Ward: オープンソースツールがnpmインストールを傍受し、Claude Codeユーザーのサプライチェーン攻撃をブロックします
Wardは、[email protected]侵害事件を受けてVanguard Defense Solutionsが開発したオープンソースのセキュリティツールです。パッケージマネージャーにフックし、インストールスクリプトが実行される前にすべてのパッケージをチェックします。
Claude Codeがあなたに代わってnpm installを実行する際、Wardは自動的にパッケージをスクリーニングします。このツールには、すべてのインストールコマンドを実行前にインターセプトするClaude Codeフックが含まれており、手動介入の必要性を排除します。
主な機能
- 既知のマルウェアパッケージをブロック
- タイポスクワットを検出(「axxios」のようなパッケージが「axios」のような正規パッケージに似ている場合に警告)
- 不審なインストールスクリプトをフラグ付け
- バージョン異常を識別
- 42種類の検証済み実世界攻撃パターンを同梱
出力例
$ npm install [email protected]
✗ ward: BLOCKED
このバージョンはSSHキーとクラウド認証情報を盗みます
安全なバージョン: 1.14.0インストール方法
npm install -g wardshield
ward initこのツールはMITライセンスで、286のテストを含みます。サプライチェーン攻撃への懸念を受けて、Claude Codeコミュニティ向けに特別に開発されました。
追加リソースとして、wardshield.comのライブ脅威フィードと、Vanguard-Defense-Solutions/wardのGitHubリポジトリが利用可能です。
📖 Read the full source: r/ClaudeAI
👀 See Also
AIエージェントのセキュリティ分析により、信頼モデルの破綻と高い脆弱性率が明らかに
AIエージェントのセキュリティ分析により、基本的な信頼モデルが破綻していることが示された。MCPパッケージの49%にセキュリティ上の問題があり、間接的インジェクション攻撃は最先端モデルに対して36〜98%の攻撃成功率を達成している。
セキュリティアラート:LiteLLM内の悪意あるコードがAPIキーを盗む可能性あり
LiteLLMでAPIキーが漏洩する可能性のある重大なセキュリティ脆弱性が発見されました。OpenClawやnanobotのユーザーは影響を受ける可能性があるため、ソースに記載されているGitHubのIssueを確認してください。
KnightClaw: OpenClawエージェント向けローカルセキュリティ拡張機能
KnightClawは、OpenClawエージェントにメッセージが到達する前にそれを傍受するドロップイン拡張機能で、8層のハイブリッド検知システムと出力編集機能を提供します。完全にローカルで動作し、テレメトリーは一切なく、MITライセンスで提供されています。
protobuf.jsライブラリにおける重大なRCE脆弱性
protobuf.jsバージョン8.0.0/7.5.4以前における重大なリモートコード実行脆弱性により、悪意のあるスキーマを通じてJavaScriptコードの実行が可能となります。バージョン8.0.1および7.5.5で修正パッチが提供されています。