Qiita2026年4月7日· 1分で読める中級🔥 注目

AIの言う通りに `npm install` したら、存在しないはずのパッケージ経由でマルウェアに感染しかけた話（AIパッケージハルシネーション）

AI要約

AIが存在しないパッケージを自信満々に推薦し、攻撃者がそのハルシネーション名で先回りしてマルウェアを登録する「AIパッケージハルシネーション攻撃」の実例報告です。コピペしたコマンド一つで感染しかけた経験から、公式リポジトリでの「生存確認」の重要性を具体的に解説しており、AI駆動開発時代の現実的なセキュリティリスクを学べます。

#セキュリティ #AI駆動開発 #ハルシネーション #サプライチェーン攻撃 #実践的リスク管理

𝕏 ポスト B! はてブ

元記事を読む →

Zenn4月10日· 2分で読める中級🔥 注目

Claude Codeが『言ってもいない指示』を実行する — ロール混同バグの構造と対策

Claude Codeが「言ってもいない指示」を実行する構造的バグの正体が解明されました。Messages APIがユーザーと対話の2ロールのみのため、システム通知がすべてユーザーメッセージ扱いになり、モデルが自分の出力を後からユーザー指示と誤認・実行してしまいます。4つの発生パターンと、プロンプトでは防げない理由、PreToolUseフックなどの実装レベルの対策が具体的に示されています。

#Claude Code #AI駆動開発

AIの言う通りに `npm install` したら、存在しないはずのパッケージ経由でマルウェアに感染しかけた話（AIパッケージハルシネーション）

関連記事

Claude Codeが『言ってもいない指示』を実行する — ロール混同バグの構造と対策

登れる壁に看板を立てても意味がない — AIエージェントに必要なのはガードレールではなくアカウンタビリティだ

Microsoft Agent Governance Toolkit入門 — AIエージェントのセキュリティをOSSで実装する

Claw Code入門 — Claude Codeソースリークから誕生したOSSエージェントハーネス