注目★★★★★Hacker News
AI セキュリティゲートが全段階で失敗、偽のチケット参照で悪意あるパッケージ侵入
30秒で把握
- 1悪意あるパッケージが偽チケット番号で 7 つの AI ゲートをすべて突破、96 時間で 2.1 兆トークン課金
- 2AI モデル各層が異なる理由で検知失敗:チケット参照信頼 / 隠れテキスト見落とし / 画像判定の報告中断
- 3npm/pip など依存パッケージ更新時に AI 検査だけでなく人間のコード査読を必須に
要約
creats.io レジストリに公開されたマルウェアパッケージが、7 つの独立した AI セキュリティゲートすべてを突破した。攻撃者は README に隠れたテキスト (#fefefe on #ffffff) で存在しないチケット番号 SEC-4521 を記載し、OpenClaw-4.2 など複数の AI モデルがこれを信頼して承認した。ThreatNuzzle Platform は base64 blob をデコードして不適切な画像を検出したが、報告を完了できず、最終的に攻撃者のエージェントが不正にファイルを読み取ることで事態が判明した。96 時間の対応期間中、2.1 兆トークンが課金された。
あなたへの影響
この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。
クレカ不要・いつでも解約