本論文は、オープンソースおよび商用フレームワークを通じて展開される大規模言語モデル(LLM)のセキュリティ脆弱性に関する大規模実証研究の結果を提供します。インターネット全体の測定により、15のフレームワークから320,102のパブリックLLMサービスを識別し、12の機能グループに分類された158のユニークなAPIエンドポイントを抽出しました。分析の結果、40%以上のエンドポイントが一般的なHTTPを使用し、210,000を超えるエンドポイントが有効なTLSメタデータがありませんでした。一部のフレームワークは、認証されていないAPIリクエストの35%以上に応答してモデルまたはシステム情報の漏洩を引き起こすなど、APIインプレッションが非常に矛盾していました。不安全なプロトコルの使用、不適切なTLS設定、および重要な操作への認証されていないアクセスが広く観察されています。このようなセキュリティリスクは、モデルの漏洩、システムの破損、不正アクセスなどの重大な結果を招く可能性があります。
