• 大量のオープンソースの大規模言語モデル(LLM)ビルダーサーバーとベクトルデータベースが機密情報を漏洩
  • セキュリティ研究者Naphtali Deutschによる報告によると、OSS AIサービスの脆弱性を調査し、機密情報が露出
  • FlowiseはY Combinatorが後援し、GitHubで数万のスターを持つLLMアプリケーションを構築するための低コードツール
  • Flowiseサーバーの大部分はパスワードで保護されているが、セキュリティの脆弱性が指摘されている
  • LegitのDeutschはCVE-2024-31621を悪用し、438のFlowiseサーバーを侵害
  • ベクトルデータベースには機密情報が含まれ、直接攻撃を受ける可能性がある
  • データが盗まれるだけでなく、ハッカーはベクトルデータベースを操作して結果を操作する可能性がある
  • リスクを軽減するために、DeutschはAIサービスへのアクセスを制限し、活動を監視、機密データを保護し、ソフトウェアの更新を常に適用することを推奨

この記事では、AIツールのセキュリティに関する重要な問題が取り上げられています。機密情報が漏洩し、ハッカーがそれを悪用するリスクが高まっていることが示唆されています。Deutsch氏はセキュリティの重要性を強調し、組織がAIサービスへのアクセスを制限し、監視し、機密データを保護するための対策を講じることを勧めています。

元記事: https://www.darkreading.com/application-security/hundreds-of-llm-servers-expose-corporate-health-and-other-online-data