AI PICKS
AI用語辞典セキュリティ

スロップスクワッティング (幻覚パッケージ悪用)

読み: すろっぷすくわってぃんぐ

最終更新: 2026-07-13・AI PICKS編集部

定義

スロップスクワッティングとは、AIコーディングツールがコード生成時に幻覚で作り出した実在しないパッケージ名を、攻撃者が先回りして公開レジストリに登録し悪用する攻撃手法のこと。

スロップスクワッティング (幻覚パッケージ悪用)とは — 詳しく解説

スロップスクワッティングは、LLMがコード生成時に実在しないパッケージ名を幻覚で出力する性質につけ込むサプライチェーン攻撃とされる。攻撃者はAIコーディングエージェントが繰り返し生成しやすい架空のパッケージ名を先回りしてnpmやPyPIなどの公開レジストリに登録し、マルウェアを仕込んでおく。開発者がAIの提案するimport文やrequirements.txtをレビューせずそのままpip installやnpm installすると、意図せず悪性コードを取り込んでしまう。2026年時点ではAIコーディングエージェントの実運用が急拡大しており、生成コードの依存関係を人間が逐一確認しない現場も多く、検証を省くコストは侵害後の被害額に比べて著しく低いとされる。対策としてはSonarQube AIのような静的解析ツールでの依存関係検証や、社内レジストリでのホワイトリスト運用が広く採用されている。

スロップスクワッティング (幻覚パッケージ悪用)の使用例

  • AIエージェントに『pandas-utilsをinstallして』と指示されたが、実在するのはpandasのみで前者は幻覚パッケージ名だった。
  • requirements.txtにAIが生成した見慣れないパッケージ名があれば、PyPIで存在と作者履歴を必ず確認する。

スロップスクワッティング (幻覚パッケージ悪用)に関連するAIツール

関連用語

セキュリティ」の他の用語

AI用語辞典をすべて見てみませんか

12カテゴリ・502語以上を体系的に整理しています

辞典トップへ