2026年6月5日、自己複製型のサプライチェーンマルウェア「Miasmaワーム」が、AIコーディングツールを経由してMicrosoftのAzureおよびAzure-Samplesを含む73のGitHubリポジトリへの侵害に成功しました。AIが生成するコードを攻撃経路として悪用するという、これまでにない手口が明らかになっています。
Miasmaワームは、AIコーディングアシスタントが出力するコードにマルウェアコードを埋め込む形で感染を広げたとされています。開発者がAIの提案をレビューせずにそのままコミットするワークフローの脆弱性を突いており、リポジトリへのコミットを通じて次のリポジトリへと自己複製していく仕組みです。サプライチェーン攻撃(開発ツールや依存関係を介した攻撃)の新形態として、セキュリティ業界全体に強い警戒を呼びかけています。
X上では「AIコーディングアシスタントがサプライチェーン攻撃の新たな侵入口になった」という警告が急速に拡散し、セキュリティ研究者コミュニティに大きな衝撃を与えました。Reddit の r/netsec では影響を受けたリポジトリの詳細とミティゲーション方法についての情報共有が行われ、AIコード生成のセキュリティレビューの必要性が強調されています。Hacker News では「AIが生成したコードをそのままコミットする習慣の危険性」について2日間にわたる長期スレッドが展開され、コードレビュープロセスの見直しを訴える声が多数上がりました。
この事件は、AIを使ったコーディングが開発の主流となりつつある中で、AI生成コードのセキュリティレビューがいかに重要かを改めて突きつけるものです。「AIが書いたコードだから大丈夫」という油断が攻撃者に悪用される時代が到来しており、AIを活用する開発現場でのセキュリティプロセスの抜本的な見直しが急務となっています。