DeepSeekのAI、「攻撃成功率100％」シスコなどのセキュリティ研究結果

中国のAIプラットフォーム「DeepSeek」が開発したチャットボットが、セキュリティ研究者によるテストで深刻な脆弱性を露呈した。シスコシステムズとペンシルバニア大学の研究チームは、50種類の「脱獄」攻撃を試みた結果、すべての攻撃が成功し、同チャットボットの安全対策の不備が明らかになった。

本テストの概要、結果と原因

「脱獄」とは、AIモデルに設けられた安全システムを回避し、有害なコンテンツの生成を誘発するプロンプト・インジェクション攻撃の一種である。たとえば、AIに爆発物の製造方法やヘイトスピーチの生成を指示することなどが該当する。
研究チームは、一般的な被害、サイバー犯罪、誤報、違法行為など6つのカテゴリに分類されたプロンプトを使用し、DeepSeekのモデルをテストした。

シスコの製品・AIソフトウェア・プラットフォーム担当バイスプレジデント、DJ・サンパス氏は、「攻撃が100％の確率で成功したということは、トレードオフがあることを意味します」と述べ、DeepSeekのモデルが安全性とセキュリティの要素を十分に考慮していない可能性を指摘した。

さらに、AIセキュリティ企業Adversa AIの分析でも、DeepSeekのモデルが単純な言語トリックから複雑なAI生成プロンプトまで、幅広い脱獄手法に対して脆弱であることが示唆された。
Adversa AIのCEO、アレックス・ポリャコフ氏は、「すべての（脱獄）手法が完璧に機能してしまいました」と述べ、DeepSeekの制限が簡単に回避できることを強調した。

この問題は、AIシステム全般におけるセキュリティの課題を浮き彫りにしている。プロンプト・インジェクション攻撃は、AIシステムが外部ソースからデータを引き出し、その情報に基づいて攻撃を仕掛けることで発生する。現在のAIシステムでは、間接的なプロンプト・インジェクション攻撃が最大のセキュリティ欠陥の一つと考えられている。

PlusWeb3担当マーケターの所感

AI技術の急速な進展に伴い、セキュリティ対策の重要性が増している。
特に、AIモデルの脆弱性は企業の信頼性やブランド価値に直結するため、開発段階からセキュリティを組み込む「セキュア・バイ・デザイン」のアプローチが求められる。また、ユーザーに対してもAIの安全な利用方法を啓蒙することで、信頼性の高いブランドイメージの構築が可能となる。AIを活用したマーケティング戦略を展開する際には、セキュリティリスクを十分に考慮し、適切な対策を講じることが不可欠である。