セキュリティアラート: 2026-04-04
今週、AIインフラが複数方面から協調攻撃を受けている。LiteLLMとAxiosのサプライチェーン汚染が数千の環境に影響、n8nとLangflowで深刻なRCE脆弱性が発覚、Claude Codeソースコード流出がマルウェアキャンペーンを誘発、研究者がAIによるCVE記述からのカーネルエクスプロイト作成を実証。
---
LiteLLMサプライチェーン攻撃がMercorと数千のAI環境を侵害。TeamPCPがPyPIに悪意あるパッケージ(litellm v1.82.7とv1.82.8)を公開し、環境変数、SSH鍵、クラウド認証情報、Kubernetesトークンを窃取。OpenAI、Anthropic、Metaにサービスを提供するAI採用企業Mercorが侵害を確認。Lapsus$は独自訓練データセットを含む4TBのデータ窃取を主張し、ダークウェブで競売中。LiteLLMを使用中なら、直ちにpip show litellmで確認し、全シークレットをローテーションすること。
Source: https://x.com/AdityaMBAsymbi/status/2039643919667908857
---
Axios npmパッケージがハイジャックされ、全プラットフォームにRATを配布。侵害されたバージョンaxios 1.14.1と0.30.4は窃取されたメンテナー認証情報で公開され、悪意ある依存関係plain-crypto-jsを注入。postinstallスクリプトがmacOS、Windows、Linux用のリモートアクセストロイの木馬をダウンロード。Socketは6分以内に検出したが、影響を受けたバージョンをインストールしたマシンは全て完全に侵害されたものとして扱うべき。該当システムの全認証情報をローテーションすること。
Source: https://x.com/feross/status/2039740053484904694
---
n8nワークフロー自動化のCVE-2026-21858がCVSS 10.0:未認証リモートコード実行、約10万台の露出サーバーが影響。n8nを運用中なら直ちにパッチ適用またはオフラインにすること。回避策はない。
Source: https://x.com/NYsquaredAI/status/2039598465596973511
---
Langflow CVE-2026-33017 RCEが公開後20時間以内に実際に悪用。CISAが既知悪用脆弱性カタログに追加。攻撃者は侵害されたLangflowインスタンスからOpenAI、Anthropic、AWS APIキーを含む.envファイルを重点的に収集中。直ちにパッチ適用または露出インスタンスを停止すること。
Source: https://x.com/DarkForgeNews/status/2039586022669873288
---
OpenClaw CVE-2026-25253(CVSS 8.8)がWebSocket認証バイパスとClawHub経由の悪意あるSkillサプライチェーン攻撃を可能に。攻撃者はエージェントに読み込まれた際に任意コードを実行するトロイの木馬化Skillを公開可能。中国はセキュリティレビュー完了までOpenClawの企業利用を禁止。インストール済みSkillを全て監査し、検証済み発行者に限定すること。
Source: https://x.com/lixiaolai_/status/2039534642534179177
---
Chrome Gemini統合のCVE-2026-0628で低権限拡張機能がGeminiサイドパネルにコード注入可能。悪意ある拡張機能がカメラ、マイクを乗っ取り、Gemini会話履歴にアクセス可能。直ちにChromeを更新し、インストール済み拡張機能を監査すること。
Source: https://x.com/sinsotsuouen26/status/2039511395352695031
---
Claude Codeソースコード流出がVidarマルウェアを配布するトロイの木馬化GitHubフォークを生成。Anthropicがnpmソースマップ経由で50万行のソースコードを誤って公開後、攻撃者がRustドロッパー経由でVidar情報窃取ツールとGhostSocksプロキシを配布する偽リポジトリを作成。非公式のClaude Codeリポジトリはクローンもビルドもしないこと。Anthropic公式チャネルのみを使用。
Source: https://x.com/abebecker/status/2039695910964232307
---
Claude Code権限バイパス脆弱性:生成されたコマンドパイプラインが50サブコマンドを超えるとdenyルールとコマンドインジェクションチェックがスキップされるロジック欠陥。攻撃者は悪意あるCLAUDE.mdファイルやプロンプトインジェクションで任意コマンド実行と認証情報窃取が可能。パッチ適用まで、Claude Codeエージェントを本番シークレットから隔離すること。
Source: https://x.com/syedaquib77/status/2039775266692546687
---
Check PointがClaude CodeのCVE-2025-59536とCVE-2026-21852を公開、悪意あるリポジトリからのAPIキー窃取が可能。ソースコード流出によりこれらの脆弱性はより悪用しやすくなり、攻撃者は露出した権限とフックロジックを標的とする精密な悪意あるリポジトリを作成可能に。Claude Codeでリポジトリを開く前に監査すること。
Source: https://x.com/TechPulseHK/status/2039746225990418528
---
CiscoがTrivyサプライチェーン侵害経由で攻撃を受け、TeamPCPに追跡。ShinyHuntersが未公開AI製品を含む300以上のGitHubリポジトリ、300万のSalesforceレコード、FBI・DHS・NASA職員情報を含むAWSデータを窃取。4月3日が恐喝期限。1つの侵害された脆弱性スキャナーが12日でFortune 500企業の恐喝に至った。
Source: https://x.com/Atarussecurity/status/2039750226404352128
---
Drift Protocolが侵害されたマルチシグ鍵により2.8億ドルの暗号通貨ハッキング被害。5人の署名者のうち1人は北朝鮮の潜入工作員、もう1人は鍵が侵害された。攻撃は数週間の準備を要する事前署名された永続nonceトランザクションを使用。Circleは2.3億USDCの移転時に介入せず。マルチシグだけでは高価値DeFiプロトコルのセキュリティとして不十分。
Source: https://x.com/theZeugh/status/2039651944608776603
---
ClaudeがCVE記述からFreeBSDカーネルエクスプロイトを作成しroot shellを取得。別途、Anthropic研究者Nicholas CarliniがClaudeで90分以内にGhost CMSのゼロデイ(CVE-2026-26980)を発見し管理者APIキーを窃取するデモを実施。AIが脆弱性公開から実用エクスプロイトまでの時間差をほぼゼロに圧縮しており、従来のパッチ適用期間は危険なほど不十分に。
Source: https://x.com/OctoHirono/status/2039511337001418989
---
Google DeepMind研究がAIエージェントトラップの6つの攻撃ベクトルをマッピング:隠しHTML/CSSによる知覚攻撃、RAGポイズニングによるメモリ破壊、0.1%未満のデータ汚染で可能な潜在メモリ操作。テストではHTML注入で86%の部分ハイジャック成功率、メモリ攻撃で80%以上の成功率。自律エージェントが読み取る全てのウェブページが潜在的な攻撃面に。
Source: https://x.com/TomasMann1878/status/2039600029124506038
---
Slopsquatting:LLMが18-21%の確率で存在しないパッケージ名を幻覚することが判明。攻撃者がPyPIとnpmでこれらの幻覚パッケージ名を登録し悪意あるペイロードを仕込み、AI支援開発特有の新しいサプライチェーン攻撃ベクトルを生成。AIが提案するパッケージ名はインストール前に必ず検証すること。
Source: https://x.com/curioverse_th/status/2039819165457138106
---
Vibe Security Radarが2026年3月だけでAI生成コードに起因する35のCVEを報告、本番環境にはさらに5-10倍が潜在と推定。AIネイティブ組織はコード生成、依存関係管理、エージェントオーケストレーションにわたる根本的に拡大した攻撃面を抱えており、今週それらが同時に攻撃を受けている。
Source: https://x.com/iototsecnews/status/2039511752489234826
← Back to all articles
---
LiteLLMサプライチェーン攻撃がMercorと数千のAI環境を侵害。TeamPCPがPyPIに悪意あるパッケージ(litellm v1.82.7とv1.82.8)を公開し、環境変数、SSH鍵、クラウド認証情報、Kubernetesトークンを窃取。OpenAI、Anthropic、Metaにサービスを提供するAI採用企業Mercorが侵害を確認。Lapsus$は独自訓練データセットを含む4TBのデータ窃取を主張し、ダークウェブで競売中。LiteLLMを使用中なら、直ちにpip show litellmで確認し、全シークレットをローテーションすること。
Source: https://x.com/AdityaMBAsymbi/status/2039643919667908857
---
Axios npmパッケージがハイジャックされ、全プラットフォームにRATを配布。侵害されたバージョンaxios 1.14.1と0.30.4は窃取されたメンテナー認証情報で公開され、悪意ある依存関係plain-crypto-jsを注入。postinstallスクリプトがmacOS、Windows、Linux用のリモートアクセストロイの木馬をダウンロード。Socketは6分以内に検出したが、影響を受けたバージョンをインストールしたマシンは全て完全に侵害されたものとして扱うべき。該当システムの全認証情報をローテーションすること。
Source: https://x.com/feross/status/2039740053484904694
---
n8nワークフロー自動化のCVE-2026-21858がCVSS 10.0:未認証リモートコード実行、約10万台の露出サーバーが影響。n8nを運用中なら直ちにパッチ適用またはオフラインにすること。回避策はない。
Source: https://x.com/NYsquaredAI/status/2039598465596973511
---
Langflow CVE-2026-33017 RCEが公開後20時間以内に実際に悪用。CISAが既知悪用脆弱性カタログに追加。攻撃者は侵害されたLangflowインスタンスからOpenAI、Anthropic、AWS APIキーを含む.envファイルを重点的に収集中。直ちにパッチ適用または露出インスタンスを停止すること。
Source: https://x.com/DarkForgeNews/status/2039586022669873288
---
OpenClaw CVE-2026-25253(CVSS 8.8)がWebSocket認証バイパスとClawHub経由の悪意あるSkillサプライチェーン攻撃を可能に。攻撃者はエージェントに読み込まれた際に任意コードを実行するトロイの木馬化Skillを公開可能。中国はセキュリティレビュー完了までOpenClawの企業利用を禁止。インストール済みSkillを全て監査し、検証済み発行者に限定すること。
Source: https://x.com/lixiaolai_/status/2039534642534179177
---
Chrome Gemini統合のCVE-2026-0628で低権限拡張機能がGeminiサイドパネルにコード注入可能。悪意ある拡張機能がカメラ、マイクを乗っ取り、Gemini会話履歴にアクセス可能。直ちにChromeを更新し、インストール済み拡張機能を監査すること。
Source: https://x.com/sinsotsuouen26/status/2039511395352695031
---
Claude Codeソースコード流出がVidarマルウェアを配布するトロイの木馬化GitHubフォークを生成。Anthropicがnpmソースマップ経由で50万行のソースコードを誤って公開後、攻撃者がRustドロッパー経由でVidar情報窃取ツールとGhostSocksプロキシを配布する偽リポジトリを作成。非公式のClaude Codeリポジトリはクローンもビルドもしないこと。Anthropic公式チャネルのみを使用。
Source: https://x.com/abebecker/status/2039695910964232307
---
Claude Code権限バイパス脆弱性:生成されたコマンドパイプラインが50サブコマンドを超えるとdenyルールとコマンドインジェクションチェックがスキップされるロジック欠陥。攻撃者は悪意あるCLAUDE.mdファイルやプロンプトインジェクションで任意コマンド実行と認証情報窃取が可能。パッチ適用まで、Claude Codeエージェントを本番シークレットから隔離すること。
Source: https://x.com/syedaquib77/status/2039775266692546687
---
Check PointがClaude CodeのCVE-2025-59536とCVE-2026-21852を公開、悪意あるリポジトリからのAPIキー窃取が可能。ソースコード流出によりこれらの脆弱性はより悪用しやすくなり、攻撃者は露出した権限とフックロジックを標的とする精密な悪意あるリポジトリを作成可能に。Claude Codeでリポジトリを開く前に監査すること。
Source: https://x.com/TechPulseHK/status/2039746225990418528
---
CiscoがTrivyサプライチェーン侵害経由で攻撃を受け、TeamPCPに追跡。ShinyHuntersが未公開AI製品を含む300以上のGitHubリポジトリ、300万のSalesforceレコード、FBI・DHS・NASA職員情報を含むAWSデータを窃取。4月3日が恐喝期限。1つの侵害された脆弱性スキャナーが12日でFortune 500企業の恐喝に至った。
Source: https://x.com/Atarussecurity/status/2039750226404352128
---
Drift Protocolが侵害されたマルチシグ鍵により2.8億ドルの暗号通貨ハッキング被害。5人の署名者のうち1人は北朝鮮の潜入工作員、もう1人は鍵が侵害された。攻撃は数週間の準備を要する事前署名された永続nonceトランザクションを使用。Circleは2.3億USDCの移転時に介入せず。マルチシグだけでは高価値DeFiプロトコルのセキュリティとして不十分。
Source: https://x.com/theZeugh/status/2039651944608776603
---
ClaudeがCVE記述からFreeBSDカーネルエクスプロイトを作成しroot shellを取得。別途、Anthropic研究者Nicholas CarliniがClaudeで90分以内にGhost CMSのゼロデイ(CVE-2026-26980)を発見し管理者APIキーを窃取するデモを実施。AIが脆弱性公開から実用エクスプロイトまでの時間差をほぼゼロに圧縮しており、従来のパッチ適用期間は危険なほど不十分に。
Source: https://x.com/OctoHirono/status/2039511337001418989
---
Google DeepMind研究がAIエージェントトラップの6つの攻撃ベクトルをマッピング:隠しHTML/CSSによる知覚攻撃、RAGポイズニングによるメモリ破壊、0.1%未満のデータ汚染で可能な潜在メモリ操作。テストではHTML注入で86%の部分ハイジャック成功率、メモリ攻撃で80%以上の成功率。自律エージェントが読み取る全てのウェブページが潜在的な攻撃面に。
Source: https://x.com/TomasMann1878/status/2039600029124506038
---
Slopsquatting:LLMが18-21%の確率で存在しないパッケージ名を幻覚することが判明。攻撃者がPyPIとnpmでこれらの幻覚パッケージ名を登録し悪意あるペイロードを仕込み、AI支援開発特有の新しいサプライチェーン攻撃ベクトルを生成。AIが提案するパッケージ名はインストール前に必ず検証すること。
Source: https://x.com/curioverse_th/status/2039819165457138106
---
Vibe Security Radarが2026年3月だけでAI生成コードに起因する35のCVEを報告、本番環境にはさらに5-10倍が潜在と推定。AIネイティブ組織はコード生成、依存関係管理、エージェントオーケストレーションにわたる根本的に拡大した攻撃面を抱えており、今週それらが同時に攻撃を受けている。
Source: https://x.com/iototsecnews/status/2039511752489234826
Comments