HalluSquattingとは?AIが偽パッケージを信じる攻撃を解説

初級 | 8 分 で読める | 2026.07.13

何を見るべきか

HalluSquatting は、AIが実在しないパッケージ名やURLをもっともらしく提案し、それを攻撃者が悪用するリスクです。

AIに「このライブラリを入れて」と言われても、その名前が本当に公式で安全とは限りません。初心者は特に、npmやPyPIのインストール前確認が必要です。

なぜ危ないのか

AIは、存在しない名前を自然に作ることがあります。攻撃者がその名前のパッケージを先に公開していると、利用者が誤ってインストールする可能性があります。

これは、従来のタイポスクワッティングにAI時代の要素が加わったものと考えると理解しやすいです。

インストール前チェック

チェック見ること
公式リンク公式ドキュメントから辿れるか
ダウンロード数極端に少なくないか
作者信頼できる組織か
更新履歴不自然に新しくないか
名前似た名前の偽物でないか

まとめ

AIが提案したインストールコマンドは、すぐ実行しないことが重要です。特に pip installnpm install は、公式ページとパッケージ名を確認してから実行します。

参考リソース

← 一覧に戻る
PR
PR
PR
PR