#サプライチェーンセキュリティ
4 本
📰AIニュース ニュース
AIコーディングアシスタントが幻覚するパッケージ名が攻撃面になる:スロップスクワッティングの実態と開発者が今すぐ取れる対策(arXiv 2605.17062)
5モデル・199,845プロンプトの大規模検証で明らかになったLLMパッケージ幻覚の実態。幻覚率4.62〜6.10%、127の共通幻覚パッケージ名という「スロップスクワッティング」攻撃面の現状と、開発者が今日から実践できる3ステップ対策を解説します。(査読前arXivプレプリント)
🛡️サイバーセキュリティ ニュース
AIコード生成ツールを安全に使う開発者チェックリスト:スロップスクワッティング対策の現状と今すぐできる5つの対策
GitHub Copilot・Cursor・Claude Codeが提案する架空パッケージ名を攻撃者が先取り登録する「スロップスクワッティング」。2026年最新論文のデータを踏まえ、今日から実践できるlockfile管理・SCA統合・サンドボックステストなど5つの防御策を解説します。
🛡️サイバーセキュリティ ハウツー
HuggingFaceモデルのpickle脆弱性とsafetensors安全移行ガイド:CVE-2026-25874が示すAIサプライチェーンリスクと開発実践
モデルファイル(.pkl/.bin/.ckpt)のシリアライズ脆弱性はダウンロード時点の攻撃面。CVE-2026-25874を具体例に、pickleの危険性を概念解説し、スキャン・safetensors移行・CI/CD統合の3ステップ実践ガイドを提供します。
🛡️サイバーセキュリティ ハウツー
MCPのtool poisoning・rug pull・サプライチェーン攻撃から守る:LLMアプリ開発者のための防御設計チェックリスト
MCP固有の3リスク(tool poisoning・rug pull・サプライチェーン攻撃)を解説し、STRIDE/DREADフレームワークの脅威分析をもとに、今すぐ実装できる3層防御チェックリストを日本語で提供します。