7月13日、Help Net Securityが「99.9% of fixable AI vulnerabilities remain unpatched」と題した記事を公開した。この記事では、AIインフラのセキュリティ管理が実態として機能しておらず、修正可能な脆弱性のほぼ全てが放置されているという調査結果について詳しく紹介されている。以下に、その内容を紹介する。
修正可能なAI脆弱性の99.9%が未パッチ
Orca Securityが発表した「2026 State of AI Security Report」によると、AIパッケージを運用している企業の81.2%に既知の脆弱性が少なくとも1件存在し、そのうち修正済みパッチが提供されている脆弱性アラートの99.9%が未適用のままになっているという。
2024年時点ではAIパッケージの脆弱性は「悪用が困難」とみなされ、パッチ適用が後回しにされることが多かった。しかし状況は変わっており、放置率がほぼ100%に達しているという数字は、運用速度を優先するあまりセキュリティ成熟度が追いついていない現実を示している。
同レポートは、AIをクラウド上でビルド・デプロイ・運用する企業が急増する一方で、基本的なセキュリティ衛生(サイバーセキュリティ・ハイジーン)が速度のために犠牲にされていると指摘する。
AIスタックの5つの攻撃レイヤー
攻撃者はAIスタックの以下の5つの層を横断して侵害を試みるとされる。
- パッケージレジストリ
- モデルハブ
- 開発者ツール
- エージェントフレームワーク
- ブランド信頼(フィッシング等)
Orca Securityは新たなAI関連パッケージの脆弱性を3カテゴリに分類している。
- ホスト型AIモデルへのアクセスに使うSDK
- AIエージェントや統合を構築するフレームワーク
- 急拡大中のModel Context Protocol(MCP) エコシステム
MCPは、LLM(大規模言語モデル)が外部ツールやデータソースと連携するためのプロトコルで、近年急速に普及している。脆弱なライブラリが依存関係グラフに埋め込まれると、AIワークロードもその脆弱性を引き継ぐ。74.1%の企業が少なくとも1件のクリティカルCVE(共通脆弱性識別子)を抱えている。
AIエージェントとRAGのリスク
56%のAI採用企業がエージェントフレームワークを本番環境にデプロイしており、各エージェントはそれぞれ独自のパーミッション・メモリ・影響範囲(ブラストラジウス)を持つ非人間アイデンティティとして動作する。しかし多くのエージェントがデフォルトのパーミッションとロギング設定のまま動いており、本番システムからのランタイム分離もされていない。
64%のAI採用企業がベクターデータベースを本番環境に展開しており、LLMを内部文書・顧客データ・独自ナレッジに接続している。RAG(Retrieval-Augmented Generation)を利用する企業は平均3.78個のベクターデータベースを運用しており、プラットフォームやアクセス方法をまたいで一貫したセキュリティポリシーを適用するのが難しくなっている。
暗号化設定の放置と認証情報の露出
3大クラウドプロバイダー全体で、87〜98%の組織がAIサービスに対してカスタマーマネージド暗号化キー(CMEK)を設定していない。プロバイダー管理のキーはデータの静止時暗号化を行うが、キーローテーションの制御や独自のアクセス取り消し、利用状況の可視化はできない。
また、AIを採用している企業の約30%が少なくとも1つのAPIキーを安全でない場所に保存している。Gitリポジトリにコミットされたキーは、コードベースから削除した後もアクセス可能な状態が続く場合がある。
規制強化の動きと企業の対応
規制面では、EUのAI規制法(EU AI Act)がハイリスクAIシステムに対する追加要件を2026年8月2日から適用開始する予定だ。米国も規制フレームワークの整備を進めており、コロラド州の改正AI法は2027年1月1日に施行される。中国もAI固有の要件とAI生成コンテンツへの必須ラベリングを含むサイバーセキュリティフレームワークを拡充している。
Orca SecurityのCISOであるNir Mishalは次のように述べている。
「AIはクラウド環境に全く新しい運用レイヤーをもたらした。組織はエージェントが意思決定を行い、ベクターデータベースが企業データと接続され、複数のクラウドプロバイダーにわたってAIサービスが分散している状態に直面している。セキュリティチームはその全環境にわたる統合的な可視性と自動防御を組み合わせ、リスクの実在場所を把握し、被害が生じる前に攻撃者を止める必要がある。」
詳細は99.9% of fixable AI vulnerabilities remain unpatchedを参照していただきたい。