AIによるコード生成の幻覚:ソフトウェアサプライチェーンへの新たな脅威
2025-04-12
AIによるコード生成ツールの台頭は、ソフトウェア開発に革命を起こしていますが、同時にソフトウェアサプライチェーンに新たなリスクをもたらしています。これらのツールは、存在しないソフトウェアパッケージを「幻覚」することがあります。これは、攻撃者が悪用する脆弱性です。攻撃者は悪意のあるパッケージを作成し、PyPIやnpmなどのレジストリにアップロードします。AIが再びその名前を「幻覚」すると、依存関係のインストールによってマルウェアが実行されます。調査によると、商用AIの提案の約5.2%が存在しないパッケージであるのに対し、オープンソースモデルでは21.7%に達します。この「幻覚」は二峰性のパターンを示します。いくつかの架空の名前は一貫して再出現しますが、他のものは完全に消えます。このタイプのタイポスクワッティングは「slopsquatting」と呼ばれ、開発者はAI生成コードを注意深く検証する必要があります。Python Software Foundationは、これらのリスクの軽減に積極的に取り組んでいます。
開発