AI技術を活用したコード生成ツールが、ソフトウェアの開発方法に変革をもたらしていますが、その過程で、ソフトウェア供給チェーンに新たなリスクが生まれています。
これらのAIコーディングアシスタントは、しばしば存在しないソフトウェアパッケージを提案し、それを利用して悪意ある行為が行われているのです。
研究によれば、AIによって提案されるパッケージ名の一部が実在しないものであることが明らかにされており、実在しないパッケージをインストールしようとすると、エラーが発生するはずです。しかし、不正行為者はこの「幻覚」を悪用し、悪意のあるパッケージをパッケージレジストリにアップロードして、不正なソフトウェアを広めています。
セキュリティ企業や学術研究者は、AIによるこのような行為の検出と防御のために努力しており、ソフトウェアの安全性を高めるための取り組みが進められています。開発者としては、AIが生成したコードやパッケージを信用する前に、二度確認することが不可欠です。そうしないと、現実世界で深刻な問題が生じる可能性があります。
出典 : AI code suggestions sabotage software supply chain https://www.theregister.com/2025/04/12/ai_code_suggestions_sabotage_supply_chain/
