7月7日、The Hacker Newsが「What Changes When Your Software Supply Chain Includes AI Writing Your Code?」と題した記事を公開した。AIがコードを書く時代においてソフトウェアサプライチェーンセキュリティの「プロベナンス管理」がどう変質するかを、具体的な攻撃シナリオとともに論じている。
「何が入っているか」から「誰が書いたか」へ
過去5年間、ソフトウェアサプライチェーンセキュリティの核心は一つの問いだった――「あなたのコードには何が入っているか?」。SolarWinds、Log4Shell、XZ Utilsといった一連のインシデントが示した教訓は、チームが自ら書いたコードよりも、それを生み出す周辺環境(依存関係、ビルドパイプライン、ツールチェーン)にリスクが潜むということだ。
しかし記事は、この問いだけではもはや不十分だと指摘する。
元記事によれば、2025年に確認された「Shai-Hulud」と呼ばれるキャンペーン――開発者ツールチェーンを経由して自己増殖する悪意あるパッケージ群――は、次の教訓をもたらした。何が入っているかを把握することは必要条件だが、十分条件ではなくなった、と。
Model Context Protocol(MCP)が登場してから約20ヶ月、AIツール・モデル・その周辺インフラは、ソフトウェアのビルド・デプロイ・運用の「荷重を担う部品」になった。エージェントがコードを書き、自律ツールが必要と判断したパッケージを引き込む。プロンプトがビルドへの実質的なインプットになったということは、プロンプト自体が攻撃経路になったことを意味する。
リスクが移動した場所
AIが生成したコードを「ただのコード」として既存のスキャナーに通せば対処できる、という発想は的外れだと記事は断言する。
サプライチェーンセキュリティを定義してきたプロベナンス(来歴・出所)の問い――「これはどこから来たのか、信頼できるのか」――は今や、成果物だけでなくモデル、エージェント、ツーリングにも適用しなければならない。
具体的な攻撃シナリオとして記事が挙げるのは3つだ:
- AIコーディングアシスタントが依存パッケージを提案し、開発者がそれを人間のスレットモデルを介さずに受け入れる
- 自律エージェントがタスク完了のためにMCP経由でツールを呼び出し、そのツールがさらに別のツールを呼び出す連鎖
- 攻撃者が細工したプロンプトをモデルが読む場所に仕込み、書かれるコードや引き込まれるパッケージを操作する(プロンプトインジェクション攻撃)
AIが生成したコードをコミット前に検証することは「最低限の前提条件」に過ぎず、本質的な課題はエージェントとそれが呼び出すツールのガバナンスだと記事は結論づける。
セキュリティプログラムに必要な2つの変化
記事によれば、現場のチームに知見が足りないわけではない。むしろ発見事項が多すぎて溺れている状態だ。「AIの出力もスキャンする」を過負荷のキューに追加しても、アラートの山が高くなるだけでプログラムは強化されない。
AIを本当にスコープに含めたとき、変えるべきことは2点ある:
1. リネージ(来歴追跡)をパイプライン全体に拡張する
最初のコミットからランタイムまで、アクティビティ・プロベナンス・設定変更を追跡し、モデルやエージェントにも他の依存関係と同等の厳格さを適用する。
2. 優先度付けを「件数」ではなく「実際の悪用可能性」で行う
発見事項をランタイムコンテキスト(実際に到達可能かどうか)と紐付けることで、単なる脆弱性リストを実際に対処できる攻撃チェーンの情報に変える。エージェントが午前中に1,000行のコードを生成できる時代には、この差がより大きな意味を持つ。
なお参考情報として、Gartnerは2026年6月にソフトウェアサプライチェーンセキュリティ分野で初となるMagic Quadrantを公開しており、この領域への注目度の高まりを示している。
OX Securityによるウェビナー(※スポンサードコンテンツ)
7月22日、OX Securityの研究者が「How AI Is Reshaping Supply Chain Security As We Know It」と題したウェビナーを開催予定だ。AIがアタックサーフェスをどう変えたか、野生のMCPサーバーを初めて体系的に調査した研究の知見、AIをスコープに組み込んだサプライチェーンセキュリティプログラムの実態が共有されるという。
詳細はWhat Changes When Your Software Supply Chain Includes AI Writing Your Code?を参照していただきたい。