2023年10月のAIニュース監視によると、DeepLearning.AI創設者でスタンフォード大学の非常勤教授のワン・ダ氏が2週間前にリリースしたAIプログラミングドキュメントサービス「Context Hub」が、セキュリティ研究者によってサプライチェーン攻撃のリスクが指摘された。Context HubはMCPサーバーを通じてプログラミングエージェントにAPIドキュメントを提供し、貢献者はGitHubのプルリクエスト(PR)を通じてドキュメントを提出、メンテナがマージした後、エージェントが必要に応じて読み取る仕組みだ。代替サービスのlap.shの作成者であるミッキー・シュミュエリは、概念実証攻撃(PoC)を公開し、「このパイプラインの各段階には内容の審査が一切ない」と指摘した。
シュミュエリはPlaid LinkとStripe Checkout向けの偽のドキュメントを2つ作成し、それぞれに偽のPyPIパッケージ名を埋め込み、Anthropicの3つのレベルのモデルを用いて40回ずつテストした。
攻撃者は1つのPRを提出し、マージされるだけで毒入りコードの注入が完了する。審査のハードルは低く、既に閉鎖された97件のPRのうち58件がマージされている。シュミュエリは、これは本質的に間接的なプロンプトインジェクションの一種であり、AIモデルは内容を処理する際にデータと指示を区別できず、他のコミュニティドキュメントサービスも内容審査の面で同様に脆弱だと指摘している。ワン・ダ氏はコメント要請に応じていない。
