研究者らは、野生環境での積極的な偵察活動を確認している。攻撃者は/cgi/GetAuthMethodsエンドポイントに対してリクエストを送信し、有効な認証フローを列挙することで脆弱な構成を特定しようとしている。Defused Cyberは「NetScaler ADC/Gatewayに対する認証方式のフィンガープリンティング活動を野生環境で観測している」と報告し、watchTowrは「偵察から悪用への移行が進めば、対応の猶予は急速に消滅する」と警告した。 本脆弱性は、過去に大規模な被害をもたらしたCVE-2023-4966（Citrix Bleed）やCVE-2025-5777（Citrix Bleed 2）と類似した手口であり、これらの脆弱性と同様に攻撃者がパッチのリバースエンジニアリングによってエクスプロイトを迅速に開発する可能性が懸念されている。セキュリティ専門家は、SAML IDP構成を使用しているシステムを最優先でパッチ適用するとともに、ネットワークレベルでのアクセス制御を強化することを強く推奨している。

開発者コミュニティのグローバルな急拡大 GitHubがOctoverse 2025のデータに基づく2026年のオープンソースエコシステム分析レポートを公開した。2025年には約3,600万人の新規開発者がGitHubに参加し、成長を牽引したのはインドで520万人の新規開発者が加わった。ブラジル、インドネシア、日本、ドイツも大きな成長を見せており、オープンソースへの参加がグローバルに広がっていることが明確になった。GitHubのアナリストであるDylan Birtolo氏は、この開発者の増加を「単なる指標ではなく、オープンソースのコントリビューターがどこに住み、働き、協力するかという根本的な再編を示すものだ」と評価している。 しかし、多様なタイムゾーンや文化的背景を持つ開発者の急増は、プロジェクト運営に構造的な課題をもたらしている。地理的に集中したチームで有効だった非公式な慣習は、大陸規模では機能しなくなっており、コントリビューションガイドライン、行動規範、レビュー基準、意思決定プロセスなどの明文化されたガバナンスを欠くプロジェクトは「持続可能な形で成長を管理することが困難になる」とレポートは警告している。 「AI slop」問題とメンテナへの負担 レポートが特に注目しているのは、AIによって生成された低品質なコントリビューション、いわゆる「AI slop」の問題だ。急成長しているプロジェクトの約60%がAI関連である一方、自動生成されたIssueやプルリクエストが急増し、メンテナのレビュー能力がコントリビューションの増加ペースに追いついていない。レポートはこの状況を「人間の注意力に対するDoS攻撃」と表現しており、コントリビューター数が増加しているにもかかわらずボトルネックが生まれている。 コントリビューターの増加に対して、メンテナやレビュワーの数は比例して成長しておらず、既存のメンテナに持続不可能な圧力がかかっている。AIは開発者のアクセシビリティを向上させる一方で、人間によるフィルタリングが必要なノイズを同時に生み出すという二面性を持っており、この「メンテナボトルネック」はOSSエコシステム全体の持続可能性を脅かす構造的な問題となっている。 ガバナンス整備とAI活用による対策 レポートは、現在のオープンソースが直面している課題の本質は技術的なものではなくガバナンスにあると指摘する。GitHubは重複Issue検出や自動ラベリングシステムなど、メンテナの負担を軽減するツールを開発しており、AIを単なるコーディング支援ではなくコミュニティインフラとして活用する方向性を示している。 一方、急成長しているプロジェクトの約40%はAI関連ではなく、Home Assistant、VS Code、Godotなどのプロジェクトは、技術的な目新しさではなく明確なコミュニティ構造と実用性によって成功を収めている点も注目に値する。 持続可能なエコシステムに向けた展望 レポートによれば、2026年に成功するプロジェクトは、明確に文書化されたガバナンスフレームワークの導入、コーディングだけでなくメンテナ支援（フィルタリング、ラベリング）へのAI活用、コントリビューターからレビュワー・メンテナへの明確な昇進パスの整備、グローバルな非同期参加の支援といった要素を備えるものになるとしている。2026年の課題は技術的な能力ではなく組織としての持続可能性にあり、コードベースのインフラと同様にプロセスのインフラがオープンソースコミュニティのスケーリングに不可欠になったとレポートは結論づけている。