人工知能インフラストラクチャへの攻撃は増加していますが、ほとんどの人が予想する方法ではありません。AI セキュリティのヘッドラインはプロンプト操作に焦点を当てていますが、攻撃者はこれらのシステムの背後にあるインフラストラクチャを狙っています。この記事は、AI セキュリティについてより広い視点を取り、このシフトを解き明かし、対応するための実践的な戦略を提示します。
リスクを理解するために、セキュリティエンジニアの立場に立ってください。
金曜日の午後の日常業務中に、小売業者のセキュリティチームはアラートを受け取ります。顧客のアドレスと銀行情報がアンダーグラウンドフォーラムで流通しています。このニュースは予期しないものです。本番システムは厳密に監視され、データは分割されており、流出は検出されていません。
調査は不愉快な方向に進みます。流出源は堅牢な e コマースプラットフォームではなく、実顧客データに基づいてレコメンデーションモデルを訓練するために新たに作成された AI 研究環境です。本番環境ではありません。露出することは想定されていません。それでもクラウドで実行されています。
このシナリオは仮説的です。リスクパターンはそうではありません。
結局はクラウドインフラストラクチャについてです
AI ワークロードはまだ初期段階にあり、実験的なオーラを持っていますが、その背後にあるインフラストラクチャは現実的であり、それらが管理するデータはしばしば大規模で機密です。そのため、リスク表面は通常、チームが最初に想定する以上に大きいです。
AI は魔法のように見えるので、人々は AI の周囲で警戒を緩めます。これをより明確にするために、直感的ではないことを明確にするところから始めましょう:
抽象化を取り除くと、AI はどこかで実行されているワークロードです。
本当の質問は、AI がコンピューティングサービスに依存しているかどうかではなく、組織が何を管理しているか、何が第三者に依存しているかです。
次に、現代の企業で人工知能が実際にどのように見えるかを見てみましょう。
今日のエンタープライズ AI の姿
AI の意味を特定することは思ったよりも難しいです。10 人の IT プロフェッショナルに尋ねると、10 の異なる回答が得られます。質問する人によって、チャットボット、基盤モデル、ML パイプライン、アルゴリズム、インフラストラクチャを意味する可能性があります。すべて正しいです。
学問分野としての AI は 1960 年代から存在しています。その核心は、インテリジェントな行動の側面をシミュレートするコンピューティングです。今日、AI が成熟し、クラウドと DevOps と交差するにつれて、科学分野から産業領域へと進化しています。
AI オペレーティングモデル
セキュリティチームは、AI が組織にどのように実際に現れるかを理解する必要があります。次のセクションでは、これらのシステムがどのように見えるか、どのように構築されるか、そしてなぜ異なる方法で採用されるのかについて説明します。
AI 価値スタック
これについて考えるための有用な方法は、マッキンゼーなどの企業が生成 AI について議論するときにしばしば使用するメーカー、シェーパー、テーカーフレームワークです。
メーカーは、フロンティアモデルベンダー、クラウドプロバイダー、スタートアップ、および膨大な GPU 容量と大量のデータを使用して基盤モデルを訓練する研究機関からなる比較的小規模なグループです。
テーカーには、ChatGPT、Gemini、Copilot などのプラットフォームを通じて AI 機能を直接消費する組織と個人が含まれます。
その間に、AI システムを微調整、検索層、または専有データ統合を通じて適応させることで AI システムの上に製品を構築するシェーパーの幅広いエコシステムがあります。
より運用的な観点から、Amazon Web Services からのAI セキュリティスコーピングマトリックスは、AI システムを 5 つの異なる責任領域に分けています。セキュリティ責任について考えるときに便利なリファレンスです。
アーキテクチャの謎
前述のように、AI は広い分野です。以下では、いくつかの基本的な区別とそのリスクプロファイルを確認します。これは高レベルの概要にすぎません。より深い議論については、関連するブログシリーズを参照してください。
生成型と予測型
生成型 AI は近年大きな牽引力を獲得していますが、AI はそれをはるかに超えています。
生成型システムは開放的な出力を生成し、通常はインタラクティブですが、予測型システムはより制限されており、決定指向です。生成型システムは、複数のデータソースを組み合わせることにより、テキスト、コード、画像、またはレスポンスを生成するコパイロット、エージェント、およびアシスタントを強化します。予測型システムはビジネスロジックとトランザクションフロー内で動作し、不正検出、需要予測、レコメンデーションエンジン、またはリスクスコアリングなどのユースケースをサポートします。
この区別はアーキテクチャ、露出、および制御戦略を形作ります。
セキュリティの観点から、生成型システムはデータを集約し、ユーザーをワークフロー全体にガイドする傾向があり、セキュリティがより簡単にアクセスできるようになります。一方、予測型システムはプロファイラーとして動作し、パターンを特定し、疑わしいアクティビティにフラグを付けます。
リアクティブ対エージェンティック
エージェンティックシステムはステップ全体で動作し、より長時間有効なセッションを維持し、ツールを呼び出し、目的を達成するためにシステムにアクセスします。一方、リアクティブシステムはリクエストを実行して結果を返します。
これらの違いはセキュリティの露出と管理を形作ります。
訓練と推論
訓練パイプラインは、前述のメーカーカテゴリーに近い場所にあります。それらはデータ、モデル成果物を集中させ、多くの場合、GPU などの特殊なコンピューティングリソースを高い権限を持つ制御プレーン内で集中させます。それらはインターネットに頻繁に公開されることはありませんが、多くの場合、重要な知的財産の管理権を持っています。
推論サービスは、シェーパーが動作する場所です。これらのサービスはモデルをライブトラフィック、API、および内部システムに接続します。それらは認証情報、検索層、およびリアルタイム実行を処理します。主なリスクは、集中したモデル資産から実行時の露出とシステム統合にシフトします。
セキュリティレンズを通して見ると、訓練は資産を保護することです。推論は露出とランタイムプロセスを制御することです。
IaaS、PaaS、および SaaS
同じ問題はまったく異なるアーキテクチャを使用して解決できます。
1 つのセットアップは、GPU クラスタによってサポートされている Kubernetes ベースの環境でモデルを訓練または微調整し、データ重力を保つためにオブジェクトストレージにプライマリデータセットを配置しながら、高スループットネットワークを活用します。結果のモデルはその後、同じまたは異なるクラウドで推論用にデプロイされ、API を通じて公開され、ビジネスアプリケーションに統合されます。このパターンの詳細な例は、Oracle Kubernetes Engine で GPU 加速 AI ワークロードを保護するで説明されています。
もう 1 つは、AWS Bedrock または GCP Vertex などのマネージドサービスを使用して基盤モデルを採用し、それをプラットフォーム API を通じて RAG データベースに接続します。
同様のユースケースでも、アーキテクチャと責任の境界は大きく異なる可能性があります。理由はさまざまで、主権要件からパフォーマンスと精度の制約までです。
企業が今日運営する方法
生成型 AI は実験的ではなくなりました。
Turing のState of AI Adoption 2025は、80% の企業がコアワークフローに生成型および LLM ベースのツールをデプロイまたは統合していることを報告しています。マッキンゼーは、組織の 65% での定期的な生成型 AI の使用を報告しており、年間でほぼ 2 倍になっています。
ただし、勢いは成熟度を意味するわけではありません。Information Services Group は、エンタープライズユースケースの 31% だけが完全なプロダクションにあることを発見し、多くのイニシアチブがまだ移行中であることを示唆しています。
生成型と予測型のシステムを区別するいくつかの信号があります。フィラデルフィア連邦準備銀行は、調査対象企業の 50% が生成型ツールを使用しているが、23% は従来の AI デプロイを報告していることを報告しています。生成型ワークロードは急速に増加していますが、予測型システムは運用プラットフォーム全体に組み込まれたままです。
採用パターンはまた、組織がこの技術をどのように消費するかを示しています。メンロベンチャーズは、76% のソリューションが内部構築ではなく購入されることを報告しています。インフラストラクチャは同じパターンに従います。BentoML の調査は、77% の組織がパブリッククラウドで推論ワークロードを実行しているのに対し、30% はオンプレミスデプロイを使用していることを報告しており、多くの場合ハイブリッドセットアップで実行されています。
エージェンティックシステムは採用の初期段階にとどまっています。マッキンゼーは、23% の組織が少なくとも 1 つの機能でそれらをスケーリングしているのに対し、39% は実験していることを報告しています。
動く標的を保護する
前のセクションは、AI が多様で断片化されており、その急速に進化するスタックも同じであることを示しています。
セキュリティプロフェッショナルの優先事項は可視性です:見えないものは保護できません。彼らは組織が採用する AI システムを理解し、必要な規模と速度でそれらを保護する必要があります。
最近の攻撃と脆弱性が明かすもの
AI システムの実際のリスクと制御の有効性を理解するために、近年 AI インフラストラクチャを標的にした攻撃を調査する必要があります。
以下のメトリクスは直接比較できません。ほとんどの数字はダウンロードボリュームを反映しています。ただし、まとめて見ると、AI の採用が加速し、インフラストラクチャがより相互接続されるにつれて、攻撃が規模で増加しているという明確な傾向を指しています。
技術的深さの増加は、より有能な敵対者、しばしば AI 駆動のツールを活用していることを示しています。より広い影響は、採用の速度と露出したインフラストラクチャの拡大を反映しています。
|
期間 |
攻撃名 |
推定到達範囲 |
情報 |
層 |
|
Q1–26 |
Hackerbot-claw |
150,000+ |
サプライチェーン RCE: ビルドランナーにコードを注入する自律ボット |
AI パイプライン (CICD) |
|
Q1–26 |
Copilot YOLO Mode |
5,000,000+ |
セーフガードなしでアクションを実行する自律 AI |
エージェンティックワークフロー |
|
Q1–26 |
OpenClaw/MCP |
50,000+ |
エージェンティック AI が有害なアクションを引き起こすツールの誤用 |
エージェントプロトコル |
|
Q4–25 |
Keras 任意アクセス&SSRF |
4,000,000+ |
犠牲者は悪意のあるモデルをダウンロードしてロードします。攻撃者は SSH キーを取得します |
AI ソフトウェアライブラリ |
|
Q4–25 |
BodySnatcher |
500,000+ |
コンテキストハイジャックはエージェンティックアクションの誤用を可能にします |
AI エージェント ID |
|
Q4–25 |
LangGrinch |
3,000,000+ |
パッチ未適用の期間中に PyPI の langchain-core の月次ダウンロードスパイク(約 98M 月次)から派生 |
AI オーケストレーター |
|
Q4–25 |
ShadowRay 2.0 |
100,000+ |
最大 15,000 のクラスタが影響を受けました。ボットネットは 100,000+ 要素に影響を与えた可能性があります |
AI インフラストラクチャおよびソフトウェアライブラリ |
|
Q1–25 |
Hugging Face Hub |
1,200,000+ |
悪意のあるアーティファクトを通じたモデルサプライチェーン侵害 |
モデルレジストリ |
|
Q4–24 |
Ultralytics Poison |
260,000+ |
サプライチェーンポイズニングは侵害されたモデル動作を引き起こします |
ML パイプライン |
|
Q3–24 |
NVIDIA Escape |
1,000,000+ |
GPU メモリ分離エラーがデータ流出につながります |
クラウドコンテナ |
|
Q1–24 |
ShadowRay 1.0 |
230,000+ |
公開された Ray クラスタはリモートコード実行を可能にします |
AI インフラストラクチャおよびソフトウェアライブラリ |
|
Q1–23 |
PyTorch RCE |
2,300+ |
安全でないモデル逆シリアル化は任意のコード実行を可能にします |
ソフトウェアライブラリ |
注目すべきことに、このポストの編集プロセス中に、Meta インシデントを含むいくつかのエージェント関連のセキュリティ問題が開示されており、これは内部データの露出につながったAI 生成指示を含む最近のインシデントです。これは、エージェント機能の急速な拡大と外部システムとの深い統合を反映しています。
問題は理解されていましたが、制御ポイントはそうではありませんでした
これらのすべてのインシデントで、侵害ベクトルはプロンプト操作または破損した訓練データに関連していませんでした。それはインフラストラクチャでした:アクセス制御、ネットワーク露出、ストレージ構成、変更されたコンポーネント、またはランタイム操作。
今日の AI セキュリティ会話の多くは、プロンプト分析とテキスト入力を通じたレッドチーミングに焦点を当てています。これらの実践は重要ですが、問題の一方のみに対処しています。インフラストラクチャレイヤーはかなり注意が少ないですが、一部のプロンプトレベルのリスクは実際にはデザイン障害です。
ゼロデイ脆弱性は、警告なく出現する可能性のある回避不可能なリスクのままです。設定ミスは本番環境に忍び込みます。Shadow AI システムは正式なガバナンスの外に現れ、監視されていません。十分な構造のアーキテクチャでも時間とともにドリフトします。
そのため、AI インフラストラクチャ保護はセキュリティ会話に独自のカテゴリーを持つに値します。
神経科医の視点を採用する
心理学者が行動を研究し、神経科医がその行動を生み出すシステムを研究するのと同じように、サイバーセキュリティツールは異なるレイヤーで動作します。
クラウドワークロード保護プラットフォーム (CWPP)は、ワークロード自体の内部構成、アクセス、およびリアルタイム信号を分析します。
一方、Web アプリケーションファイアウォール (WAF) や最近では LLM 保護プラットフォームなどのツールは、主に入力と出力を分析します。
当社の類似性:
- 心理学者 → 入力と出力を分析します
- 神経科医 → 内部構成と信号を分析します
会話を保護しているが、それを生成するインフラストラクチャを無視している場合、症状を治療しながら源を見逃しています。
視点から実践へ
これはシフトです。意味のある AI リスクは必ずしもプロンプトから発生するわけではなく、インフラストラクチャ、サプライチェーン、および実行環境から発生します。
そのリスクに対処することは、表面レベルの制御を超えて、AI システムが実際にどのように構築および運用されるかに焦点を当てることが必要です。それはどこで実行されるか、どのように構成されるか、そして本番環境でどのように動作するかを理解することを意味します。
ここでアプローチが具体的になります。
完全な保護アプローチ
前述の神経科医ワークフローは、4 つの実践的な制御領域に変換されます。
検出は、SaaS、PaaS、および IaaS レイヤー全体で AI 固有の資産を考慮する必要があります。
姿勢管理は、設定ミス、露出したエンドポイント、過剰な権限、および脆弱な依存関係を継続的に評価する必要があります。攻撃パスは分離された検出結果よりも重要です。
シフトレフト制御は重要です。脆弱性とリスキーな構成は、デプロイ前にイメージ、パイプライン、インフラストラクチャ定義で識別される必要があります。
最後に、ランタイム保護は不可欠です。エクスプロイテーションはコンテナとクラウドサービス内で発生します。実行動作、権限使用、および異常なアクティビティの監視は、設定ミスが侵害になることを防ぐものです。
AI-SPM と AIBOM では十分ではありません。AI インフラストラクチャには、高価値のクラウドワークロードに適用するのと同じ深さの制御が必要です。実質的には、関連するデータ、コンピューティング、権限の濃度と、AI 関連の侵害の増加するコストを考えると、さらに多くが必要です。これらの制御は、AI スタック全体の特定の技術と高い断片化に対処するために特殊化する必要があります。
AI インフラストラクチャセキュリティの運用化
Sysdig では、インフラストラクチャセキュリティにこのアプローチを適用し、ML および LLM システムを含む AI サービスとソフトウェアにクラウドネイティブ制御を拡張します。
- AIBOM は、関連するサービス、ワークロード、および信頼できる境界を表示します。これは Shadow AI ブラインドスポットを取り除くために不可欠です。
- リスク管理は実際の攻撃パス、使用中の脆弱性、および危険な設定ミスを優先します。
- 左シフトセキュリティ は脆弱なイメージとリスキーな構成が本番環境に到達することを防ぎます。
- ランタイム境界の保護 は、コンテナとクラウドサービス内の実行動作と権限使用を監視します。
ますます、AI は AI の保護を支援できます。Sysdig Sage™ などの AI アナリストを使用するか、セキュリティインサイトをエンタープライズ LLM ワークフローに直接統合することは、チームが高速に調査し、運用摩擦を削減するのに役立ちます。
LLM アプリケーションに Sysdig を使用する
大規模言語モデル アプリケーション向け OWASP Top 10 は、これらのアイデアを実際のセキュリティシナリオに接続する有用な方法を提供します。このリストは訓練と推論のリスクの両方にまたがり、LLM システムを保護するときにプラクティショナーが直面する課題を反映しています。次の図は、これらのリスクを関連する Sysdig CNAPP 機能にマッピングしています。
結論
エンタープライズ AI はクラウドインフラストラクチャで実行されます。これはデータ、コンピューティング、権限を、露出と影響の両方を増加させる方法で集中させます。
入力と出力を保護するだけでは十分ではありません。システムを保護する必要があります。Sysdig AI ワークロード保護機能の詳細を確認し、Sysdig 脅威研究の出版物を確認して、AI 攻撃の詳細情報を確認してください。
翻訳元: https://webflow.sysdig.com/blog/ai-infrastructure-security-why-it-deserves-its-own-category
