AIモデルの公開リポジトリであるHugging FaceとClawHubで、資格情報(クレデンシャル)の窃取、バックドアの設置、暗号通貨マイニングを目的とした悪意あるモデルが数百件発見されました。セキュリティ企業Protect AIが400万件以上のモデルをスキャンした結果、5万1,700モデルで合計35万2,000件の問題を特定しており、AIモデルのサプライチェーン攻撃が深刻な問題として浮上しています。
発見された悪意あるモデルの多くは、人気オープンソースモデルの偽バージョンとして公開される「ミラースクワッティング攻撃」の手法を採用しています。MetaのLlama 4、Mistral、Qwenなどの著名モデルに酷似した名前でアップロードされており、開発者がモデルを取り込んだ時点でバックドアが起動する仕組みになっています。特に問題視されているのは、PyTorchのpickle形式を利用した攻撃で、trust_remote_code=Falseフラグを設定していても一部のケースで回避されることが報告されています。
Hacker Newsでは「オープンモデルのサプライチェーンセキュリティは深刻な問題。モデルのダウンロード前の検証フローが必要だという指摘が多い」との声が上がっています。Redditでは「モデルのハッシュ検証の習慣化を呼びかける声」が広まっており、SHA-256チェックサムの確認や公式ソースからの直接ダウンロードを徹底する重要性が改めて注目されています。
AIモデルのオープンソース化が加速するなかで、サプライチェーンセキュリティは見過ごされがちな盲点でした。コードの依存関係と同様に、モデルの出所と完全性を検証する文化と仕組みの整備が急務となっており、Hugging Faceなどのプラットフォーム側のスキャン体制強化とともに、利用者側の意識向上が求められています。