- SourceHut、KDE GitLab、GNOME GitLab、LWN、Fedora、Inkscape、Diaspora、Read the Docs など複数の FOSSインフラ が、AIクローラーとAI生成のセキュリティ報告によって障害・遮断・運用負荷に見舞われている
- クローラーは
robots.txt を無視したり、git blame・Gitログ・コミットページのような 高コストなエンドポイント を繰り返しリクエストしたりし、数万件のIPと偽装したUser-Agentで一般ユーザーのトラフィックに紛れ込もうとする
- GNOME は Anubisのプルーフ・オブ・ワーク を導入したが、約2時間30分で81,000件のリクエストのうち通過したのは3%だけで、トラフィックの大半がボットである可能性を示した
- Edgeバージョンの遮断、未ログインユーザーの制限、サブネット・国単位の遮断、IPブロックリスト、AIクローラー向けの
robots.txt・.htaccess といった対応が続いており、実際のユーザーも遅延や接続遮断を経験している
- 公開協業に依存するオープンソースプロジェクトは私設サービスより露出面が広く、AIスクレイピング とLLMの幻覚によるセキュリティ報告がメンテナーの時間と運用余力を直接むしばんでいる
複数のFOSSインフラで繰り返された障害
- SourceHut の founder 兼 CEO である Drew DeVault は、LLM企業が
robots.txt を尊重せずにデータをクロールし、SourceHut に深刻な障害を引き起こしていると批判した
- KDE GitLab インフラは Alibaba 範囲のIPから来たAIクローラーで過負荷となり、KDE開発者が一時的に GitLab にアクセスできなくなった
- GNOME GitLab では、障害を引き起こすAIスクレイパーを防ぐための Anubis プルーフ・オブ・ワーク・チャレンジャーのデフォルト読み込み画面が表示されるようになった
- 事例が積み重なるにつれ、AIスクレイパーの攻撃性は強まり、公開協業を前提とするFOSSコミュニティの運用負荷も増している
クローラーの挙動と遮断の難しさ
- Drew DeVault によると、LLMクローラーは
robots.txt の要求を守らず、高コストなページまで含めてリポジトリ全体をなめるように巡回する
- 対象には
git blame、Gitログの全ページ、リポジトリ内のすべてのコミットが含まれる
- クローラーは数万件のIPからランダムなUser-Agentを使い、各IPはHTTPリクエストを1件以下しか送らず、ユーザートラフィックに紛れ込もうとする
- この方式のため緩和策を作るのは難しく、SourceHut では優先度の高い作業が数週間から数か月遅延している
- ボットと人間の区別が難しいため、実際のユーザーも断続的に影響を受け、SourceHut の障害につながった
- Drew は、すべてのAI企業が
robots.txt やUser-Agentの申告を同じように扱っているかどうかまでは区別していない
KDEとGNOMEの対応
- KDE sysadmin チームの Ben によると、KDE GitLab にDDoSを引き起こしたIPはすべて MS Edge を名乗っており、中国のAI企業が原因だった
- Ben は OpenAI や Anthropic のような西側のLLM運営企業は、少なくとも正しいUser-Agentを設定していると見ている
- 一時的な解決策は、ボットが名乗っていたEdgeバージョンを遮断する方法だった
- ボットがUser-Agentを変えて紛れ込もうとする傾向があるため、最終的な解決策として使うのは難しい
- GNOME は昨年11月から問題を抱えており、未ログインユーザーがマージリクエストやコミットを見られないよう レート制限 をかけた
- この措置は実際の未ログインユーザーにも問題を引き起こした
- その後 GNOME は Anubis に切り替えた
- Anubis はブラウザに計算課題を提示し、ブラウザが時間をかけて解いてサーバーに送信するとアクセスを許可する
- 開発者はこれを「核対応に近い措置」と表現しており、AIスクレイパーボットが
robots.txt のような標準に従わないために強いられた選択だと見ている
- Anubis もユーザーへの影響を残した
- 同じ場所から多くの人がリンクを開くと、より高難度の課題が提示されることがある
- あるユーザーは1分の遅延を、別のユーザーはスマートフォンで約2分の待機を経験した
- GitLab のリンクがチャットルームに貼られたり、Triple Buffering GNOME のマージリクエストが Hacker News に投稿されて注目を集めたときに、このような状況が発生した
- GNOME sysadmin の Bart Piotrowski が共有した数値によると、約2時間30分のあいだに合計81,000件のリクエストのうち Anubisのプルーフ・オブ・ワーク を通過したのは3%だけだった
- Anubis通過率: {p:3}
- これはトラフィックの97%がボットである可能性を示唆している
LWN、Fedora、Inkscapeの遮断事例
- LWN を運営する Jonathan Corbet は、AIスクレイパーボットによるDDoSのため、サイトが「時々遅くなる可能性がある」とユーザーに通知した
- 実際の人間の読者に提供されるトラフィックは全体のごく一部にすぎないという
- ボットは一時、数百件のIPから同時にアクセスし、自分をボットとして識別せず、
robots.txt も読まなかったという
- Fedora プロジェクトの sysadmin Kevin Fenzi もAIスクレイパー問題に直面した
- 1か月前には
pagure.io を生かしておくために対応しなければならなかった
- その後状況は悪化し、複数のサブネットを遮断し、実際のユーザーにも影響が出た
- 切迫した状況でブラジル全体を遮断し、この遮断は今も維持されていると理解されている
- Neal Gompa は、国全体の遮断にも限界があり、Fedora インフラがAIスクレイパーのため「数週間にわたって定期的にダウンしていた」と指摘した
- Inkscape も先週同じ問題を経験した
- Martin Owens は、昨年の一般的な中国発DDoSではなく、複数企業がスパイダー設定を無視し、ブラウザ情報を偽装している状況だと見ている
- 彼は Prodigiusブロックリスト を作成し、AIを手がける大企業で働いているなら Inkscape のWebサイトにもうアクセスできないかもしれないと述べた
IPブロックリストと共同対応の試み
- Frama software の BigGrizzly も悪質なLLMクローラーに flooded され、偽装User-Agentを使う 460,000件のIP のブロックリストを作成した
ai.robots.txt プロジェクトは、AI企業に関連するWebクローラーの公開リストを作ろうとする、より包括的な試みである
- Robots Exclusion Protocol を実装した
robots.txt を提供する
- リストにあるAIクローラーのリクエストにエラーページを返す
.htaccess ファイルも提供する
DiasporaとRead the Docsのトラフィック数値
- Diaspora インフラに関する Dennis Schubert の分析では、Webトラフィック全体のかなりの部分がAI企業のボットだった
- OpenAI のUser-AgentボットがWebトラフィック全体の 4分の1 を占めていた
- Amazon は15%、Anthropic は4.3%を占めていた
- 全リクエストの約70%がAI企業から来ていると集計された
- Schubert は、これらのボットは一度クロールして去るのではなく、6時間ごとに再び来て、
robots.txt を気にしないと述べた
- レート制限をかけると別のIPに切り替える
- User-Agent文字列で遮断すると、ボットでないUser-Agent文字列に変えるという
- これをインターネット全体に対するDDoSと表現している
- Read the Docs は「AI crawlers need to be more respectful」という記事で、すべてのAIクローラーを遮断したところトラフィックが 75%減少 したと明らかにした
- トラフィック減少率: {p:75}
- トラフィックは1日800GBから200GBに減少した
- これにより月あたり約1,500ドルを節約した
- クローラーが数日で数十TBのデータをダウンロードする事例もあった
- 複数のIPを使うため完全に遮断するのは難しい
- Schubert によると、Google や Bing のような「正常な」クローラーは、合わせても1%未満にすぎない
AI生成セキュリティ報告が生んだメンテナー負荷
- 問題はスクレイパーにとどまらず、AI生成バグ報告 にも広がっている
- Curl プロジェクトの Daniel Stenberg は「The I in LLM stands for Intelligence」という記事で、AIが生成したバグ報告の問題を扱った
- Curl はバグバウンティプロジェクトを運営している
- 最近、多くのバグ報告がAIで生成されており、見た目にはもっともらしいため、開発者が確認に時間を費やしている
- しかし報告には、AIに期待される典型的な幻覚が含まれている
- CPython、pip、urllib3、Requests などのセキュリティ報告トリアージチームにいる Seth Larson も同様の問題を経験している
- オープンソースプロジェクトに対して、きわめて低品質でスパム的なLLM幻覚セキュリティ報告が増えている
- こうした報告は一見すると正当なものに見えることがあり、反証するのに時間がかかる
- セキュリティ報告への対応はコストが高く、もっともらしいが作り物のバグ報告に対処することは、メンテナーに大きな追加負担を与える
- Larson は、脆弱性検出にAIやLLMシステムを使わないでほしいと求めている
- 現在のシステムはコードを理解できず、セキュリティ脆弱性の検出にはコード理解と意図・一般的な使用方法・文脈といった人間レベルの概念理解が必要だという
FOSSにより大きくのしかかる構造的負担
- FOSSプロジェクトは商用製品より資源が少ないことが多い
- コミュニティ主導プロジェクトはインフラのより多くの部分が公開されており、クローラーに露出している
- 公開イシュー・セキュリティ報告・協業インフラが必要なため、AIスクレイパー とAI生成イシューが同時に負担として作用する
- 結局、障害対応、遮断ポリシー、ユーザー被害の緩和、虚偽のセキュリティ報告の精査が、オープンソースメンテナーの時間を消費している
1件のコメント
Hacker News のコメント
ここにも事例がある: https://about.readthedocs.com/blog/2024/07/ai-crawlers-abuse... 元記事でも引用されている記事だが、大規模なインターネットインフラを運営している知人たちは皆、似たような目に遭っている
この記事は、そうした事例を一か所にうまくまとめている。書いたときにも言ったが、彼らは単に信頼資産を完全に燃やし尽くしているところだ
この分野の主要スタートアップの1社は、私たちと直接協力し、費用を返金し、クローラーのバグも修正した。一方で Facebook はメールに返信せず、User Agent のリンクは 404 だった。同社のエンジニアが記事を見て正しいメールアドレスを教えてくれたが、そこに3回送っても返信はなかった
望むと望まざるとにかかわらずAIはあらゆる製品に入り、望むと望まざるとにかかわらずあらゆるデータを吸い上げる、という態度だ
専用サーバー中心で月に数百TBのトラフィックを処理するインフラを運用しているが、トラフィック費用は1TBあたりおおむね0.50〜3ドル程度だ。地域によって違いはあるが、AWSの送信トラフィック料金は本当に正気ではない
自分のプロジェクトがプレビュー画像にこんなふうに出ているのを見ると、本当に現実感がない。すごいね! 試してみたいならここにある: https://github.com/TecharoHQ/anubis
今のところ実際に動いているように見える。私のブログで本番環境ではどう壊れるかを見るために、xeiaso.net にデプロイしてある
ローディングアニメーションのウィジェットのようなものはあるが、数週間前に Gnome のイシュートラッカーで初めて見たときは、Proof of Work に20秒ほどかかり、何が起きているのか分からなかった。最初はブロックされたか、CAPTCHAが読み込まれていないのだと思った
今は何なのか分かっているが、「ボットかどうか確認中」ページだけを単体で見ると、100%明確とは言えないように見える
サイトを無料で開放し続けたい側が、経済的負担をクローラーに移す良い方法だ。データが欲しいなら、持っていく側がお金を使えばいい
検索エンジンから外れる可能性があるという欠点はあるが、サービスをグローバルまたはP2Pのインデクサーに登録できない理由もない
そして https://news.ycombinator.com/item?id=43422781 に関連して、好きな草コインのごく少額を計算する方式を付ければ、暗号資産の実際に有用な使い道がもう一つ生まれるかもしれない
この速度なら、自由・オープンソースインフラだけの問題ではありません。もちろんそれが炭鉱のカナリアなので特に共感しますが、結局は匿名でのインターネットアクセス全体の問題です
サイトを認証壁の向こう側に置くことはできますが、新しいボットは以前と違ってCAPTCHAを解き、実際のユーザーをまねます。特に住宅用IPや偽のUser Agentを使ったり、記事にあるようにPlaywrightのようなものに接続された実際のUser Agentまで使ったりすればなおさらです
結局、サイトがクレジットカード、Worldcoin、あるいはそれと同じくらい憂うつな代替手段を求め始めること以外に何が残るのでしょうか
彼らはFacebook、Instagram、Xなどをデジタル名刺のように使っています。普段FacebookやInstagramを使わず、Xもやめていてアカウントもないのですが、そうしたリンクをたどると一部の情報だけが表示された後、アカウントを作るか出ていくよう促すダイアログが出たり、原因不明のエラーが出たりします
私的なコミュニティに参加するのは構いませんが、公開されると思って投稿された情報にこうした壁ができるのは本当にうんざりします
コスト増でサイトが永遠に落ちる? すばらしい、人々はあらゆる文書にAIを使わざるを得なくなるからです。CAPTCHAから後退してクレジットカードや電話番号を入れさせる? すばらしい、インターネットの匿名性がその分減るからです
データ漏えいで詐欺が増える? すばらしい、それを防ぐにはAIが必要になるでしょうから。悪意ある行為者にとっては、ほとんど全員が勝つ盤面です
インターネットのバルカン化は昔から議論されてきました。そうした脅威や、すでに制御不能なゴミ捨て場であるという事実が、状況をさらに悪化させることに多少の慎重さを生むようにも思えますが、人々が耐えられる嫌がらせや摩擦の限界を押し広げることなど、結局は重要ではありません。実質的な選択肢がないからです
新規登録率も目立って変わっていません。ゲームでもWikiでも同じで、スクレイピングトラフィックの大半はWikiに集中しています。スクレイピングが減らなければ、Wikiはほぼ完全な認証壁の内側に置く必要が出てくる可能性が高いです
訪問者が多すぎることがWebサイトの存立危機になるインターネットだとすれば、私たちが暮らすインターネットは長く生き残れる構造ではないということです
以前、検索エンジンがこのようなことを引き起こしたとき、業界は法規制が作られるのを避けるために合意し、robots.txt仕様を作りました。そのため法的枠組みは作られませんでした
今はその合意に参加していない新世代の飢えたインデクサーたちがいて、競争圧力のために可能な限り多くのデータをかき集めようとし、robots.txtをただ無視しています
いずれにせよ立法は行われるべきでしたし、robots.txtを無視する側はブロック、罰金、レート制限などを受けるべきでした
全面禁止以外にも選択肢はあります
私も最近攻撃を受けました [0]。複数のオープンソースパッケージのコードを置いている小さなForgejoインスタンスなので公開されている必要があるのですが、完全に壊され、生成されたZIPアーカイブでディスクがいっぱいになりました
同じことを経験したのは私だけではありません。私の場合、Alibaba CloudのIPレンジをブロックしたところ、攻撃はいったん収まりました
Forgejoインスタンスを運用しているなら、DISABLE_DOWNLOAD_SOURCE_ARCHIVESをtrueに設定することを強く勧めます。クローラーはなおCPUに食らいつき続けるでしょうが、少なくともディスクがZIPファイルでいっぱいになることはありません
[0] https://blog.nytsoi.net/2025/03/01/obliterated-by-ai
ZIPファイルを生成し、丸ごとディスクに書き出してから、一度にクライアントへ送る設計は完全にひどく、使いものにならない方式です。適切な設計なら、メモリを最小限しか使わず、ディスクをまったく使わずに、段階的に生成してクライアントへ転送するべきです
こんなばかげた設計があるということは、開発者たちが効率性をほとんど無視していたという兆候であり、同様の致命的な問題が大量にある可能性が高いです
例えばForgejoのソースコードをざっと見ると、すべてのGit操作に専用ライブラリを使う代わりに「git」プロセスを起動しているように見えます。確認はしていませんが、そうした操作がその処理を実行する最も効率的な方法から非常にかけ離れていても驚きません
これほど極端に粗末なソフトウェアを動かせば、CPUが100%に張り付き、サーバーが使えなくなるのも驚きではありません
ここでの大きな結論は、Googleと広告全般のウェブ支配力が失われつつあるということ
ボットを防ぐ唯一の方法はCAPTCHAだが、そうすると検索インデクサーもサイトをインデックスできなくなる。結局、検索エンジンがサイトをインデックスできず、もはや価値を提供できなくなる
現在LLMに入っている知識が枯渇するまでには少しタイムラグがあるだろうが、もはや誰も自動化された方法でウェブをスクレイピングできなくなるだろう
すべて燃え尽きそうだ
AIの個体数が減ると人間のコンテンツが増え、それがAIにとってより多くの餌となり、AIが再び増える。すると人間の表現が埋もれ、人間はより静かになる。AIの餌が減ってAIが減少すると、ノイズが減り、人間が再び大きくなる。この循環がうんざりするほど繰り返される
私たちは厄介な二者択一に挟まれている。固定化された既存の強者を望むのか、それとも安価でオープンなホスティングを望むのか?
広告ベースのサイトのかなりの数は暗くなるだろう。訪問者はボットだけになるはずだから
簡単なツールがあれば、大半はGoogle、Bing、そして多くてもあと一、二か所だけを許可するだろう
ちょっとした妨害工作に興味がある人がいるなら、私のマイクロブログの本物の情報をある程度「溺れさせる」ことには成功したようだ
LLaMaで実際の投稿1本につき数十本の矛盾する投稿を作り、人間がクリックしないよう見えない形でリンクした。いわばBannon流にゴミで区域を氾濫させるということだ
人間が実際には見られないパスを明示的に参照し、そのパスを叩くトラフィックはボットと見なす。ボットたちは我慢できない
ボットがスクレイピングしたい正確なエンドポイントを知っている、よく構造化されたサイトには効かないだろうが、より探索的なスパイダースレッドは遅らせられるかもしれない
[0] https://libraryofbabel.info/
VideoLANだ
私たちも同じように、フォーラムとGitlabがAI企業のボットに叩かれている
ほとんどはrobots.txtを守らない
狂った話だ。最終的には検索エンジンにインデックスされないウェブのバージョンへ向かうことになるのか気になる。90年代のブラウジングのように、ウェブサイト同士がリンクし合わないと知られない方式に近いウェブだ
LLMスクレイピングへの解決策が、アクセスを許可する前にブラウザに作業証明をさせることだという点が気に入っている。新しいサイトがこういうものを導入し始めるのか気になる
そうなれば検索エンジンにはインデックスされないが、知的財産権を守る助けにはなるだろう
今まで考えたことはなかったが、LLM製品とクラウドコンピューティングサービスの両方を提供する企業が二重に収益を得るというのは狂っている
売れるLLM製品を手に入れ、同時に増加した負荷の送信トラフィック費用とコンピューティング費用も受け取る。こう考えると、非効率なLLMスクレイピングを気にするインセンティブがどこにあるのか? めちゃくちゃなままにしておくほど、別の帝国であるクラウドストレージの送信費用で稼げる構造だ