出典: Andrea Danti(Alamy Stock Photo経由)
次世代の悪意あるインプラントは、AIアプリケーションのバックエンドに潜む可能性があります。
セキュリティ研究者のHariharan Shanmugam氏は、AIモデルが注入されたコードに対して独自の脆弱性を持つことに関するセキュリティ問題について、来月研究成果を発表する予定です。現在、AIリスクに関する多くのセキュリティ研究はプロンプトインジェクション— LLMモデルにマルウェアを書かせたり、機密データを漏洩させたりするようなプロンプトを使う攻撃 — に関するものですが、Shanmugam氏の発見は、LLMモデルにおけるより技術的な欠陥に焦点を当てた研究の増加傾向に加わるものです。
具体的には、現代のセキュリティツールがAIコンポーネントに埋め込まれた特定の種類の悪意あるインプラントを検出するには不十分であることを説明します。Shanmugam氏は、Black Hat USA 2025のセッション(8月7日開催)で「Weaponizing Apple AI for Offensive Operations」というタイトルでこの研究を初公開します。
現代のセキュリティ検出における弱点
Shanmugam氏は発表まで研究の一部を非公開にしたいと考えていますが、Dark Readingに対し、この問題の根本的な課題はApple特有のものではなく、Appleや他のベンダーに影響を与える特定の脆弱性に関するものでもないと語っています。
むしろ、この研究は多くのAIインターフェースがリポジトリやソフトウェア発行者から広く信頼されているという現実に基づいており、その信頼がAIフレームワークを脅威アクターが埋め込み画像や音声ファイルに悪意あるコードを隠すための隙にしています。機械学習やAIコンポーネントに埋め込まれた場合、一部の悪意あるコードチェッカーが特定の脅威活動を検出できないため、巧妙に難読化されたペイロードやコマンド&コントロール(C2)展開の機会が生まれます。
Shanmugam氏はDark Readingに対し、AppleのAIスタックは同社のモバイルおよびデスクトップOS、さらにPhotos、FaceTime、Notesなどのアプリケーション全体に深く組み込まれていると述べています。
そして、AppleのAIフレームワークが非常に信頼されており、ほとんど気付かれない存在であるため、Shanmugam氏はCore MLを、macOSに特に関心を持つ攻撃的セキュリティ研究者として、これらの弱点をどこまで突けるかを試す価値のある実験場と見なしました。その最終成果が、Appleの機械学習フレームワークを利用して同社のAI処理パイプラインを悪用するC2フレームワーク「MLArc」です。
さらに、CoreMLを使ってAIモデルに悪意あるコードを埋め込んで実行する方法、Visionを使ってAI処理画像にペイロードを隠す方法、AppleのAVFoundationを使ってAI強化音声にペイロードを隠し抽出する方法についても議論します。
これらの攻撃には脆弱性が関与しておらず、Appleのコードが悪用されているわけでもありません。Apple側はすべて意図通りに動作しています。従来の意味でのマルウェアも直接関与していません。むしろ、研究者の言葉を借りれば、セキュリティツール(一般的に)は正しい場所を見ておらず、これらのペイロードは署名付きAPI経由で通過できてしまうのです。
典型的な攻撃では、脅威アクターが正規に見えるAI搭載アプリケーションを公開リポジトリに公開する場合があります。そして、アプリケーションがすべてのスキャナーやトラフィックチェックを通過しても、ペイロードは信頼されたAIモデルファイルに埋め込まれ、メモリ上で完全に実行されるため、目の前に隠されていても気付かれません。あるいは、正規の組織が知らずに毒されたAIコンポーネントをアプリケーションに組み込んでしまい、サプライチェーンリスクをもたらすこともあります。
さらに、AI処理画像や音声にペイロードを隠すことができるため、他のソーシャルエンジニアリングやフィッシング型攻撃も可能です。
「これは、現代の検出ツールの死角を明らかにし、セキュリティチームにAIモデルやライブラリを単なる受動的データではなく、ペイロード運搬体としても扱うよう促すレッドチーム戦術です」とShanmugam氏は説明します。
要点
Shanmugam氏は、中心となる問題が現行の検出ツールの弱点にあるため、研究者やアナリストはセッションと合わせて自身の研究ブログで公開する侵害の兆候に注目すべきだと述べています。
現在のAI脅威の多くはプロンプトインジェクションや言葉によるトリックに関わっているように見えますが、Shanmugam氏の研究から、AI攻撃の対象範囲が急速に拡大していることは明らかです。
「これが次世代インプラントの潜む場所であり、私たちはまだそれを捕まえる準備ができていません」と彼は言います。「AI攻撃というと皆プロンプトの悪用だと思いがちですが、それ以外にも多くのことがあります。AIのバックエンド、つまりモデルやニューラルエンジン、ライブラリなど、攻撃者が各レイヤーをどう悪用するかも重要です。フロントエンドだけが問題ではありません。」