技術的な説明
2026年5月11日、攻撃者がguardrails-ai Pythonパッケージの悪質なバージョン(バージョン0.10.1)をPyPIに公開しました。悪質なパッケージには、インストール対象のマシンからアクセス可能な認証情報を流出させる埋め込みコード(CWE-506)が含まれています。セキュリティ研究者は公開からおよそ2時間以内にパッケージを特定し、隔離しました。CVEは2026年6月5日に正式に割り当てられ、公開されました。Guardrails AIのメンテナーは、テレメトリーが自社インフラを通じた流出がないことを示していますが、インストール時に影響を受けたマシンに存在していた認証情報はすべて漏洩していると見なすべきです。
攻撃経路
依存関係のインストール: 2026年5月11日に'pip install guardrails-ai==0.10.1'を実行した開発者またはCI/CDパイプラインは、悪質なペイロードを実行することになります。攻撃者はタイポスクワッティングまたはアカウント乗っ取りのベクトルを使用して、正規のパッケージ名で公開しました。
影響を受けるシステム
2026年5月11日にPyPIからguardrails-ai バージョン0.10.1がインストールされたシステム。Guardrails AIはLLMアプリケーションに検証とセーフティレールを追加するための広く導入されているPythonフレームワークであり、エンタープライズAIパイプライン全体で使用されています。
緩和策
guardrails-ai 0.10.2にアップグレードするか、0.10.0(どちらも影響を受けない)にダウングレードしてください。バージョン0.10.1をインストールしたマシンからアクセス可能なすべての認証情報をローテーションしてください。これには、GitHub PAT、クラウドプロバイダーキー(AWS/GCP/Azure)、パッケージレジストリトークン、およびLLM APIキーが含まれます。不正なワークフローまたはリポジトリについてGitHubアカウントを監査してください。pipインストールログおよびCI/CDジョブ履歴でバージョン0.10.1を確認してください。