詳細を読む
2026年3月下旬から5月中旬の50日間に、OpenAI・Anthropic・Metaの3社に関わるサプライチェーンインシデントが4件連続で発生しました。いずれもAIモデル自体への攻撃ではなく、リリースパイプライン・依存関係・CI/CDランナー・パッケージングという、モデルのシステムカードやレッドチーム演習がカバーしない領域が突かれました。モデル安全性評価とリリース基盤の防御は別の専門領域であり、後者への投資が決定的に不足していることが浮き彫りになっています。
最大の衝撃は5月11日に発生したTanStackワーム「Mini Shai-Hulud」です。攻撃者はGitHub Actionsの設定不備とOIDCトークン抽出を連鎖させ、正規のSLSA Build Level 3署名付きで84の悪意あるnpmパッケージを6分で公開しました。暗号署名による信頼モデルが設計どおりに動作しながら、悪意あるアーティファクトを生成するという前例のない事態です。ワームはMistral AI・UiPathなど160以上のパッケージに拡散し、OpenAI社員の端末2台も侵害されました。
3月にはLiteLLMの汚染版がPyPIに40分間公開され、約4万7000回ダウンロードされました。これがAIデータ企業Mercorに波及し、Metaの訓練手法を含む4テラバイトが流出。Metaは提携を無期限凍結し、5日以内に集団訴訟が提起されました。また、Anthropicは.npmignoreの記載漏れにより、Claude Codeのソースマップ59.8MBをnpmに公開してしまい、エージェント制御ロジックやシステムプロンプトが閲覧可能な状態になりました。
VentureBeatは、AIベンダー審査に欠けている7つのリリース面カテゴリを整理したマトリクスを提示しています。具体的な対策として、CI/CDランナーの信頼境界の監査、フォークコードのベースリポジトリ実行遮断、署名をリポジトリ単位でなくブランチ・ワークフロー単位で固定すること、ビルド成果物の人的レビューゲート設置などが挙げられています。
セキュリティ責任者への提言は3点に集約されます。ベンダー審査書にリリースパイプラインのレッドチーム実施日と範囲を問う項目を追加すること、自社のCIパイプラインに対してTanStackワームの検出パターンを今週中に適用すること、そして取締役会に対し「暗号署名は出所を証明するが挙動は証明しない」という証明書の限界を説明し、行動分析との併用を求めることです。