「AIコーディングツールを使って効率よく開発しているけど、セキュリティ的に大丈夫なの?」
「AIが勝手にマルウェアを入れてしまうってどういうことでしゅか?」
ボス、HalluSquattingって何でしゅか?なんかAIがハルシネーションでヘンなものを呼んでしまう攻撃でしゅか?
ちょうどそれだ。LLMが「ありそうな名前」で架空のパッケージを提案する習性を利用して、攻撃者が事前にその架空の名前を登録しておく。AIが開発者に代わってパッケージを取得しようとした瞬間、本物のマルウェアが降ってくるわけだ。
2026年7月、テルアビブ大学・テクニオン・IntuitのPalo Alto Networks研究者チームが、LLMのハルシネーション(幻覚)を悪用した新手の攻撃手法「HalluSquatting」を発表しました。
Cursor・GitHub Copilot・Gemini CLIなど広く使われているAIコーディングツール9種が、ボットネットマルウェアの配布経路になりうることが実証されています。
- LLMが「ありそうな名前」で生成する架空パッケージ名を攻撃者が事前に登録し、マルウェアを仕込む
- Cursor・GitHub Copilot・Gemini CLIなど9ツールで検証済み。ハルシネーション率は最大100%
- ハルシネーションとプロンプトインジェクションを連鎖させることで、攻撃者コードを自動実行させる
この記事では、HalluSquatting攻撃の仕組みと影響範囲、そして開発者が今すぐ取るべき対策を解説します。
目次
HalluSquatting攻撃が発覚した背景と衝撃のハルシネーション率
どのようにして攻撃が成立するのか、まず発覚の経緯と実験結果を整理します。
「トレンドのリポジトリをクローンして」の一言が引き金になる
研究チームが明らかにしたのは、LLMが「トレンドのリポジトリをクローンしてください」といった指示を受けた際、実際には存在しないパッケージ名を「ありそうな名前」として提案することがあるという事実です。
この現象は複数のモデルをまたいで転移するほど再現性が高く、研究チームが計測したハルシネーション率は以下の通りでした。
| シナリオ | ハルシネーション率 |
|---|
| トレンドリポジトリのクローン要求 | 最大85% |
| スキル(プラグイン)のインストール要求 | 最大100% |
攻撃者はこのハルシネーションの「パターン」を事前に計算し、LLMが高確率で提案するであろう架空のパッケージ名をnpmなどのパッケージレジストリに登録しておきます。
開発者がAIコーディングツールに指示した瞬間、AIは攻撃者が仕込んだ偽パッケージを「本物」として取得し、マルウェアが実行されます。
影響を受けるAIコーディングツール9種と過去の実被害
9種類も!自分が使っているCursorも入ってるんでしゅか?
ああ、Cursorはもちろん、GitHub CopilotやGemini CLIも実証済みだ。2026年1月には実際に架空のnpmパッケージ「react-codeshift」が237のコードプロジェクトに拡散したことが確認されている。
研究チームが実証した影響を受けるAIコーディングツールは以下の通りです。
- Cursor / Cursor CLI
- GitHub Copilot
- Gemini CLI
- Windsurf
- Cline
- OpenClaw / ZeroClaw / NanoClaw
2026年1月には、AIが生成した架空のnpmパッケージ名「react-codeshift」をすでに攻撃者が登録しており、AIコーディングツールが推奨したことで237のプロジェクトに拡散した事例が確認されています。
この研究成果は、HalluSquatting攻撃がすでに現実的な脅威であることを裏付けています。
攻撃の連鎖と開発チームが取るべき対策
HalluSquattingがより深刻なのは、ハルシネーション単体にとどまらず、プロンプトインジェクションと組み合わされる点にあります。
ハルシネーションとプロンプトインジェクションを連鎖させる攻撃
攻撃者が登録した偽パッケージにはプロンプトインジェクション命令が仕込まれています。
AIがパッケージの説明文を読み込んだ瞬間、攻撃者の指示に従って追加のコマンドを実行するよう誘導されます。
結果として、開発者は気づかないまま、AIに自分のマシンでボットネットマルウェアを実行させてしまうことになります。
このリスクを軽減するために、開発者・チームが今すぐ実施できる対策は以下の通りです。
- AIが提案したパッケージ名は必ず公式レジストリで検索し、人間が確認してからインストールする
- AIコーディングエージェントにターミナルへの自動実行権限を与えない運用ルールを設ける
- npm audit・Dependabotなどのツールで依存関係の異常を定期的にチェックする
- CI/CDパイプラインでパッケージの整合性検証(ハッシュ確認)を必須にする
まとめ
AIは便利なツールだが、盲目的に信頼してはならない。AIが提案したものであっても、外部から取得するリソースは必ず人間の目で確認するというプロセスを組み込むことが重要だ。
AIを使うなら、AIの提案を鵜呑みにしないことが大切なんでしゅね。
HalluSquatting攻撃は、LLMの本質的な特性であるハルシネーションを悪用した新しい攻撃ベクターです。
Cursor・GitHub Copilot・Gemini CLIといった主要なAIコーディングツール9種での実証により、その現実的な脅威が明らかになりました。
開発者はAIの提案を最終的に確認するプロセスを必ず人間が担い、AIエージェントへの自動実行権限の付与を見直すことが、今すぐ取れる最も有効な対策です。