Several big businesses have published source code that incorporates a software package previously hallucinated by generative AI.

Not only that but someone, having spotted this reoccurring hallucination, had turned that made-up dependency in…

AIモデルは、どうにも勝手に勝手に作り出すのをやめられないようです。最近の2つの研究が指摘しているように、この傾向は、本当に重要な事柄についてはAIのアドバイスに頼るべきではないという過去の警告を裏付けています。

AIが頻繁に作り出すものの一つが、ソフトウェアパッケージの名前です。

今年初めに指摘したように、Lasso Securityは、大規模言語モデル（LLM）がサンプルソースコードを生成する際に、ソフトウェアパッケージの依存関係の名前を（実際には存在しない）作り出すこと…

LLM を活用したコード生成ツールの台頭は、開発者のソフトウェア開発方法を大きく変えつつあり、その過程でソフトウェアサプライチェーンに新たなリスクをもたらしています。

これらの AI コーディングアシスタントは、一般的な大規模言語モデルと同様に、幻覚を起こす傾向があります。つまり、存在しないソフトウェアパッケージを組み込んだコードを提案してしまうのです。

昨年 3 月 と 9 月 で指摘したように、セキュリティ研究者や学術研究者は、AI コードアシスタントがパッケージ名を勝手…

「スロップスクワッティング」と呼ばれる新しい種類のサプライチェーン攻撃が、コーディングにおける生成AIツールの利用増加と、モデルが存在しないパッケージ名を「幻覚」させる傾向から出現しました。

スロップスクワッティングという用語は、セキュリティ研究者のSeth Larsonによって造語されました。タイポスクワッティングは、一般的なライブラリに酷似した名前を使って開発者を騙し、悪意のあるパッケージをインストールさせる攻撃手法です。

タイポスクワッティングとは異なり、スロップスクワ…