ネットワークセキュリティの研究者らが警告を発しています。「Slopsquatting」と呼ばれる新しいソフトウェアサプライチェーン攻撃が水面上に浮上しつつあるのです。この攻撃は、生成AI(LLMなど)がコード作成時に起こりうる「パッケージ幻覚」――存在しないソフトウェアパッケージ名を推奨してしまうこと――の脆弱性を悪用します。攻撃者は、これらの架空の名称を先回りして登録し、悪意のあるコードを埋め込むことができます。
画像出典:AI生成、画像ライセンス提供元Midjourney
研究チームは、AIがでっち上げたパッケージ名は、非常に信憑性が高く、繰り返し出現する傾向があることを発見しました。幻覚パッケージ名の約38%は実在のパッケージ名と類似しており、単純なスペルミスはわずか13%です。そのため、開発者は検証せずにそのまま採用してしまう可能性が高くなります。
16個のコード生成モデルをテストした結果、平均20%のAI推奨パッケージが偽物であることが判明しました。特にオープンソースモデルでは幻覚率が高く、DeepSeekやWizardCoderでは21.7%に達しました。一方、GPT-4Turboなどの商用モデルは幻覚率が比較的低く、3.59%でした。CodeLlamaは最も悪く、推奨事項の3分の1以上が誤っていました。この脅威は、中央パッケージリポジトリに依存するPythonやJavaScriptなどのエコシステムで特に深刻です。
実験によると、AIの「パッケージ幻覚」は非常に再現性が高く、43%ものケースで同じ幻覚が10回連続して出現し、58%の幻覚が複数回のテストで繰り返し出現しました。これは、攻撃者が悪意のあるソフトウェアパッケージを正確に配置する上で有利に働きます。
研究者らは、この問題の主な原因は、現在のAIモデルに十分なセキュリティテストが欠けていることだと考えています。実際のSlopsquatting攻撃事例はまだ発見されていませんが、この技術は現実の脅威となるすべての要素を備えています。開発コミュニティに対し、警戒を強め、AIが生成したコードの提案には慎重な態度を取り、必ず検証を行うよう呼びかけています。新型ソフトウェアサプライチェーン攻撃の被害者にならないよう、注意が必要です。
