詳細を読む
Vercelは2026年5月29日、AIエンドポイントに対する「推論窃取(inference theft)」の手口と防御策を自社ブログで詳説しました。推論窃取とは、他社が契約するLLMの推論を無断で利用し、トークンを割引価格で転売する攻撃です。1回のHTTPリクエストは約0.0002セントで済む一方、フロンティアモデルへの1プロンプトは約2ドルかかるため、攻撃者にとって極めて利幅の大きいビジネスになると同社は指摘しています。
攻撃の典型的な手口は、ターゲットのAIエンドポイントをOpenAIやAnthropic互換のアダプタでラップし、住宅用プロキシを経由して大量のリクエストを送るというものです。実例として、飲食チェーンのカスタマーサポートボットをOpenAI互換に変換するオープンソースプロジェクト「Chipotlai Max」が紹介されました。従来のIPレートリミットやセッション単位の認証は、プロキシの分散やアカウント大量取得で容易に突破されるため、防御として機能しません。
Vercel自身も2026年4月12日に攻撃を受けています。ドキュメント用AIチャットに対し、ピーク時には毎分1,300リクエストが殺到し、推論コストの日額換算は1万ドル超に達する勢いでした。住宅用プロキシ経由のため、通常のIPベースのレート制限では遮断できなかったといいます。
同社が提唱する防御策は、すべてのAIリクエストに対して毎回検証を実行するという原則です。具体的には、同社の「BotID」をルートハンドラ内で呼び出し、クライアント側の機械学習によるボット判定を不可視で実行します。セッション開始時ではなくリクエストごとに検証するため、攻撃者はバイパスコストを呼び出し間で分散できません。この仕組みにより、スパイク発生から数分で1万件超のボットリクエストを遮断し、24時間以内にトラフィックは正常化しました。
Vercelは対策の第一歩として、公開されているAIエンドポイントの棚卸しと、プロンプト制御の自由度が高いものほど優先的にゲートを設置することを推奨しています。推論コストがリクエストコストより桁違いに高い状況が続く限り、転売の経済的動機は消えないため、アクセス制御ではなく推論そのものの保護が不可欠だと結論づけています。