AIによるプログラムの不具合！超商即期品App「惜食獵人」がセキュリティ問題を引き起こし、家庭のGPSが全裸で暴露される。

最近、「台湾のコンビニのイートインではない期限切れ商品（即期品）の地図を統合する」とうたうAI生成アプリ「食べ残しハンター（惜食獵人）」が、ユーザーのGPS漏洩というサイバーセキュリティ上の問題で爆発的に話題になっている。Amazonなどの企業も最近、AIでプログラムを書けることに依存したことで大規模なシステム停止と、178万ドルの不良債権が発生し、ことの本質として、人間のエンジニアが最終チェックを行うことが絶対に必要であることが浮き彫りになった。

食べ残しハンターAppはコンビニの即期品を統合、APIの認可に疑義

自ら「AIプロダクト開発」と「個人IPの成長」に注力していると名乗る人物は、近日Threadsのプラットフォーム上で投稿し、アプリ「食べ残しハンター（惜食獵人）」の提供開始を発表した。同アプリは、7-Eleven統一コンビニおよびファミリーマート（全家便利商店）の即期品マップを統合できると標榜しており、主な機能は、近くの即時在庫の照会と、キーワードの入荷通知だ。

当該開発者は、食べ残しハンターAppは開発の全工程でAIの支援を利用しており、所要期間は約2週間だと述べている。 無料でダウンロードでき基本機能も提供する一方、広告の削除および上位機能のための有料プランも用意しており、限定の特価として年額190元のプランを提供している。

この投稿はThreadsで1.2万回の閲覧を集めたが、その一方で複数のネットユーザーが、APIの認可の正当性に疑問を呈している。

あるユーザーは、食べ残しハンターAppが公式のAPIの認可を取得しているのかと疑問を投げかけ、未認可のままデータを取得していた場合でも、コンビニ公式がTokenの設定を変更するだけで機能停止につながると警告した。

さらに別のユーザーは、ビジネス上の競争という観点から分析し、台湾のコンビニは近年、アプリ会員数を重要なKPIとして重視しており、即期品の在庫データをシステムに統合する目的は会員数と利用率の向上にあると指摘した。もしサードパーティーのアプリが流入（トラフィック）を分け取り、かつ公式の利益と衝突するなら、公式による封鎖（締め出し）を受ける可能性が十分にある。

現時点で、すでにユーザーが関連情報を公式へメールで送っているが、本稿執筆時点（3月27日午前）では、7-11およびファミリーマート（全家便利商店）は、食べ残しハンターAppについてコメントを公開していない。

エンジニアが食べ残しハンターAppのサイバーセキュリティ問題を指摘、家のGPS座標が丸見えで公衆ネットワークに

APIの認可をめぐる論争に加えて、食べ残しハンターAppの背後にはサイバーセキュリティ上の懸念もある。

Zeabur.appのエンジニアYi-Jyun Panは、近日相次いで投稿し、市民には当該食べ残しハンターAppの利用を一時停止するよう注意喚起した。

同氏は、このアプリを使って位置情報を共有すると、家の正確なGPS座標がデータベースに書き込まれ、その後不幸にも公衆ネットワーク上で「丸裸」状態になると述べている。

開発者は指摘に基づいて問題を修正したとされるものの、再度の監査（リスク再評価）の結果、Yi-Jyun Panは開発者が修正を「半分しか」行っておらず、サイバーセキュリティ上のリスクは依然として存在すると分かった。

Yi-Jyun Panは、これがAI生成に依存した製品である以上、システムの保護は極めて不十分だと指摘する。ユーザーがサイバーセキュリティの懸念を抱く場合、食べ残しハンターAppを削除する前に適切な手順を取るべきで、まずすべての重要なキーワードの追跡および注目した店舗の記録を削除し、対応する座標情報を同期して消去してから、最後にアプリをアンインストールすべきだ。

Yi-Jyun Panは開発者に対し3つの忠告も行っており、まずAppは一種のフロントエンドでありバックエンドではないため、フロントエンド側のリソース保護だけに頼るのでは「保護」とは言えず、プライバシーポリシーにも詳細に記載する必要がある。開発者はAIのやり方を決して盲信してはならず、業務ロジックは引き続き人間の審査に依存しなければならない。

AIでプログラミングは両刃の剣、AmazonとMoonwellは痛い代償を払う

AIでのプログラミングへの過度な依存、審査の欠如によって引き起こされる災禍は、耳にすることが少なくない。さらには大企業でさえも逃れられない。

先日『Business Insider』が報じたところによれば、Amazonの電子商取引サイトは2026年3月に深刻なシステム停止を経験し、社内調査では「一部の原因」がAmazonのAIコードアシスタントにあるとされている：Amazon Q Developer。

Amazonの電子商取引サービス担当シニア・バイス・プレジデントのDave Treadwellは、社内文書で、2025年の第3四半期以降、事象の発生頻度が上昇傾向にあると述べている。その中で3月2日の異常により、納品予定時間（配達時間）の表示が誤りとなり、約12万件の注文の取りこぼしと、160万回のサイトエラーが発生した。

Amazonはこれに対し、90日間の安全なリセット（再初期化）を実施すると発表し、エンジニアにはプログラムのコードを変更する前に二者による審査を取得することを求めた。

画像出典：Amazon AmazonのAIコードアシスタント：Amazon Q Developer

ブロックチェーンの分散型金融（DeFi）領域でも同様の課題に直面している。有名な融資プロトコルであるMoonwellは2月に、予言機の設定ミスが発生し、その結果トークンの相場が急落、清算ロボットによる裁定取引が生じ、178万ドルの不良債権が発生した。

ブロックチェーン・セキュリティ会計士のPashovは当該案件を調査した後、脆弱性を招いたコードは、AIモデルのClaude Opus 4.6との協業によって完成されたものだと突き止めた。

Claude Code、CodexなどのAIプログラミングツールが次第に普及するにつれて、その利便性は両刃の剣にもなっている。

上記の事例は、生成AIが開発スピードを高められる一方で、厳密な論理推論に基づかない直観的な生成パターンゆえに、人間によるチェックがなければ、企業や利用者に取り返しのつかない損失をもたらし得ることを示している。

関連記事：
教授が生成AIを分解解説：Vibe Codingはそこまで神なのか？AIでプログラムを書く最良の方法は？