定義
攻撃者は、AIコーディングアシスタントが実際には存在しないソフトウェアパッケージの名前を「幻覚」することがあることに気付き、その正確な偽の名前で実在する悪意のあるパッケージを登録します。開発者のAIが生成したコードがこの幻覚パッケージをインストールしようとすると、攻撃者のマルウェアが静かに取り込まれます。
なぜ重要か
この攻撃はフィッシングメールや悪意のあるリンクを必要とせず、AIアシスタントがコードを書く方法における予測可能な欠陥を悪用し、日常的なコーディングの近道をスケール規模でのボットネット配布チャネルに変えてしまいます。