0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

生成AI時代の新インフラ「AI Gateway」は外部からどう見えるのか、Criminal IPで調べてみた

0
Posted at

はじめに

ChatGPT、Claude、Geminiといった生成AIサービスが業務に組み込まれるようになって、「複数のAI APIをまとめて管理したい」というニーズが生まれました。それに応える形で登場したのがAI Gatewayです。
名前は聞いたことがあっても、「実際どういう仕組みなのか」「インターネット上からどのように観測できるのか」はあまり整理したことがなかったので、Criminal IPのIT資産検索を使って実際に調べてみました。
AI GatewayはAPIキーや利用ログが集中する構造上、外部からどのように見えているかを把握しておくことがセキュリティ観点でも重要になってきています。調べてみると「なるほど」と思う発見がいくつかあったのでまとめます。

AI Gatewayとは

AI Gatewayは、アプリケーションと複数のAIモデルプロバイダーの間に置かれる中間レイヤーです。
複数のAI APIを直接呼び出す構成だと、APIキー管理、リクエスト形式の違い、エラーハンドリングをサービスごとに個別対応する必要があります。AI Gatewayを使うと、これらを一元管理できます。

AI Gatewayの構成図

主な機能は以下のとおりです。

  • 複数のAI APIとモデルの統合管理
  • APIキーとユーザー認証の管理
  • リクエスト数・トークン使用量の制限
  • モデル別のコスト・使用量の追跡
  • リクエストルーティングとフェイルオーバー
  • リクエスト・レスポンスのロギング

従来のAPI Gatewayが一般的なWebトラフィックを管理するのに対し、AI Gatewayはモデル選択、トークン使用量、プロンプト処理、ストリーミングレスポンスなど、LLMに特化した機能を持ちます。

なぜ今、AI Gatewayが注目されているのか

生成AIの業務利用が広がる中で、「誰がどのモデルをどれだけ使っているか」を把握できていない組織が増えています。従業員が個人契約のAIサービスを業務に使ういわゆるシャドーAIの問題も出てきています。
AI Gatewayはこうした状況への一つの答えで、AI利用を組織として一元的に把握・管理するためのインフラとして注目されています。

##Criminal IPで実際に探してみた

1. title: AI Gateway 

title: AI Gateway の検索結果

2026年7月時点で、9,671件のインターネット公開資産が確認されました。国別では米国が最多で、日本からも883件が確認できました。
個別資産の詳細を見ていくと、興味深いことに気づきました。複数の異なるサービス名を持つサイトが、まったく同じUIで運用されているケースが複数確認できました。

たとえば今回確認できただけでも、複数のサービスが存在します。以下はその一部です。

  • SZAI Relay
  • Sub2API("Subscription to API Conversion Platform")
  • API Gate("AI API Gateway")
  • codetoken("AI API keys for every coding workflow")

SZAI Relay、Sub2API、API Gate、codetokenの画面比較

ブランド名と説明文は異なりますが、レイアウト、ターミナル画面の表示内容(curl -X POST /v1/messages200 OK {"content": "Hello!"})、機能説明の文言("One-Click Access" / "Always Reliable" / "Pay What You Use")、対応モデルの一覧(Claude / GPT / Gemini / Antigravity)まですべて同一です。
同一のコードベースやテンプレートを使って、ブランド名だけ変えたサービスが量産されている可能性があります。

Criminal IPでの個別資産詳細、バナー情報

また、Criminal IPで個別資産の詳細を確認すると、nginx/1.28.3が動作し、HTTPヘッダーにはX-Frame-Options: DENYX-Content-Type-Options: nosniffといったセキュリティヘッダーが設定されているものもある一方で、HTMLソースを見るとlang="zh-CN"(中国語)で記述されており、中国語圏で開発・運営されているサービスである可能性が高いです。

確認できたUIの一部例

確認できたUIの多くは中国語中心でできており、AI Gatewayの需要に乗っかり、このようなエコシステムが形成されているのもわかります。

2. title: Claude API

title: Claude API の検索結果

2026年7月時点で、178件が確認されました。Claude APIを直接提供するサービスだけでなく、開発環境、テストサーバー、APIドキュメントページ、OSSベースの管理インターフェースなどが含まれる可能性があります。

一部資産の詳細例

ある資産の詳細を確認すると、443番ポートでHTTPS Webサービスが稼働しており、HTML Titleには「Galactec AI – OpenAI/Claude/DeepSeek API」と表示されていました。OpenAI、Claude、DeepSeekなど複数の生成AI APIを中継するGateway型サービスの可能性を示しています。

3. title: LiteLLM

title: LiteLLM の検索結果

LiteLLMはGitHubで広く使われているOSSのAI Gatewayプロキシで、上述の転売・中継系サービスとは性質が異なります。エンジニアが自前で立ち上げた環境や、企業内で構築したAI管理基盤として使われているケースが多いと考えられます。

title: LiteLLM の個別資産詳細

ただし、個別資産の詳細を確認すると、気になるケースも見つかりました。6006番ポートでLiteLLM API(Swagger UI)が稼働している一方、同一サーバーでは以下のような構成が確認されました。

  • 5904番ポート: Apache 2.4.54が動作しており、レスポンスには/camera/index.htmlへのリダイレクトが含まれていました
  • 3306番ポート: MySQL 9.4.0が外部公開されている
  • 脆弱性: 合計50件が検出されており、そのうちDocker(v18.06.1)のCVE-2026-34040(CVSS High)、MySQL(v9.4.0)のCVE-2025-53069・CVE-2025-53067・CVE-2025-53054(いずれもMedium)などが含まれます

これはLiteLLM自体の脆弱性ではありません。ただし、LiteLLMが動いているのと同じサーバーで、データベース(MySQL)が外部公開されており、Dockerや複数のサービスに既知の脆弱性が50件も存在している状態です。APIキーや通信ログが集中するAI Gatewayという性質上、「同居しているサービスの状態」がそのままリスクに直結します。

検索結果の読み方

ここで注意したいのは、検索結果に含まれているからといって、その資産を「不審な中継サーバー」や「セキュリティ上の脅威」と断定してはいけないという点です。
正常に運用されている企業向けAI Gateway、開発・テスト環境、APIドキュメントページが検索結果に含まれることは普通にあります。
検索結果は「候補となる資産を発見するための起点」であり、実際のリスクを判断するには以下を確認する必要があります。

確認項目 見るポイント
認証・アクセス制御 管理ページ・APIエンドポイントへの認証適用状況
オープンポート SSH・Redis・DBなど管理系サービスの公開状況
使用製品・バージョン HTTPヘッダー・バナーから製品・CVEを確認
SSL証明書 接続ドメイン・発行者・関連インフラの確認
IPリスク インバウンド・アウトバウンドスコア・行動タグ

AI Gatewayを使う・運用する立場として知っておきたいこと

今回の調査を通じて感じたのは、AI Gatewayは「便利なインフラ」である一方で、組織としての把握が追いつきにくい資産になりつつあるという点です。
従来のWebサーバーやAPIサーバーと同様に、誰が・どこで・どんなAI Gatewayを立ち上げているかを把握しておくことは、AIを組織で活用していくうえで重要になっていきます。

特に以下のような状況は見落としやすいので、意識しておくと良いと思います。

  • プロジェクト終了後に一時的に立ち上げたAI Gatewayが残存している
  • 開発・テスト環境のAI Gatewayが本番と同じAPIキーを持っている
  • 外部の非公式Relayサービスを経由してAIを使っている(APIキーが第三者のサーバーを通過する)
  • 組織で把握していない従業員個人のAI利用(シャドーAI)

「どのAI Gatewayが、どこで、誰によって運用されているか」を定期的に棚卸しする習慣が、AI利用の健全な管理につながっていくと感じます。

まとめ

生成AIの導入が進む中で、AI GatewayはWebサーバーやAPIサーバーと並ぶ、新しいインターネット公開資産の一種になりつつあります。
今回Criminal IPで調べてみて感じたのは、この種のサービスがすでに相当な規模で展開されており、しかも同一コードベースによる量産や中継サービスの拡散、OSSの野良インスタンスなど、想像以上に多様な形で存在しているということでした。

気軽に使えるものだからこそ、そのサービスが安全なのかは必ず見極める必要があります。また、AI Gatewayを組織で使っていくうえでは、「どこにあるか・誰が管理しているか」を把握する習慣を早めに作っておくことが、大事になっていくと感じています。

参考

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?