Vercelは2026年5月28日(現地時間)、AI推論 (inference) の不正利用である「推論窃盗 (inference theft)」への対策を発表した。同社は、AIエンドポイントがインターネットに公開されている場合、高額なコストが発生するリスクがあるとし、自社のAPIでこの種の攻撃が確認されたことを明らかにした。Vercelは、すべてのAIリクエストに対して独自のBotID深層分析を適用し、攻撃を阻止した事例を公開している。
推論窃盗は、他者の有料AI推論を許可なく利用し、無料で消費または二次販売する行為を指す。HTTPリクエストが安価である一方、フロンティアモデルへのプロンプトは高価となるため、推論窃盗は攻撃者にとって高収益なビジネスになり得るとVercelは指摘する。同社は、AIエンドポイントがインターネットに公開されている場合、不正利用により数万ドル以上の費用が発生する可能性があると警告した。
従来のIPレート制限や認証ウォールは、AI推論のような高価なリソースの窃盗には不十分である。攻撃者は数千ものレジデンシャルプロキシIPを調達し、使い捨てアカウントを利用することで、これらの防御策をすり抜ける。洗練された攻撃者は、カスタムAIエンドポイントをOpenAIやAnthropic互換のアダプターでラップし、盗んだ推論を標準的なクライアントに流し込む手法を用いる。
2026年4月12日、VercelのドキュメントAIチャットエンドポイントは、AnthropicのClaude Haiku 4.5モデルへのトラフィックが通常の約10倍に急増した。ピーク時には毎分1,300リクエストに達し、1日あたり1万ドル以上の推論コストに相当する可能性がある攻撃だった。この攻撃はレジデンシャルプロキシを介しており、数百数千のボットリクエストに対し、従来のIPレート制限では有効な対策がとれなかった。
Vercelは、AIエンドポイントの保護には、セッション開始時ではなく、すべてのAIリクエストに対する検証が不可欠であるとしている。同社は、Kasadaが提供するクライアントサイド機械学習を活用した目に見えないCAPTCHAであるVercel BotIDの深層分析を自社のAIエンドポイントに導入。これにより、攻撃急増の最初の数分間で1万件以上のボットリクエストを検出しブロックし、24時間以内にリクエスト量を通常のレベルに戻した。
参考: Vercel Blog (アーカイブ) — 2026年5月29日 13:00 (JST)
原文ハイライト"At Vercel, we gate every AI request through BotID deep analysis"