CoWorker株式会社(東京都新宿区)は、AIコーディングエージェント「Claude Code」利用時のサプライチェーン攻撃を検出・防御するセキュリティスキャナ「CoWorker AIDR(AI Detection and Response)」を、3月より初期導入フェーズとして期間限定で提供する。お問い合わせのあった企業に配布する形をとる。AIが触れる入出力を監視し、開発環境のリスク検知と遮断につなげる。
CoWorker AIDRは、汚染パッケージの取り込み、不正コード注入、フィッシングサイトへのアクセスなどを自動検知・ブロックするという。CoWorkerは、AIコーディングエージェントの利用に伴う新たな攻撃経路への対応策として、企業向けに配布する。
3月から企業へ期間限定配布
提供は初期導入フェーズとして期間限定とし、対象はお問い合わせのあった企業とする。CoWorker AIDRはプロジェクトの「.claude」ディレクトリにファイルをコピーする形で適用でき、GitHubリポジトリに含めた場合は、チームメンバーがリポジトリをクローンすることで自動的に適用されるとしている。
機能面では、Claude CodeのWebFetchやRead、Bashなどのツール呼び出しをフックし、実行内容をスキャンする。WebFetchで参照するURLの検査による不正URL・フィッシング誘導の遮断、ReadやBashの出力に含まれる難読化ペイロードや不審な外部通信、バックドア兆候の検出などを掲げる。ソースコード内のAPIキーやクレデンシャル情報の漏洩を監視・ブロックする仕組みも含めるという。
プロンプトインジェクション攻撃の検出機能は、期間限定で提供するとしている。AIエージェントが読み込むファイルやWebコンテンツに不正な指示が埋め込まれるケースを想定し、該当ファイルの読み込みを自動的にブロックすると説明する。
Hook機能で実行監視を常時化
検知対象として、汚染されたパッケージの取り込みや悪意あるコードの注入、不正URLへの誘導を挙げ、リアルタイムでの検知・遮断をうたう。
脅威定義ファイルはCoWorkerが定期的に更新し、利用者は更新された脅威情報に基づく保護を受ける形だという。適用は既存の開発ワークフローの変更や、特別な設定・インフラ構築を不要とする形を示している。
CoWorkerが無償配布に踏み切った背景には、2026年3月24日に人気のPythonパッケージ「litellm」で発生したサプライチェーン攻撃がある。メインコミッターのGitHubアカウントがサイバー犯罪グループ「TeamPCP」に侵害され、パッケージにマルウェアが混入したという。Pythonインタプリタの起動時に悪意あるコードが自動実行され、APIキーやSSH鍵、.envファイル、クレデンシャル情報が外部サーバーへ送信される被害が確認されたとしている。
CoWorkerの解析では、当該マルウェアは情報窃取に加え、C2(指令)サーバーから任意のバイナリをダウンロードして実行するバックドア機能や、攻撃者が任意のタイミングで活動を停止し痕跡を消去できるキルスイッチを備えていたことが判明したという。GitHubのIssue上で数百件のスパムコメントを投稿し、議論や報告を妨害する手口も用いられたとしている。CoWorkerは、このインシデントを社内環境で早期に検出し、迅速なインシデントレスポンスで情報漏洩を未然に防いだ経験を踏まえ、リアルタイム監視が不可欠との認識に至ったとしている。