AIをビジネスに取り入れる企業が増える中、その安全性に対する注意が不十分なことが問題となっています。セキュリティ研究者ナフタリ・ドイチュ氏によると、多くのオープンソースのAIツールが、個人や企業のデータを不用意にウェブ上に晒していると報告されています。
特に、大規模言語モデル(LLM)を構築するサーバーやベクター型データベースに重要な情報が漏洩していることが判明しています。
ドイチュ氏が指摘するように、プログラマたちはこれらのツールをインターネットで見つけて環境に設定はするものの、セキュリティ面での配慮が置き去りにされがちです。低コードのLLMアプリケーション構築ツール「Flowise」の脆弱性を突き、GitHubのアクセストークンやOpenAIのAPIキーをはじめとする機密情報にアクセスすることに成功しています。
また、ベクター型データベースがインターネットから直接攻撃可能であることも明らかにされ、一部は保護情報や金融情報を含んでいました。
このようなリスクを軽減するためにも、企業はAIサービスへのアクセスを制限し、それらの活動を監視・記録し、ソフトウェアアップデートを常に適用する必要があります。AIツールは新しく、セットアップ方法を広く知られていないため、セキュリティは後回しにされがちだとドイチュ氏は警告しています。
出典 : Hundreds of LLM Servers Expose Corporate, Health & Other Online Data https://www.darkreading.com/application-security/hundreds-of-llm-servers-expose-corporate-health-and-other-online-data