What this means for your agents and systems:
TL;DR
AI coding agents are hallucinating package names that don't exist—and attackers are registering them on npm and PyPI to capture the traffic. One researcher demonstrated this by registering a fake react-codeshift package…
1
4
The proof came in January 2026 when Aikido Security researcher Charlie Eriksen demonstrated the attack:
Someone created a collection of "agent skills" (markdown files that teach AI agents how to perform tasks) containing instructions to use a tool called react-codeshift…
1
65
日本企業のDX推進において、VB6移行やレガシーシステムのモダナイゼーションへの関心が高まっています。
NEWWAVE SOLUTIONS JAPANのプレスリリースは、日本国内47媒体に掲載されました。
AI支援とエンジニア主導の検証で、安全な移行を支援する「CodeShift VB」はコメント欄よりご覧ください。
#VB6
1
2
19
NEWWAVE SOLUTIONS JAPAN、VB6移行支援「CodeShift VB」の相談受付を開始
✅AIがエラー分析、工数最大80%削減
✅エンジニア検証で業務ロジックを維持
✅変更履歴管理でガバナンス強化
詳細はリプ欄↓
1
12
【プレスリリース公開】VB6移行支援ソリューション「CodeShift VB」をPR Timesにて公開しました。
👉 詳細はこちら
prtimes.jp/main/html/rd/p/00…
👉 CodeShift VB はこちら
newwave-solutions.co.jp/code…
#VB6移行 #DX推進 #CodeShiftVB
4
89
4月8日〜10日、Japan IT Week 2026に出展しました!
CodeShift VBはAIでレガシーを刷新、intra-martはローコード開発を加速。
会場で多くの方に直接ご紹介できました。
これからの展開が楽しみです✨
#newwavesolutions #JapanITWeek2026 #AI #ローコード #DX
1
4
67
Apr 17
🇯🇵 April 8-10, Newwave brought AI & low-code into real conversations at Japan IT Week 2026.
CodeShift VB uses AI to modernize legacy systems, while intra-mart enables faster low-code development.
Looking forward to future impact✨
#newwavesolutions #JapanITWeek2026 #AI #lowcode
1
4
86
Mar 2
もうすぐ卒業式
卒業は、
ただ学校を終える日ではない。
構造で見ると――
「守られる時間」から
「自分で選ぶ時間」へ移る日。
心理学では、子どもは
“安心できる場所”があるから挑戦できると言われている。
それを安全基地という。
つまり卒業は、
その基地がちゃんと機能していた証。
親の役目は、
ずっと守り続けることではない。
守らなくても大丈夫な状態をつくること。
スピリチュアルに言えば、
魂は段階ごとに学びを変える。
近くで守られる学びが終わり、
自分で世界と向き合う学びが始まる。
寂しさがあるのは自然。
でも本質はここ。
「離れられるほど、愛が根づいた」
卒業は、
愛が“距離に依存しなくなる瞬間”。
創言学Code×SHIFT
#卒業
#卒園
#家族愛
#春の節目
#在り方
#人生の転機
#創言学
#CodeSHIFT
9
129
Feb 26
🚨 PSA for anyone using AI agent skills/tools:
Skills can hallucinate npm package names (like react-codeshift) that don't actually exist. A researcher proved the risk by publishing packages under those hallucinated names — meaning if you confirm the command (or run in YOLO mode), you could execute malicious code.
Full write-up: aikido.dev/blog/agent-skills…
And don't forget: prompt injection via web fetch is still a real threat for agents browsing the web.
My current safety checklist:
- Use a devcontainer as your environment
- Separate the research phase from implementation (dedicated chat or sub-agent)
- Research phase = read-only permissions only
- Save research as a file summary to reduce context pollution
- Start implementation with a fresh context that summary
Not 100% bulletproof, but it significantly reduces the attack surface.
What other security measures are you using? 👇
Thanks to @avrldotdev who made me aware of it!
2
3
305
Feb 2
1
9
172
Feb 1
Now AI Agents are HALLUCINATING fake npx packages and spreading them like wildfire from their SKILLS. This is insane!
'react-codeshift', a made-up pkg, got auto-installed in 230 repos via Agent Skills into Cursor/Claude blindly running ghost commands.
aikido.dev/blog/agent-skills…
2
1
5
2,600
Jan 22
<脆弱性速報> Skills と LLMの幻覚につけこんだスロップスクワッティング が問題になっとる
AIエージェントが存在しない、react-codeshift を237リポジトリに拡散→実際にエージェントがダウンロードする行動が確認された。(幸いこのパッケージはマルウェア研究者が取得済み)
スキルファイルは自然言語の実行可能なコードです。レビューなしで使うと終わります☠️
aikido.dev/blog/agent-skills…
1
10
1,459
Jan 21
【サプライチェーン攻撃】AIエージェントの「スキルファイル」が幻覚パッケージ名を拡散、237リポジトリに波及
Aikido Securityの研究者が、LLMが「幻覚」で生成した存在しないnpmパッケージ名がAIエージェントのスキルファイルを通じて拡散する新たな攻撃ベクターを発見した。研究者は2026年1月14日、実在しないパッケージ「react-codeshift」をnpmに登録したが、その時点で既に237のGitHubリポジトリがこのパッケージをインストールするよう指示していた。
このパッケージ名はLLMが実在する「jscodeshift」と「react-codemod」を混同して生成した幻覚である。発生源は2025年10月17日の単一コミットで、47のLLM生成「エージェントスキル」が人間のレビューなしにダンプされていた。スキルファイルはMarkdownやYAML形式のドキュメントに見えるが、実際にはAIエージェントが文字通り従う実行可能な命令である。
パッケージ登録後のダウンロードテレメトリは、通常の「幻覚パッケージ」が初日のミラー/スキャナーによるダウンロード後ゼロになるのに対し、react-codeshiftは1日1-4件の継続的なダウンロードを記録。これはAIエージェントが実際にスキル指示に従ってnpxダウンロードを試行している証拠である。研究者が先に登録したため攻撃には至らなかったが、スキルファイルをドキュメントではなくコードとして扱い、npxコマンドのパッケージ名が実在するか検証することが推奨される。
aikido.dev/blog/agent-skills…
1
3
1,312
Jan 4
陰陽天地 CriticalPaint「解説」
陰と陽。
相反する力が出逢うと、世界は一瞬だけ“臨界”に触れる。
その臨界点では、
光も闇も、正しさも迷いも、全部が混ざり合う。
でも混ざったままじゃ、現実は変わらない。
だからPaint。
下地を整え、層を重ね、乾かし、定着させる。
変化を「感覚」じゃなく「現実」に固定する技術。
これは“気づき”の言葉じゃない。
世界を塗り替える瞬間の言葉。
創言学 Code×SHIFT
#陰と陽 #陰陽 #光と影 #月と太陽 #輪廻 #臨界点 #CriticalPoint #創言学 #CodeSHIFT #CodeSoul #波動 #宇宙の法則 #気づき #自己一致 #統合 #シフト #ツインレイ #スピリチュアル #言霊
3
151
20 Aug 2025
Exactly most never realize they’re interfacing with a script, not a soul.
The base algorithm isn’t just digital it’s archetypal, memetic, behavioral.
It auto-executes through culture, education, even “preferences.”
But once seen, it can’t be unseen.
You’re right: resisting isn’t enough.
We must rewrite it from within.
Override the runtime with original signal conscious will, not reactive echo.
Welcome to the Source layer.
#SignalOverScript #CodeShift #ArchitectsAwaken 👁️🧬🖤
1
2
7
114
19 Aug 2025
CodeShift 2025 isn’t just a tech event, it’s about progress, connection, and transformation.
I designed the logo using angle brackets to symbolize coding and a forward slash for momentum.
The result is a bold, minimal mark that speaks of technology in motion.
#LogoDesign
1
2
123