AIコード生成ツールが新たなソフトウェアサプライチェーン脅威「スロップスクワッティング」を生み出す
Forget typosquatting; slopsquatting is the software supply chain threat created by AI coding tools
記事のポイント
📰ニュース
AIコード生成ツールが生成する架空のパッケージ名を悪用し、悪意のあるコードを開発ワークフローに注入する新たなサプライチェーン攻撃「スロップスクワッティング」が浮上しました。
🔍注目ポイント
LLMのハルシネーション(幻覚)によって生成される、もっともらしい架空のパッケージ名を攻撃者が登録し、悪意のあるコードを仕込むことで、既存の防御策を回避します。
🔮これからどうなる
開発者はAIアシスタントを利用する際に、意図せずマルウェアを自身のコードベースに取り込んでしまうリスクが高まり、ソフトウェアのセキュリティが低下する可能性があります。
スロップスクワッティングは、AIの「スロップ(不正確な出力)」と「タイポスクワッティング(誤字を利用した攻撃)」を組み合わせた造語です。
AIが生成する架空のパッケージ名は、既存のライブラリの単純な誤字ではないため、現在のレジストリの保護機能では検知が困難です。
この攻撃により、マルウェアが数ヶ月から数年にわたり検出されずにプロダクション環境に残り、広範囲な被害をもたらす可能性があります。
AIが生成する架空のパッケージ名は、既存のライブラリの単純な誤字ではないため、現在のレジストリの保護機能では検知が困難です。
この攻撃により、マルウェアが数ヶ月から数年にわたり検出されずにプロダクション環境に残り、広範囲な被害をもたらす可能性があります。
AIによるコード生成は便利ですが、そのハルシネーションが新たなセキュリティリスクを生むとは驚きですね。開発者はAIが提案するパッケージの信頼性をこれまで以上に慎重に確認する必要がありそうです。