やるつもりだったんだ!AIベンダーは脆弱性の責任をよそに流す
責任も非難も先へ先へと押し流すやり方は、AI企業の成熟度の欠如を示している
OPINION AIベンダー:「AIを使ってAIの脅威に対抗する必要があります(そして、あなたの企業のIT環境にある他のあらゆることも全部やってください。)」。そしてAIベンダー:「それはセキュリティ上の欠陥ではありません。意図したとおりに動いているだけです。」
このパターンは、デジタルの誇大宣伝装置たちが企業に対して、あらゆることを(とりわけセキュリティ上の問題を検知して遮断することに関して)AIでやれと煽るにつれて、ますます一般的になってきました。つまり——AIそのものにセキュリティ上の欠陥が存在するまでは、です。そうなると「想定された挙動」や「設計上のリスク」だと言い出すのです。
運が良ければ、当該のAI企業が責められるべき原因を、ドキュメント内でひっそりと新しいセキュリティ上の注意事項として公表するかもしれません。しかし根本の問題は直りません。たとえばプロンプトインジェクションのように、ベンダーはたとえそうしたいとしても、実際にはその欠陥を根本的に直せない場合があります。
最近のいくつかの事例が、この構図がどう展開するかを示しています。
研究者らは、GitHub Actionsと統合する3つの人気AIエージェントが、乗っ取られてAPIキーやアクセス・トークンを盗まれることがある仕組みを最近明らかにした。この3つのエージェントは、AnthropicのClaude Code Security Review、GoogleのGemini CLI Action、そしてMicrosoftのGitHub Copilotで、いずれのベンダーも発見に対してバグ報奨金を支払っています。
Anthropicは$100の懸賞金を支払い、重大度を9.3から9.4に引き上げ、ドキュメントの「セキュリティ上の考慮事項」セクションを更新しました。Googleは、この発見に対して$1,337の報奨金を支払いました。そしてGitHubは、当初「再現できない」として「既知の問題」だと呼んでいたにもかかわらず、最終的に開示を行った研究者に$500の賞金を支払いました。
ベンダーはいずれもCVEを割り当てず、公開のセキュリティ勧告も公表しませんでした。
別のバグハンティングチームが、AnthropicのModel Context Protocol(MCP)に組み込まれた設計上の欠陥を開示しました。チームによれば、この欠陥は最大で200,000台のサーバーを完全な乗っ取りの危険にさらすとのことです。
彼らは「繰り返し」Anthropicに根本原因のパッチを当てるよう求めましたが、そのたびにプロトコルは意図どおりに動作するのだと言われ続けたといいます。もっとも、MCPを使う個別のオープンソースツールやAIエージェントに対しては、(これまでに)10件の高・緊急の重大度のCVEが発行されているにもかかわらずです。
根本的なパッチが、バグハンターの主張では、150,000万件超のダウンロードにまたがるソフトウェアパッケージ全体でリスクを減らし、何百万人もの下流ユーザーを保護できたはずだということです。
欠陥を直さなかった理由についてのAnthropicの見解は「期待される挙動」だったということです。「これはMCPのstdioサーバーが動作する仕組みの明確な一部であり、この設計は安全なデフォルトを表していないとは考えています」と、AI企業は研究者に伝えたそうです。
- AnthropicはMCPの「設計上の欠陥」を自社で引き受けないのか――200K台のサーバーが危険にさらされる件、研究者が指摘
- GitHubにつながったエージェントは認証情報を盗める――しかしAnthropic、Google、Microsoftはユーザーに警告していない
- Anthropic:リモートコード実行を可能にしていたGit MCPサーバーの欠陥を静かに修正
- Anthropic:「あなたのゼロデイはすべてMythosのもの」
つまり、またしても、こうした複雑で非決定的なAIシステムを守るための厄介な問題が、IT企業やエンドユーザーへと先送りされているということです。今回はその対象に、アプリやオープンソースプロジェクトで自社の中でAnthropicの公式MCPソフトウェア開発キットを使う開発者、さらに、このオープンソースのコードやAIツールを自社環境に取り込む企業のすべてが含まれます。
さらにもう少し視野を広げて一分考えると、AI企業による規制を制限するうえでの米国連邦レベルのAI規制が完全に欠けていることも注目に値します。にもかかわらず、そのうちの1社(Anthropic)は先週、自社の最新モデルがセキュリティ上の欠陥を見つけることにおいて非常に巧みであるため、一般に公開するのはあまりにも危険だと警告していました。他のどんな分野であっても、「うちの製品は皆を重大な危険にさらす」と人々に言いながら、無責任に運営を許されるなど想像しにくいです。
私が子どもたちに伝えようとしているのは、成熟して信頼を得るということは、自分の選択や行動に責任を持ち、自分の過ちを自分で引き受けるということだ、という考え方です。それには、自分が間違っていたと認めること、可能なら自分の過ちを修正すること、そして次はもっと良くできるように軌道修正することも含まれます。
AI企業によるこうした「なりすまし(自分じゃない)」的な振る舞い――セキュリティは誰か別の人が解決すべき問題だと言って押し付けること――は、成熟の欠如を完全に示しています。あるいは、礼儀の常識すら欠けていると言ってもいいでしょう。顧客が同じ結論に至るまで、どれくらい時間がかかるのか、不思議でなりません。®
さらに絞り込む(関連トピック)
- 2FA
- 高度な持続的脅威
- AIOps
- アプリケーション配信コントローラー
- 認証
- BEC
- ブラックハット
- BSides
- バグバウンティ
- Center for Internet Security
- CHERI
- CISO
- クロード
- 共通脆弱性評価システム
- サイバー犯罪
- サイバーセキュリティ
- サイバーセキュリティ・インフラストラクチャ安全保障庁
- サイバーセキュリティ情報共有法
- データ侵害
- データ保護
- データ窃取
- DDoS
- DeepSeek
- DEF CON
- デジタル証明書
- 暗号化
- エンドポイント保護
- エクスプロイト
- フיירウォール
- ジェミニ
- Google Brain
- Google Project Zero
- GPT-3
- GPT-4
- ハッカー
- ハッキング
- ハクティビズム
- なりすまし(ID)窃取
- インシデント対応
- インフォセック
- インフラストラクチャのセキュリティ
- Kenna Security
- 機械学習
- MCubed
- NCSAM
- NCSC
- ニューラルネットワーク
- NLP
- パロアルトネットワークス
- パスワード
- 個人を特定できる情報
- フィッシング
- 量子鍵配送
- ランサムウェア
- リモートアクセス型トロイの木馬
- 検索拡張生成
- REvil
- RSAカンファレンス
- ソフトウェア・ビル・オブ・マテリアルズ
- スパム送信
- スパイウェア
- スター・ウォーズ
- 広範な監視
- テンソル処理装置
- TLS
- TOPS
- トロイの木馬
- トラステッド・プラットフォーム・モジュール
- 脆弱性
- ワンナクライ
- ゼロトラスト
より広い話題
詳細情報
より絞り込んだ話題
- 2FA
- 高度な持続的脅威
- AIOps
- アプリケーション配信コントローラー
- 認証
- BEC
- ブラックハット
- BSides
- バグバウンティ
- Center for Internet Security
- CHERI
- CISO
- Claude
- 共通脆弱性評価システム
- サイバー犯罪
- サイバーセキュリティ
- サイバーセキュリティ・インフラストラクチャ・セキュリティ庁
- サイバーセキュリティ情報共有法
- データ侵害
- データ保護
- データ窃取
- DDoS
- DeepSeek
- DEF CON
- デジタル証明書
- 暗号化
- エンドポイント保護
- エクスプロイト
- ファイアウォール
- Gemini
- Google Brain
- Google Project Zero
- GPT-3
- GPT-4
- ハッカー
- ハッキング
- ハクティビズム
- 身元詐称
- インシデント対応
- 情報セキュリティ
- インフラストラクチャのセキュリティ
- ケンナ・セキュリティ
- 機械学習
- MCubed
- NCSAM
- NCSC
- ニューラルネットワーク
- NLP
- パロアルトネットワークス
- パスワード
- 個人を特定できる情報
- フィッシング
- 量子鍵配送
- ランサムウェア
- リモートアクセス型トロイの木馬
- レトリーバル拡張生成
- REvil
- RSAカンファレンス
- ソフトウェアの部品表(SBOM)
- スパム送信
- スパイウェア
- スター・ウォーズ
- 応太的監視
- テンソル処理装置(TPU)
- TLS
- TOPS
- トロイの木馬
- トラステッド・プラットフォーム・モジュール(TPM)
- 脆弱性
- ワナクライ
- ゼロトラスト
