ソフトウェア業界はセキュアな製品提供において進歩を遂げていますが、AIの急速な普及がその進歩を危うくしています。企業は大規模言語モデル（LLM）インフラストラクチャのセルフホスティングを急いでおり、セキュリティよりもスピードを優先しています。 脆弱性を抱えたセルフホスト型AIアシスタントであるClawdBotのインシデントを受けて、IntruderチームはAIインフラストラクチャのセキュリティ体制を調査しました。証明書透明性ログを使用して、100万の公開サービスを持つ200万以上のホストを分析し、重大なセキュリティギャップを明らかにしました。 ## デフォルトでの認証なし 繰り返し見られた問題は、認証なしでホストがデプロイされていることでした。ソースコード分析により、多くのAIプロジェクトではデフォルトで認証が有効になっておらず、ユーザーデータや企業のツールが公開されていることが明らかになりました。 ### 自由にアクセス可能なチャットボット 多くのインスタンスで、ユーザーの会話を公開しているチャットボットが見られました。OpenUIに基づいた1つの例では、ユーザーの完全なLLM会話履歴が公開されていました。エンタープライズ環境では、これらのチャット履歴には機密情報が含まれる可能性があります。  マルチモーダルLLMを含む多様なモデルをホストする汎用チャットボットも自由にアクセス可能でした。悪意のある攻撃者は、これらのモデルをジェイルブレイクして安全対策を回避し、不正な活動に利用したり、企業のインフラストラクチャを悪用したりする可能性があります。すでに企業のチャットボットの悪用が観察されており、ユーザーが適切な権限なしにより高性能なモデルにアクセスしていました。 一部のチャットボットは、個人向けのNSFW会話の大量のデータを公開しており、ソフトウェアはClaudeパワーのボットAPIキーをプレーンテキストで公開していました。  ### 広範囲に開かれたエージェント管理プラットフォーム n8nやFlowiseのようなエージェント管理プラットフォームの公開されたインスタンスが発見され、一部は認証なしでアクセス可能な内部使用を意図したものでした。1つのFlowiseインスタンスは、LLMチャットボットサービスのビジネスロジック全体を公開していました。  Flowiseは保存された認証情報を直接公開しませんでしたが、攻撃者は接続されたツールを悪用して機密情報を窃取する可能性があります。AIツールにおける適切なアクセス管理制御の欠如は、ボットへのアクセスがしばしば接続されているすべてのシステムへのアクセスを許可することを意味します。 別の公開されたセットアップでは、インターネット解析ツールや、サーバーサイドコード実行を可能にするファイル書き込みやコード解釈などの潜在的に危険なローカル関数が明らかになりました。  政府、マーケティング、金融など、さまざまなセクターにわたる90以上の公開インスタンスが特定されました。攻撃者はワークフローを変更したり、トラフィックをリダイレクトしたり、ユーザーデータを公開したり、応答を汚染したりする可能性があります。 ### セキュアでないOllama APIへの挨拶 多数の公開されたOllama APIが認証なしでアクセス可能で、モデルに接続されていました。これらのサーバーに単純な「Hello」プロンプトを送信すると、クエリされた5,200以上のサーバーの31%から応答が得られました。 応答は、クラウド管理システムや健康・ウェルネス支援との統合など、これらのAPIの多様な使用法を明らかにしました。 Ollamaはメッセージを直接保存しませんが、多くのインスタンスはAnthropic、Deepseek、Moonshot、Google、OpenAIの有料フロンティアモデルをラップしていました。すべてのサーバーで特定された518のモデルが、有名なフロンティアモデルをラップしていました。 ## 設計上の不備 さらなる分析により、繰り返し見られる不安全なパターンが明らかになりました。 * **不十分なデプロイメントプラクティス:** 不安全なデフォルト設定、誤設定されたDockerセットアップ、ハードコードされた認証情報、root権限で実行されるアプリケーション。 * **新規インストールの認証なし:** ユーザーはしばしば、即座に完全な管理アクセス権を持つ高権限アカウントを付与されます。 * **ハードコードされた静的認証情報:** 認証情報は、インストール時に生成されるのではなく、セットアップ例やdocker-composeファイルに埋め込まれることがよくあります。 * **新しい技術的脆弱性:** 人気のあるAIプロジェクトで、任意のコード実行脆弱性が迅速に発見されています。