• 数百のオープンソースの大規模言語モデル(LLM)ビルダーサーバーと数十のベクトルデータベースが、高度に機密性の高い情報を流出
  • オープンソース(OSS)AIサービスであるベクトルデータベースとLLMアプリケーションビルダーの脆弱性を調査
  • FlowiseはY Combinatorによって支援されており、GitHubで何万ものスターを獲得
  • Flowiseサーバーの多くはパスワードで保護されているが、それだけでは不十分
  • 認証バイパスの脆弱性を利用して、LegitのDeutschは438のFlowiseサーバーをクラック
  • ベクトルデータベースにはAIアプリが必要とするあらゆる種類のデータが格納されており、それらは直接攻撃を受ける可能性がある
  • DeutschはAIツールのリスクを軽減するために、AIサービスへのアクセスを制限し、活動を監視・記録し、機密データを保護し、ソフトウェアの更新を常に適用することを勧めている

記事では、オープンソースAIツールに関するセキュリティ上の懸念が指摘されています。ベクトルデータベースやLLMアプリケーションビルダーには機密情報が漏洩しており、セキュリティ対策の不備が問題視されています。Deutsch氏は、これらのツールをセットアップする際にセキュリティを後回しにするプログラマーが多いことを指摘しています。特に、認証バイパスの脆弱性が存在するFlowiseなどのツールは、機密情報へのアクセスを危険にさらす可能性があります。

元記事: https://www.darkreading.com/application-security/hundreds-of-llm-servers-expose-corporate-health-and-other-online-data