ハッカーが大規模言語モデル(LLM)を使ってAIシステム向けの攻撃コードを生成し、そのAIインフラを乗っ取って別のAIシステムを自動的に探し出して攻撃する手口が確認された。
「Ray(レイ)」は、AIプロジェクトの管理と計算リソースの割り当てを支援するソフトウェア だ。イスラエルのOligo Securityは、Rayを悪用した自己増殖型ボットネット「ShadowRay 2.0」を発見し、少なくとも23万台超のサーバーが危険にさらされていたと報告している。侵害された環境では暗号資産のマイニングだけでなく、独自AIモデルやソースコードを含む企業の知的財産・資料が流出し得る状態だった。
AI同士が絶えず戦うサイバー世界に至る、新たな節目
イスラエルに拠点を置くOligo Securityが、Rayの大規模な悪用を確認した。
OligoのAIセキュリティ研究者アヴィ・ルメルスキーによれば、同社の警告にもかかわらず、オンラインで公開されたままのRayサーバーを23万台以上特定可能で、それらがサイバー攻撃にさらされている可能性があったという。ルメルスキーは、侵害されたサーバーに暗号資産のマイニングを命じるコードの生成に関して、OpenAIのChatGPT、AnthropicのClaudeといったLLMが使われたことは「非常に確信がある」と述べたが、どのモデルかを特定することはできなかったという。彼は、不要なコメントや文字列が繰り返されるなど、LLMが悪意あるコードの作成に使われたときに見られる「識別可能な特徴」があると述べた。
また、そうしたRayサーバーは、さらなる標的を自律的に偵察するためにも使われ、その運用が自己増殖型のボットネットへと変貌していた。これは「AIインフラが乗っ取られて、自らを攻撃できる」ことを示していると、Oligoの共同創業者兼CTOを務めるガル・エルバズは述べた。Oligoはこの攻撃をShadowRay 2.0と名付け、昨年検知したハッキングのアップデート版だとしている。
Rayの開発元AnyScaleは、サーバーをインターネットに露出させなければ悪用は不可能と主張
Rayを開発したAnyScaleは、この記事の掲載時点ではコメントを提供していない。同社は昨年フォーブスが最初にこの問題を報じた後、指摘された問題に異議を唱え、ユーザーがサーバーをインターネットに露出させないという同社の助言に従っていれば悪用は不可能だと主張していた。同社は脆弱性への対処に関するガイダンスをオンラインで公開し、リスクの有無を確認できるツールもリリースしている。
ShadowRayは、AIが自立的に攻撃するという新たな段階
このニュースは、Anthropicが、自社のClaude AIが中国の研究者によってマルウェア作成に使われたと警告したこと、そしてペンタゴン(米国防総省)が自動化されたサイバー戦向けのAIエージェントを開発するスタートアップに数百万ドル(数億円)を支出していたとフォーブスが明らかにしたレポートに続くものだ。
OligoのエルバズはAnthropicの報告に言及し、「AnthropicのClaudeの脱獄(ジェイルブレイク)は、敵対者がAIシステムを操作して攻撃に関与させる、いわばAI操作型の攻撃を示した」と指摘した。その上で、「ShadowRayは次の段階を示している。すなわち、敵対者が基盤となるAIインフラを乗っ取り、自己増殖するグローバルな部隊を作り出す、いわばAIによってコーディネートされた攻撃である」と語った。
複数のハッカーが存在し、攻撃し合う
さらに別の側面もある。同一の攻撃を実行しようとする複数のハッカーが存在するように見受けられるのだ。Oligoは、脆弱なサーバー上で競合する暗号資産マイナーを検知して削除するよう設計されたスクリプトを発見した。
企業の機密性の高い知的財産が狙われるリスク
ハッカーたちはまた、AI駆動のボットネットを用いて複数のウェブサイトに対する分散型サービス妨害(DDoS)攻撃も行った。さらに悪質なこともできたはずだ。研究者によれば、ハッカーは侵害されたシステム上の社内専用AIモデルにアクセスでき、企業の機密性の高い知的財産が危険にさらされた可能性がある。あるケースでは、単一の企業がソースコードやAIモデルを含む240GBの資料を外部にさらしていた。「本質的に、企業のR&D環境全体がインターネットからアクセス可能だった」とルメルスキーは述べた。
