技術的な説明
2026年5月11日、攻撃者は guardrails-ai Python パッケージの悪意のあるバージョン(バージョン 0.10.1)を PyPI に公開しました。悪意のあるパッケージには、インストールマシンからアクセス可能な認証情報を流出させる埋め込みコード(CWE-506)が含まれています。セキュリティ研究者は公開から約2時間以内にパッケージを特定し、隔離しました。CVE は 2026年6月5日に正式に割り当てられ、公開されました。Guardrails AI のメンテナーは、テレメトリーが彼ら自身のインフラストラクチャーを通じた流出がないことを示していますが、インストール時に影響を受けたマシン上に存在していた認証情報はすべて流出したと考えるべきです。
攻撃経路
依存関係のインストール: 2026年5月11日に 'pip install guardrails-ai==0.10.1' を実行した開発者または CI/CD パイプラインは、悪意のあるペイロードを実行したでしょう。攻撃者は、正当なパッケージ名で公開するために、タイポスクワッティングまたはアカウント乗っ取りベクトルを使用しました。
影響を受けるシステム
2026年5月11日に PyPI から guardrails-ai バージョン 0.10.1 がインストールされたシステム。Guardrails AI は LLM アプリケーションに検証とセーフティレールを追加するための広く展開されている Python フレームワークであり、エンタープライズ AI パイプライン全体で使用されています。
緩和策
guardrails-ai 0.10.2 にアップグレードするか、0.10.0 にダウングレードしてください(両方とも影響を受けません)。バージョン 0.10.1 をインストールしたマシンからアクセス可能なすべての認証情報をローテーションしてください。これには以下が含まれます: GitHub PAT、クラウドプロバイダーキー(AWS/GCP/Azure)、パッケージレジストリトークン、および LLM API キー。GitHub アカウントを不正なワークフローまたはリポジトリについて監査してください。pip インストールログと CI/CD ジョブ履歴でバージョン 0.10.1 を確認してください。