AI開発の新興企業「Context AI」などは、自社のシステムに関連して情報漏えいなどのセキュリティ問題が発生したと発表しました。同社のセキュリティ認証は、ずさんな監査体制が指摘されている新興企業「Delve(デルブ)」が担当しており、顧客企業の間で契約を解除する動きが広がっているということです。
アメリカのIT専門メディアの報道によりますと、Context AIは先週、ウェブサイトのホスティングサービス大手「Vercel」のデータ流出につながるセキュリティ問題を引き起こしたと発表しました。
Vercelの発表によりますと、同社の従業員がContext AIのアプリをダウンロードし、企業アカウントに接続したところ、ハッカーがそのアクセス権を悪用して内部システムに侵入したということです。
Context AIの担当者は、以前Delveの顧客であったことを認めたうえで、「3月の報道を受けて契約を解除した」と説明しています。現在は別の監査法人に依頼し、セキュリティの再認証を進める方針だとしています。
Delveをめぐっては先月、匿名の内部告発者によって、顧客データの偽造やずさんな監査体制が指摘されていました。Delve側はこれらの疑惑を否定していますが、その後、別の顧客企業である「LiteLLM」でもハッキング被害が発生し、同社はDelveとの契約を解除しています。
また、Delveはオープンソースのツールを自社の開発物として不適切に利用した疑いも持たれており、支援を受けていたスタートアップ育成機関からも関係を打ち切られたということです。
一方、Delveの顧客であった開発プラットフォームの「Lovable」も、内部告発の直後に契約を解除したとしています。しかし、Lovableは今週、設定ミスにより顧客のチャットデータが外部から閲覧できる状態になっていたと発表しました。
さらに、内部告発者は新たな情報として、Delveが顧客への返金を拒否する一方で、4月中旬に20人以上の従業員をハワイでの社外研修に参加させたと主張しています。
メディア側はDelveに事実関係の確認を求めていますが、回答はなく、広報宛てのメールも届かない状態になっているということです。