何を見るべきか
HalluSquatting は、AIが実在しないパッケージ名やURLをもっともらしく提案し、それを攻撃者が悪用するリスクです。
AIに「このライブラリを入れて」と言われても、その名前が本当に公式で安全とは限りません。初心者は特に、npmやPyPIのインストール前確認が必要です。
なぜ危ないのか
AIは、存在しない名前を自然に作ることがあります。攻撃者がその名前のパッケージを先に公開していると、利用者が誤ってインストールする可能性があります。
これは、従来のタイポスクワッティングにAI時代の要素が加わったものと考えると理解しやすいです。
インストール前チェック
| チェック | 見ること |
|---|---|
| 公式リンク | 公式ドキュメントから辿れるか |
| ダウンロード数 | 極端に少なくないか |
| 作者 | 信頼できる組織か |
| 更新履歴 | 不自然に新しくないか |
| 名前 | 似た名前の偽物でないか |
まとめ
AIが提案したインストールコマンドは、すぐ実行しないことが重要です。特に pip install や npm install は、公式ページとパッケージ名を確認してから実行します。