OpenAI、Anthropic、Metaは50日間で計4件のサプライチェーン関連インシデントに見舞われました。うち3件は攻撃者主導で、1件はパッケージングの人為的ミスでした。いずれもモデル自体を狙ったものではなく、リリースパイプラインや依存関係のフック、CIランナー、配布前のゲートに共通する監査の空白が浮き彫りになったと報告されています。
2026年5月11日には自己増殖型ワーム「Mini Shai-Hulud」が、npmの@tanstack/* 42パッケージに対し6分で84件の悪性バージョンを公開しました。release.ymlの経路でGitHub Actionsの設定不備やキャッシュ汚染、OIDCトークンの抽出を連鎖させ、TanStackの信頼されたリリース工程を乗っ取ったとされています。悪性パッケージは正しいリポジトリとワークフローから発行され、SLSA Build Level 3の暗号学的証跡も有効だったとされます。
さらに2日後、OpenAIは従業員2台の端末が侵害され、社内コードリポジトリから認証情報が持ち出されたことを確認しました。OpenAIはmacOSセキュリティ証明書を無効化し、6月12日までに全デスクトップ利用者へアップデートを求めています。
同期間には、OpenAI Codexのコマンドインジェクション、LiteLLMのPyPI汚染とMercor侵害、AnthropicのClaude Codeでのソースマップ漏えいも発生しました。これらは攻撃の有無にかかわらず、いずれも「リリース工程側の防御・検証が不足していた」ことを示す例だと位置づけられています。
記事は、モデル評価やシステムカードだけではカバーできない領域として、CIランナー境界、OIDCスコープ、依存ライフサイクル、レジストリ公開ゲートをベンダー質問票に追加し、社内パイプラインでも検証するよう求めています。
参照元:2026/05/19 「Four AI supply-chain attacks in 50 days exposed the release pipeline red teams aren’t covering」 https://venturebeat.com/security/supply-chain-incidents-openai-anthropic-meta-release-surface-vendor-questionnaire-matrix
この記事へのリアクション
このニュースをどう受け止めましたか?
コメント