TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

トップ > 攻撃手法: スロープスクワッティング / Slopsquatting > AI-hallucinated code dependencies become new supply chain risk

AI-hallucinated code dependencies become new supply chain risk

攻撃手法: スロープスクワッティング / Slopsquatting 攻撃手法: サプライチェーン攻撃

【訳】

AIが生成したコードの依存関係が新たなサプライチェーンリスクとなる


【図表】


LLMごとの幻覚発生率 (arxiv.org)

サプライチェーンリスクの概要 (arxiv.org)
出典: https://www.bleepingcomputer.com/news/security/ai-hallucinated-code-dependencies-become-new-supply-chain-risk/


【要約】

AIツールによる生成コードで、「スロープスクワッティング」と呼ばれる新たなサプライチェーン攻撃が浮上しています。これは、AIが生成する「幻覚パッケージ名」を悪用し、開発者を悪意のあるパッケージに誘導する手法です。生成されたパッケージ名の約38%は実在のパッケージに似ており、これを攻撃者が利用する可能性があります。対策として、パッケージ名の手動検証や依存関係のスキャナー利用が推奨されています。


【ニュース】

◆AI-hallucinated code dependencies become new supply chain risk (BleepingComputer, 2025/04/12 10:19)
[AIが生成したコードの依存関係が新たなサプライチェーンリスクとなる]
https://www.bleepingcomputer.com/news/security/ai-hallucinated-code-dependencies-become-new-supply-chain-risk/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023