オープンウェイト大規模言語モデル（LLM）で知られるフランスの人工知能企業**Mistral AI**は、**Mini Shai-Hulud**ソフトウェアサプライチェーン攻撃に続くセキュリティ侵害を確認しました。当初**TanStack**パッケージを標的としていたこのインシデントは、現在**Mistral AI**にも影響を及ぼし、ソースコードの漏洩につながる可能性があります。 ### 侵害されたコードベース **Mistral AI**によると、侵害は、盗まれたCI/CD認証情報と正規のワークフローを介して、**TanStack**および**Mistral AI**の公式パッケージが侵害されたことから始まりました。この攻撃はその後、**UiPath**、**Guardrails AI**、**OpenSearch**を含むnpmおよびPyPIレジストリ上の多数の他のソフトウェアプロジェクトに拡散しました。 「彼ら（ハッカー）は一時的に、私たちのSDKパッケージの一部を汚染しました」と同社は述べています。 ### TeamPCPの要求 **TeamPCP**は、**Mistral**のトレーニング、ファインチューニング、ベンチマーク、モデル配信、および推論プロセスに不可欠な約5ギガバイトの内部リポジトリとソースコードを流出させたと主張しています。ハッカーはデータに対して25,000ドルを要求しており、1週間以内に買い手が見つからなければ公に公開すると脅迫しています。 「25kのBINを探しています。そうでなければ、この金額を支払えば永久に破棄します。最良のオファーを持つ一人にのみ販売し、1週間以内に買い手が見つからなければ、フォーラムにすべて無料でリークします」とハッカーは発表しました。  **TeamPCPハッカーがMistral AIデータの販売を申し出ている** *出典: KELA* ### Mistral AIの対応 **Mistral AI**は、**TeamPCP**が一部のソフトウェア開発キット（SDK）パッケージを侵害することに成功したことを認めています。最近の勧告で、同社は、侵害が**TanStack**サプライチェーン攻撃の影響を受けた開発者デバイスに起因すると述べています。 しかし、**Mistral**は、フォレンジック調査により、侵害されたデータはコアコードリポジトリの一部ではなかったと主張しています。 「ホストされているサービス、管理されているユーザーデータ、または研究およびテスト環境のいずれも侵害されていません」と**Mistral**は明確にしました。 ### OpenAIも影響を受ける 関連ニュースとして、**OpenAI**も、**TanStack**サプライチェーン攻撃が、「限定的なサブセットの内部ソースコードリポジトリ」にアクセスできた従業員2名のシステムに影響を与えたことを確認しました。少数の認証情報が盗まれましたが、それ以上の悪用を示す証拠はありません。 **OpenAI**はその後、インシデントで侵害されたコード署名証明書をローテーションし、サービスの中断を避けるために6月12日までにmacOSユーザーに**OpenAI**デスクトップアプリを更新するよう促しました。 ## 検証のギャップ：自動ペネトレーションテストは1つの質問に答える。あなたには6つ必要。 自動ペネトレーションテストツールは価値を提供しますが、それらは1つの質問に答えるために構築されました。攻撃者はネットワークを移動できるか？それらは、あなたのコントロールが脅威をブロックするか、検出ルールが発火するか、クラウド構成が保持されるかをテストするために構築されたものではありません。 このガイドでは、実際に検証する必要がある6つのサーフェスについて説明します。 今すぐダウンロード