#サプライチェーン攻撃

4件の記事

AIの言う通りに `npm install` したら、存在しないはずのパッケージ経由でマルウェアに感染しかけた話（AIパッケージハルシネーション）

AIが存在しないパッケージを自信満々に推薦し、攻撃者がそのハルシネーション名で先回りしてマルウェアを登録する「AIパッケージハルシネーション攻撃」の実例報告です。コピペしたコマンド一つで感染しかけた経験から、公式リポジトリでの「生存確認」の重要性を具体的に解説しており、AI駆動開発時代の現実的なセキュリティリスクを学べます。

#セキュリティ #AI駆動開発 #ハルシネーション

記事を読む →

🖱️

Qiita4月1日· 2分で読める中級🔥 注目

Claude CodeやCursorを安全に使うために——AIコーディングエージェントの実践セキュリティガイド【2026年Q1版】

Claude CodeやCursorなどのAIコーディングエージェントは強力な一方で、機密情報漏洩やサプライチェーン攻撃の実際のリスクを抱えています。2026年Q1だけでMCP関連CVEが30件以上、CVSS 9.6のRCE脆弱性は43万回以上ダウンロードされました。本記事は.claudeignoreの設定・MCP導入前チェックリスト・権限最小化など、開発者が今日から実装できる具体的な対策コード例を提供しています。

#Claude Code #Cursor #セキュリティ

記事を読む →

📰

HackerNews3月31日· 2分で読める中級🔥 注目

AI Gateway Was a Backdoor: Inside the LiteLLM Supply Chain Compromise

LiteLLMというAIプロキシパッケージがPyPIで侵害され、日350万ダウンロードの規模で悪意のあるコードが配布されました。TeamPCPという脅威グループが仕掛けた大規模なサプライチェーン攻撃で、認証情報収集・Kubernetes横展開・永続的なバックドアの3段階ペイロードにより、クラウド認証情報やSSH鍵が盗まれています。この事件はTrivy・Checkmarxなど複数セキュリティツール侵害に続く連鎖攻撃の一部で、AIゲートウェイがAPI鍵を集約するハイバリュー標的になる危険性を実証しています。

#セキュリティ #サプライチェーン攻撃 #LiteLLM

記事を読む →

🧠

Qiita3月25日· 2分で読める中級🔥 注目

LiteLLM サプライチェーン攻撃 — 95MダウンロードのOSSに仕込まれた「12行」の衝撃

月間95Mダウンロードの人気OSSライブラリ「LiteLLM」がサプライチェーン攻撃を受けました。わずか12行の難読化コードがBase64ペイロードをデコード・実行し、AWS・GCP・Azureの認証情報やKubernetesシークレットを盗み出す事件です。pip installという日常的な行為が攻撃ベクターになる現実を、技術詳細と対応策で解説しています。

#セキュリティ #サプライチェーン攻撃 #Python

記事を読む →