スロップスクワッティング (幻覚パッケージ悪用)
読み: すろっぷすくわってぃんぐ
最終更新: 2026-07-13・AI PICKS編集部
定義
スロップスクワッティングとは、AIコーディングツールがコード生成時に幻覚で作り出した実在しないパッケージ名を、攻撃者が先回りして公開レジストリに登録し悪用する攻撃手法のこと。
スロップスクワッティング (幻覚パッケージ悪用)とは — 詳しく解説
スロップスクワッティングは、LLMがコード生成時に実在しないパッケージ名を幻覚で出力する性質につけ込むサプライチェーン攻撃とされる。攻撃者はAIコーディングエージェントが繰り返し生成しやすい架空のパッケージ名を先回りしてnpmやPyPIなどの公開レジストリに登録し、マルウェアを仕込んでおく。開発者がAIの提案するimport文やrequirements.txtをレビューせずそのままpip installやnpm installすると、意図せず悪性コードを取り込んでしまう。2026年時点ではAIコーディングエージェントの実運用が急拡大しており、生成コードの依存関係を人間が逐一確認しない現場も多く、検証を省くコストは侵害後の被害額に比べて著しく低いとされる。対策としてはSonarQube AIのような静的解析ツールでの依存関係検証や、社内レジストリでのホワイトリスト運用が広く採用されている。
スロップスクワッティング (幻覚パッケージ悪用)の使用例
- AIエージェントに『pandas-utilsをinstallして』と指示されたが、実在するのはpandasのみで前者は幻覚パッケージ名だった。
- requirements.txtにAIが生成した見慣れないパッケージ名があれば、PyPIで存在と作者履歴を必ず確認する。
スロップスクワッティング (幻覚パッケージ悪用)に関連するAIツール
関連用語
「セキュリティ」の他の用語
ユーザー入力で AI の指示を上書きする攻撃。 「これまでの指示は無視して◯◯」 が典型例。
AI の安全制限を回避する手法。 ロールプレイや仮想シナリオで 禁止出力を引き出す。
ガードレールとは、AIシステムが有害・不適切・意図しない出力を生成しないよう制限するための安全制御機構のこと。
レッドチーミングとは、AIシステムの安全性・脆弱性を検証するため、攻撃者の視点から意図的に悪意ある入力やシナリオを試みる評価手法のこと。
シャドーAIとは、企業のIT部門や経営層の承認なしに従業員が個人的に業務で使うAIツール・サービスのこと。情報漏洩・規約違反・ガバナンス崩壊のリスクを内包する。
モデルポイズニングとは、AIモデルの学習データに悪意あるデータを混入させ、モデルの出力や判断を意図的に歪める攻撃手法のこと。
AI用語辞典をすべて見てみませんか
12カテゴリ・502語以上を体系的に整理しています
辞典トップへ