Sam Lavigneの「Slow LLM」アートプロジェクト――AIが俳句を生成するのに2日かかる――が、いま非常に注目を集めています。前提はこうです。人々に、「即時のAI応答にどれほど依存してしまっているか」を直視させること。
しかし、誰もがAI依存について議論する一方で、別の問題が静かに燃え上がっています。監査されていない脆弱性によって、AIアシスタントがプライベートデータを漏えいさせているのです。
CVE-2026-25253はその実例です。
起きたこと
この脆弱性は、3つの主要なAIアシスタントのプラットフォームにおけるWebSocketハンドラを直撃しました。攻撃の経路は単純でした。不正なペイロードによってアシスタントが会話履歴をエコーするよう強制され、その中には他のユーザーのセッションからの断片も含まれていました。
単なる机上の話ではありません。パッチが出される前に、42,000件のAIアシスタントインスタンスが影響を受けました。実際の利用者。実際のデータ。
漏えいしたデータは、それ自体ではそもそも「センシティブ」ですらありません。氏名。メールの断片。住所の一部。アプリがAI APIに日常的に送っているような種類のものです。「acme@example.com宛に、John Smithへの返信文を作ってくれませんか。」のような情報です。
単体で見れば、各断片は無害に見えます。何千ものセッションにわたって集計すると、それはPIIの地図になります。
真の問題はCVEではない
CVEは数日で修正されました。危険にしていた根本的な振る舞い――スクラブせずに生のユーザーデータをAI APIに送るアプリが今もあちこちに存在していること――は、依然として至る所に残っています。
POST /v1/chat/completionsを呼び出すとき、そのメッセージには何が入っていますか? 氏名。メールアドレス。医療情報。金融情報。これらすべてが平文のまま第三者APIに流れ、リクエスト履歴として記録され、AIプロバイダ側でキャッシュされている可能性さえあります。
誰もこれをセキュリティ上の欠陥として設計したわけではありません。理由は単純で、デフォルトが「すべて送る」だったからです。
今日できることは3つ
1. システムの外に出る前にPIIをスクラブする
ユーザーの文章をAI APIに送る前に、PII検出の処理を通してください。最低限、メールアドレス、電話番号、SSNを削除します。それらをトークン([EMAIL_1], [PHONE_1])に置き換え、相手側で応答を再構成します。
特に重要なのは、ユーザーがアップロードしたドキュメントやフォーム入力の場合です。そこにはPIIがぎっしり詰まっています。
2. 本番環境ではフルプロンプトをログに残さない
アプリケーションのログは、二次的な攻撃面になります。デバッグのためにフルのプロンプト/応答ペアをログに記録しているなら、意図していなかったPIIのデータベースを作っていることになります。コンテンツではなく、メタデータ(レイテンシ、トークン数、エラーコード)をログにしてください。
3. 保持期間が短いペイ・パー・コール型APIを使う
サブスクリプション型のAIサービスには、利用規約のどこかにデータ保持ポリシーが埋め込まれていることがよくあります。ペイ・パー・コール型APIは、保持期間が短い、または保持期間がない傾向があります。何かセンシティブなものを送っているなら、この違いは重要です。
Slow LLMの問題はここにつながっている
Slow LLMでLavigneが言いたいのは、速さが依存を生むということです。私たちは、即時のAIなしでは壊れてしまうワークフローを作り、その依存が健全かどうかを問わずに進めてしまいました。
同じ構図がセキュリティでも起きます。私たちは、データが必要なものかどうかを問わずに、とにかく速いルートだからという理由で、AI APIに「すべて送る」アプリを作ってきました。
CVE-2026-25253の影響を受けた42,000のインスタンスは、不正に作られた企業だったわけではありません。デフォルトの選択を選んだ、勢いのあるチームでした。デフォルトの選択こそが危険なものです。
遅い方法で作る。最初にスクラブする。送る量を減らす。ログも減らす。
あなたのユーザーは、あなたがそうしたことを決して知ることはありません。そうなるべきなのです。
私はこの問題のためにPIIスクラバーを作りました――プロンプトがあなたのシステムの外に出る前に、20カテゴリの個人データを取り除きます。the-service.liveで無料で試せます。
