【すろっぷすくわっていんぐ】

スロップスクワッティング とは?

公開:
💡 AIが「この薬いいよ」と勧めたら、偽薬局が先に開業していた
📌 このページのポイント
スロップスクワッティングの流れ ① AIが推薦 「fake-helper を 使うといいよ」 ② 開発者がインストール npm install fake-helper 架空パッケージをDL ③ マルウェア実行 認証情報・APIキー が盗まれる 攻撃者の事前準備 「AIがよく推薦する架空パッケージ名」を先取り登録 → 悪意あるコードを仕込んで公開リポジトリに配置 登録済み AIの推薦パッケージの約20%が架空という調査結果がある
スロップスクワッティング:AIが勧めた架空パッケージを踏んでしまう攻撃
ひよこ ひよこ
スロップスクワッティングって何?名前が変わってるね。
ペンギン先生 ペンギン先生
AIコーディングツールが架空のパッケージ名を推薦して、攻撃者がそのパッケージを先に登録しておく攻撃手法だよ。「slop(粗悪なAI生成物)」と「squatting(先取り占拠)」を組み合わせた造語だね。
ひよこ ひよこ
AIがパッケージ名を間違えるの?
ペンギン先生 ペンギン先生
AIはハルシネーションで「実在しないけどありそうなパッケージ名」を自信満々に推薦してしまうことがあるんだ。調査では、AIが推薦したパッケージの約20%が架空だったっていう結果もあるよ。
ひよこ ひよこ
攻撃者がそのパッケージを登録しておくと、どうなるの?
ペンギン先生 ペンギン先生
開発者がAIの提案通りにnpm installやpip installを実行すると、攻撃者が作った悪意あるパッケージがインストールされてしまうんだ。マルウェアや情報を盗むコードが仕込まれていることもあるよ。
ひよこ ひよこ
どうやって防げばいいの?ペンギン先生!
ペンギン先生 ペンギン先生
AIが推薦したパッケージは必ず公式リポジトリnpmPyPI)で実在確認してからインストールするのが基本だよ。サプライチェーン攻撃の新しい形として、AI時代のセキュリティ意識として覚えておいてね。
ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「スロップスクワッティング」って出てきたら「AIが嘘のパッケージ名を教えて、それを攻撃者が悪用するサプライチェーン攻撃」と思えばだいたいOK!
📖 おまけ:英語の意味
「Slopsquatting」 = スロップスクワッティング(粗悪品占拠)
💬 「slop(質の低いAI生成コンテンツ)」と「squatting(ドメイン先取り占拠)」を組み合わせた造語だよ
← 用語集にもどる