PyTorch LightningライブラリでShai-Huludテーマのマルウェア発見
原題: Shai-Hulud Themed Malware Found in the PyTorch Lightning AI Training Library
なぜ重要か
AI開発で広く使われるライブラリへの攻撃は、機械学習エコシステム全体のセキュリティ脆弱性を浮き彫りにした
セキュリティ企業Semgrepが、AI訓練ライブラリPyTorch Lightningの依存関係において悪意のあるコードを発見したと発表した。このマルウェアはShai-Huludというテーマ名が付けられ、オープンソースソフトウェアのサプライチェーン攻撃の一例として警告が発せられた。
セキュリティ企業Semgrepは、広く利用されているAI機械学習訓練ライブラリPyTorch Lightningの依存関係において、Shai-Huludというテーマ名の悪意のあるコードが発見されたことを報告した。PyTorch Lightningは深層学習モデルの訓練を簡素化するためのフレームワークとして、AI開発者の間で広く採用されている。今回発見されたマルウェアは、オープンソースソフトウェアのサプライチェーン攻撃の典型例として位置づけられている。攻撃者は正規のパッケージの依存関係に悪意のあるコードを仕込むことで、開発者が気づかないうちにシステムに侵入する手法を用いた。Semgrepは同社のサプライチェーンセキュリティ製品を通じてこの脅威を検出し、コミュニティに警告を発した。同社は開発者に対し、依存関係の定期的な監査と信頼できるソースからのパッケージ使用を推奨している。この発見は、AI開発エコシステムにおけるセキュリティリスクの高まりを示すものとして注目されている。