セキュリティ研究者がインターネット上に公開されているAIサービス100万件以上をスキャンした調査結果を公開し、認証機能が無効のまま稼働しているインスタンス、Dockerの設定ミス、ハードコードされた認証情報など、深刻なセキュリティ上の欠陥が業界全体に広く蔓延していることが明らかになりました。Hacker Newsが報じたこの調査は、生成AIサービスの急速な普及がセキュリティ設定の徹底を追い越している現実を数値で示しています。
調査が明らかにした問題の核心は、「デプロイの速さ」と「セキュリティの基礎」のトレードオフです。多くの開発者・企業がAIサービスを迅速に公開する過程で、認証の設定を省略したり、デフォルト設定をそのまま本番環境で使用したりしています。特にDockerコンテナを使ったAIアプリケーションの展開では、ポートの公開範囲やネットワーク設定を適切に制限せず、意図せず全インターフェースにサービスを露出させるケースが多発しています。APIキーや認証トークンをソースコード内に直接書き込む「ハードコード認証情報」の問題も依然として多く検出されています。
X上ではセキュリティ研究者から「AIブームの影の部分」として大量にシェアされ、「自社のAIインフラを今すぐ確認すべき」という実務的な警告が多数投稿されました。Reddit(r/netsec)では「AIの急速導入がセキュリティの基礎を完全に無視している」という批判的な議論が展開され、自社AIサービスのセキュリティチェックリストを共有するスレッドが自然発生して大きな注目を集めました。Hacker Newsでは「AIインフラのセキュリティはWebアプリ初期時代と同じ過ちを繰り返している」という歴史的分析が高評価を獲得し、ビルドスピードより安全性を優先すべきという議論が活発に展開されました。
この調査が公開されたのは、Microsoft Semantic KernelのRCE脆弱性(CVE-2026-25592ほか)やFastGPT・Postizのゼロデイといった重大なAI関連脆弱性が相次いで発表されたタイミングと重なります。AIエージェントが企業のITインフラにより深く組み込まれていく中、「AIを速く動かすこと」と「安全に動かすこと」の両立が2026年のセキュリティ実務における最重要課題として浮上しています。