100万件のAIサービスを調査、深刻なセキュリティ脆弱性が判明

概要

セキュリティ企業Intruderが証明書透過性ログを利用して200万以上のホストから100万件のAIサービスをスキャンした結果、他のソフトウェアを上回る深刻な脆弱性と設定ミスが発見されました。最大の問題は、デフォルトで認証機能が有効化されていないため、企業の実データやツールが誰でもアクセス可能な状態で露出していることです。具体的には、ユーザーの会話履歴が丸見えになっているチャットボットや、認証なしで利用可能な生成AIモデル（マルチモーダルLLM含む）が発見されました。悪意ある利用者がこれらのサービスを悪用してセーフガード（安全機構）をバイパスし、違法画像生成や犯罪助言生成などに使用できる状況になっています。また、APIキーが平文で露出している事例も確認されました。急速なAI導入の圧力が、セキュリティ体制の構築よりも優先されている危機的状況が浮き彫りになっています。

元記事（The Hacker News）