GMO Flatt Security「Takumi byGMO Guard 功能」，單日套件下載量突破 2,000 萬次

GMO 網際網路集團旗下、以「成為工程師的後盾」為使命，專為產品開發組織提供網路安全相關事業的 GMO Flatt Security 株式會社（代表取締役社長：井手 康貴，以下簡稱「GMO Flatt Security」）宣布，其於 2026 年 3 月開始提供的資安 AI 代理「Takumi byGMO」（以下簡稱「Takumi」）的「Guard」功能，於 5 月 19 日創下單日套件下載量突破 2,000 萬次的紀錄。自 4 月上旬達到 1,000 萬次以來，僅約一個月便成長翻倍，顯示「Guard」功能作為開發第一線「邊境管制」的新基石，正迅速普及導入。

「Guard」功能是什麼：在安裝前阻擋惡意套件

「Guard」功能是介於套件登錄檔（Registry）與工程師開發環境之間的代理程式（Proxy）。它會在下載套件時即時驗證是否具有惡意。被判定為惡意的套件，在抵達開發者終端設備或 CI/CD 環境之前就會自動被阻擋。導入過程只需在終端機執行一行特定指令即可完成，無需變更現有程式碼或作業流程。

SBOM 管理工具等現有方案，大多採用對已安裝套件進行事後掃描的機制，無法防範惡意軟體入侵本身。然而，在 3 月發生的「axios」遭駭事件中，儘管惡意版本在 npm 上發布的時間僅約 3 小時，但在這短時間內進行常規安裝操作的開發環境卻受到了廣泛損害。由於「Guard」功能是在安裝時介入，因此能防患未然，阻止這類惡意套件的入侵。

目前除了 npm 之外，也支援 PyPI 與 RubyGems，能夠橫跨主要套件生態系統進行防護，且無論個人或法人皆可免費使用。此外，針對考慮為組織全體終端設備進行批次導入的企業客戶，也提供透過管理工具進行批次設定的功能（付費）。

導入量急遽增加的背景：接連發生的軟體供應鏈攻擊喚醒危機意識

「Guard」功能之所以能迅速導入，推測與 2026 年接連發生的軟體供應鏈攻擊有很大關聯。

2026 年 3 月底，每週下載量高達 1 億次的 HTTP 客戶端函式庫「axios」遭到入侵，對包含間接相依性套件在內的廣泛範圍造成了影響。該入侵事件起因於對單一維護者進行的社交工程攻擊，這成為了一個轟動的案例：僅僅一個知名套件遭到入侵，便對全世界的系統帶來了風險。

此外，寫程式代理 AI（Coding Agent）的普及擴大了遭受攻擊的風險。AI 能在不負責任的情況下自主安裝套件，導致最終必須由人類來驗證安全性的負擔增加，產生了「結構性問題」。特別是隨著自己不寫程式、僅透過對 AI 下達指令來進行開發的「Vibe coding」逐漸普及，導致沒有開發經驗的使用者直接接受 AI 的提案，在不知不覺中依賴了安全性驗證不足的套件，這類情況也日益增加。

在這些接連遭駭的情況下，開發第一線對抗軟體供應鏈攻擊的意識提高，「Guard」功能的單日下載量自 2026 年 4 月上旬起持續超過 1,000 萬次，並在 5 月 19 日達到了 2,000 萬次以上。

預期未來軟體供應鏈攻擊將持續高度化且不斷發生，因此在「邊境」進行防護仍然是不可或缺的。在這種危機意識的推動下，包含「Guard」功能在內的「Takumi」各項功能，正以資安意識較高的開發組織為中心擴大導入。