AIボットが防御を突破、CodebergがDDoSのようなトラフィックで麻痺

ベルリンを拠点とするコミュニティ主導のオープンソースコードホスティングプラットフォームであるCodebergは、洗練されたAIボットの圧倒的な急増と格闘し、新たなデジタル戦場の最前線に立たされています。これらの自動化されたエージェントは、Codebergの以前堅牢であった防御システムAnubisをうまく回避し、重大なサービス中断を引き起こし、オンラインコミュニティに対する増大する脅威を浮き彫りにしています。

Anubisは「タールピット」として設計され、アクセスを許可する前に、着信接続に集中的な計算チャレンジの実行を要求するプルーフ・オブ・ワークプロキシとして機能します。このメカニズムは、悪意のあるAIクローラーを阻止し、継続的な手動ブラックリスト化の必要性を減らすために実装され、数ヶ月間Codebergのインフラストラクチャを効果的に保護してきました。しかし、憂慮すべき展開として、Codebergのボランティアスタッフは最近Mastodonを通じて、AIクローラーが「Anubisのチャレンジを解決する方法を学んだ」と報告し、防御を無効にしました。最近のAnubisの修正（コミットe09d0226a628f04b1d80fd83bee777894a45cd02）が、洗練された攻撃者が難易度ゼロを提供することでプルーフ・オブ・ワークをバイパスできる脆弱性に対処したことを考えると、このバイパスは特に懸念されます。このボットトラフィックの莫大な量は、事実上サービス拒否（DoS）攻撃を開始し、プラットフォーム全体で「極度の速度低下」を引き起こしています。Codebergはまた、一部の攻撃的なボットが、中国を拠点とする通信会社であるHuaweiが管理するネットワークから発信されているようだと指摘しています。

Codebergでの事件は決して孤立したものではなく、オープンソースプロジェクト、ひいては広範なインターネットが直面する、蔓延しエスカレートする課題を浮き彫りにしています。報告によると、「悪意のあるボット」は2024年の全ボットトラフィックの驚異的な71%を占め、2023年の63%から著しく増加しています。この急増の大部分は、明示的な許可なく大規模言語モデル（LLM）をトレーニングするためにデータを無差別にスクレイピングするAI駆動の「グレーボット」に起因しており、ホスティングプロバイダーやボランティア運営のコミュニティに途方もない、しばしば無償の負担を強いています。この容赦ないスクレイピングは、帯域幅とホスティング費用を膨らませるだけでなく、正規ユーザーへのサービスを劣化させ、一部のプラットフォームに国全体をブロックしたり、この洪水に対抗するために独自の「AI迷路」を実装したりすることを余儀なくさせています。

この無制限のAI活動の倫理的影響は、テックコミュニティ内でますます議論の的となっています。Software Freedom ConservancyのポリシーフェローであるBradley M. Kuhnは、これらの行動を公然と非難し、「私たちのコミュニティで最も親切で寛大な人々に対するDDoS攻撃」とレッテルを貼りました。彼は、LLMトレーニングのためにボットを展開する企業は、「ますます多くのトレーニングデータに対する飽くなき貪欲さ」について責任を負うべきだと主張しています。批評家は、多くのAI企業の現在のビジネスモデルは、このデータへの無料アクセスなしには持続不可能であると主張し、公正な報酬と確立されたインターネットプロトコルへの準拠を保証するためのより厳格な規制を提唱しています。進化するAI防御と、自律的なエクスプロイト生成や高度なフィッシングが可能になったますます洗練されたボットとの間の継続的な軍拡競争は、デジタルセキュリティとオープンソースエコシステムの持続可能性にとって重要な転換点を示しています。Codebergが「Iocaine」のような代替防御策を模索していることは、この進化する脅威の状況における新たな戦略の緊急の必要性を浮き彫りにしています。