Vercel は2026年5月29日(現地時間)、AI推論窃盗からの保護策について発表した。同社は、単一のAIプロンプトが従来のHTTPリクエストに比べて約100万倍高価であるため、攻撃者にとって推論の不正利用は収益性の高いビジネスになりうると指摘。実際に同社のAPIでも攻撃が確認されており、インターネットに公開されたAIエンドポイントは数万ドル規模の費用増大リスクを抱えると警告した。ヴァーセルは、全てのAIリクエストに対して深層分析を行う「ヴァーセル・ボットアイディー (Vercel BotID)」を活用し、この問題に対処している。
推論窃盗とは、他者の有料AI推論を無許可で利用し、無料で消費するか、割引価格で転売する行為を指す。オペレーターがAI呼び出しごとに費用を支払う一方、攻撃者は費用を負担せず、盗んだ推論トークンを割引価格で転売する。これは単なるレート制限の濫用を超え、市場での盗品リソースの転売に該当する。
大規模言語モデル (LLM) のプロンプトに対し、呼び出し元が実質的な制御権を持つインターネットに面するあらゆるエンドポイントが標的となる。AI SDK PlaygroundのようなAIプレイグラウンドは、プロンプトやモデル、パラメーターに対する制御が最大であるため、最も危険な形状を持つ。一方、サポートボットやドキュメントアシスタントは、システムプロンプトがサーバー側で固定されていれば比較的リスクは低いものの、攻撃者はシステムプロンプトを回避して転売可能なコストでモデルを操作する方法を学習している。
IPレート制限や認証壁といった従来のウェブ防御策は、呼び出しあたりの経済性がはるかに低い攻撃に対抗するために構築されたものであり、推論窃盗の高い収益性には対応できない。攻撃者は、何千もの住宅用プロキシIPを調達し、使い捨てアカウントを大規模に登録することで、これらのゲートを突破することが可能である。レート制限は多数のIPアドレスに分散され、有効なアカウントは認証を通過してしまう。
巧妙な攻撃者は、被害者のカスタムAIエンドポイントをOpenAI やAnthropic 互換のアダプターでラッピングし、住宅用プロキシを介して呼び出しを拡散する。このアダプターは、盗んだ推論を標準的なコーディングエージェントやSDKに組み込むことを可能にする。例えば「Chipotlai Max」は、チポートレ (Chipotle) の顧客サポートチャットボットをOpenAI互換のエンドポイントに変えるプロキシを搭載したフォーク版のコーディングエージェントとして挙げられる。このプロジェクトは、ホームデポ (Home Depot)、ロウズ (Lowe’s)、ターゲット (Target)、スターバックス (Starbucks) への同様の推論窃盗アプローチの移植協力を公募している。
ヴァーセルは、自社のドキュメントAIチャットエンドポイントに対する実際の攻撃事例を報告している。2026年4月12日、アンスロピックのClaude Haiku 4.5モデルを使用した同エンドポイントへのトラフィックが通常の約10倍に急増した。ピーク時には毎分1,300リクエストに達し、これは推論コストが1日あたり1万ドルを超えるペースであった。この攻撃は住宅用プロキシを経由しており、2日間にわたる数十万件のボットリクエストに対して、標準のIP別レート制限は有効な対策とならなかった。
ヴァーセルは、AIエンドポイントを推論窃盗から保護するために、全てのAIリクエストに対する検証が必要であるとしている。同社は、ルートハンドラー内でAIリクエストが着信する前に、カサーダ (Kasada) が提供する深層分析機能を備えたヴァーセル・ボットアイディーを使用している。ボットアイディーは、目に見えるチャレンジなしにクライアントサイドの機械学習を用いて人間とボットを区別する「見えないCAPTCHA」であり、セッション開始時だけでなく全てのリクエストで実行できる。このボットアイディーの深層分析機能により、前述の攻撃における最初の数分間で1万件以上のボットリクエストが検知・ブロックされ、24時間以内にエンドポイントのリクエスト量は通常のレベルに戻った。ボットアイディーは、Next.jsのAPIルート内に数行のコードを追加することで実装可能である。
参考: Vercel Blog (アーカイブ) — 2026年5月29日 13:00 (JST)