メインコンテンツへスキップ

#サプライチェーン攻撃 のAIニュース

8件の記事

GitHub Actions ワークフローのトリガーを制御する機能を公開プレビューへ

GitHub が企業向けに、ワークフロー実行保護機能を公開プレビューとして提供開始。管理者が誰がトリガーできるか、どのイベントを実行可能かを許可リストで定義し、セキュリティを強化した。

GitHub Changelog·6月18日·★★★★

Microsoft、Claude および Gemini ユーザーへマルウェアを配布する目的でハッキングされた件

サイバーセキュリティ研究者の調査と Microsoft の声明によると、ハッカーが AI コーディングツールの Claude や Gemini で開封した際にユーザーの認証情報を窃取するマルウェアを仕掛け、Microsoft は Azure および AI コーディングエージェント関連のリポジトリを含む一連の GitHub リポジトリを停止してデータ侵害を調査している。

404 Media·6月9日·★★★★

GitHub の内部リポジトリへの不正アクセス調査

GitHub は 5 月 18 日、従業員端末が第三者製の悪意ある VS Code 拡張機能によって侵害されたことを検知し、該当拡張機能を削除して対応を開始した。現時点では GitHub 内部のリポジトリからのデータ流出のみが確認されており、攻撃者が主張する約 3,800 リポジトリの流出は調査と整合している。

GitHub Blog·5月21日·★★★★

Axios開発者ツール侵害に対する当社の対応

OpenAIは、Axiosのサプライチェーン攻撃に対し、macOSコード署名証明書のローテーション、アプリの更新、ユーザーデータ侵害なしの確認で対応した。

OpenAI News·4月10日

GitHubにおけるオープンソースサプライチェーンのセキュリティ確保

GitHubは、攻撃者がGitHub Actionsのワークフローを侵害してAPIキーなどの秘密情報を窃取し、悪意のあるパッケージを公開する新たな攻撃パターンに対処するためのセキュリティ対策を実施している。

GitHub Blog·4月2日·★★★★

Mercor社、オープンソースLiteLLMプロジェクトの侵害に関連するサイバー攻撃を受けたと発表

AI採用スタートアップのMercor社は、恐喝ハッキンググループが同社システムからのデータ窃取を主張した後、セキュリティインシデントを確認した。

TechCrunch AI·4月1日

litellm 1.82.8における悪意あるlitellm_init.pth — 認証情報窃取ツール

LiteLLM v1.82.8パッケージがPyPIで公開された際、litellm_init.pthファイルにbase64で隠された認証情報窃取ツールが含まれており、パッケージをインストールするだけで発動する危険性があった。

Simon Willison Blog·3月25日·★★★★

パッケージマネージャーのマジックファイル

記事は、.npmrc、MANIFEST.in、Directory.Packages.props、.pnpmfile.cjsなどのパッケージマネージャー設定ファイル(マジックファイル)の存在と探し方を説明している。

Andrej Karpathy 厳選·3月5日