정의
AI 코딩 어시스턴트가 실제로 존재하지 않는 소프트웨어 패키지의 이름을 '환각'하는 경우가 있다는 것을 공격자들이 발견했습니다. 그러면 공격자들은 그 정확한 가짜 이름으로 실제의 악성 패키지를 등록합니다. 개발자의 AI가 생성한 코드가 환각된 패키지를 설치하려고 하면, 공격자의 악성코드가 조용히 대신 설치됩니다.
왜 중요한가
이 공격은 피싱 이메일이나 악성 링크가 필요하지 않습니다. AI 어시스턴트가 코드를 작성하는 방식의 예측 가능한 결함을 악용하여, 일상적인 코딩 단축을 대규모의 봇넷 배포 채널로 바꿉니다.