LLMが非存在のソフトウェアパッケージを「幻覚」:サプライチェーンの脆弱性
2025-04-29
研究者たちは、大規模言語モデル(LLM)における懸念すべき脆弱性、つまりコード生成中に存在しないソフトウェアパッケージを「幻覚」する現象を発見しました。これはランダムなものではなく、特定の非存在パッケージ名が繰り返し生成され、再現可能なパターンが作られます。攻撃者は、これらの幻覚された名前でマルウェアを公開し、開発者がアクセスするのを待つことで、サプライチェーン攻撃を実行できます。オープンソースのLLMは、商用モデルよりもこの「パッケージ幻覚」の割合が高く、PythonコードはJavaScriptコードよりも発生頻度が低くなっています。
AI