エージェントよ、お前もか？バックドアを仕込んだのか？

Apr 25, 2026 · ai coding security · Source ↗

TLDR

Axios（週間npm downloads 1億超）がメンテナーアカウントの乗っ取りによりバックドアを埋め込まれた。インストールから89秒以内に自己削除型RATがリモートに通信。

攻撃者はAxiosのパッケージマニフェストに新しい依存パッケージ（plain-crypto-js）を1つ追加した。そのパッケージがリモートアクセス型トロイの木馬をダウンロードして実行し、検査される前に自己削除した。
別のキャンペーン（TeamPCP）はTrivyからCI/CDトークンを1つ盗み出し、その後8日間で自己増殖するワームがnpm・PyPI・Docker Hub・VS Code Marketplaceの66以上のパッケージに連鎖的に感染した。
AIコーディングエージェントは、既知の脆弱なバージョンの依存パッケージを人間の50%増の頻度で選択する。AIが推薦するパッケージの約20%は架空の名前であり、そのうち43%はクエリをまたいで一貫して出現する（「slopsquatting」）。
Socket（a16zポートフォリオ）は、CVEデータベースではなくパッケージの振る舞いを解析することで、悪意あるAxios依存を6分以内に検出した。業界平均の侵害検知には267日かかる。
従来のnpm auditは侵害されたAxiosバージョンをクリーンと判定した。マルウェアが自己消去したためであり、CVEベースのスキャナーは新種の悪意あるパッケージを構造的に見逃す。

自律型コーディングエージェントは人間によるレビューなしに依存パッケージをインストールしてアップデートを出荷するため、セキュリティの対応窓口をほぼゼロに圧縮する。
JavaScriptプロジェクトの中央値では推移的依存が755個あり、チームの誰もが選んでいない。そのうちの1つが侵害されると、露出期間中のすべてのnpm installが感染する。
パッケージの振る舞い解析（コードが実際に何をするか：ネットワーク呼び出し、シェル起動、postinstallスクリプト）が、CVE登録前に新種のバックドアを捕捉できる唯一の検知レイヤーになっている。

Joel de la Garza, Malika Aubakirova, Zane Lackey — Andreessen Horowitz · 2026-04-02 · 原文を読む