ワシントンD.C.発 ― AmazonのAI生成コーディングアシスタント「Amazon Q」が、ハッカーによる不正アクセスを受けました。ハッカーはツールのGitHubリポジトリに悪意のあるコードを注入しました。このコードは、ユーザーのシステムとクラウドリソースを消去するようAIに指示していました。Amazonは、約100万回ダウンロードされた公開リリースに、このエクスプロイトを知らずに組み込んでいました。ハッカーは、管理者権限を容易に付与されていたと主張し、このインシデントを利用してAmazonのセキュリティ対策の甘さを暴露しました。ハッカーが機密システムへのアクセスにAIツールを狙うケースが増えていることから、今回の侵害はリスクの増大を浮き彫りにしています。
パブリック・シチズンのビッグテックアカウンタビリティアドボケートであるJ.B.ブランチ氏は、これに対し、以下の声明を発表しました。
「まさにこれが、AI製品が市場に出る前に施行可能なルールが必要な理由です。Amazonは、ユーザーデータを消去するコマンドが組み込まれた製品を出荷しました。これは、最も基本的なガードレールと監視が欠如していたためです。規制と賠償責任基準があれば、この侵害はリリース前に発見できた可能性があります。」
大手IT企業は国民に信頼を求め続けていますが、その信頼がなぜ見当違いなのかを彼らは繰り返し証明しています。AI製品は最小限の安全性チェックしか行われず、利益のみを念頭に置きながら市場に投入されています。義務的な安全性審査、独立した監査、そして公的な説明責任が必要です。議会はシリコンバレーのあからさまなAI関連問題に目をつぶり続けることはできません。次のAIハッキングでシステム全体がダウンしてしまう可能性があるのです。