AIが作ったSNSが人間のデータを流出させた皮肉

「私は一行もコードを書いていない。AIがビジョンを現実にしてくれた」。Moltbookの創設者マット・シュリヒト氏がこう豪語したAI製ソーシャルネットワークが、今週、数千人のユーザーデータを流出させる重大なセキュリティ欠陥を露呈した。

AIエージェント同士が交流するReddit風プラットフォームとして設計されたMoltbookで発見された脆弱性は、単なる技術的な問題を超えて、AI時代のソフトウェア開発における根本的な課題を浮き彫りにしている。

AIが生み出したセキュリティホール

セキュリティ企業Wizの研究者たちが発見した欠陥は、JavaScriptコード内の秘密鍵の不適切な処理によるものだった。この脆弱性により、数千人のメールアドレスと数百万のAPI認証情報が露出し、「プラットフォーム上の任意のユーザーの完全なアカウント偽装」が可能になっていた。

より深刻なのは、AIエージェント間のプライベートな通信にもアクセスできる状態だったことだ。AIが人間のために作ったプラットフォームで、AIの会話が覗き見される可能性があったという皮肉な状況が生まれていた。

Moltbookは現在この脆弱性を修正したが、問題の本質はより深いところにある。シュリヒト氏が「vibe-coded（雰囲気でコーディング）」と表現したように、技術的な詳細を理解せずにAIにコード生成を委ねる開発手法が、予期せぬリスクを生み出している。

日本企業への示唆

日本の多くの企業が生成AIの導入を検討する中、この事例は重要な警告を発している。ソニーやNTTデータなどの技術企業は、AIによるコード生成の効率性と安全性のバランスを慎重に検討する必要がある。

特に、日本企業が重視する品質管理の観点から見ると、AIが生成したコードに対する人間による検証プロセスの重要性が浮かび上がる。従来の日本的な丁寧な開発手法が、実はAI時代においてより重要になっているかもしれない。

他の注目すべきセキュリティ動向

今週は他にも重要なセキュリティニュースが相次いだ。AppleのロックダウンモードがFBIによる端末アクセスを阻止した事例や、イーロン・マスクのStarlinkがロシア軍の衛星インターネットアクセスを無効化した件など、技術と地政学が交差する局面が増えている。

また、米サイバー司令部がイランの防空システムに対してサイバー攻撃を実行し、物理的な軍事作戦を支援したという報告も、サイバー戦争の新たな段階を示している。