はてぶ・Qiita・Zennのトレンド記事を紹介
脆弱性は、ソフトウェアやシステムに存在するセキュリティ上の弱点です。攻撃者に悪用される前に、早期発見と対策が重要です。
AIで脆弱性が増えた今、実際に悪用されているのは何なのか? 🔖 2
免責事項本記事は公開情報をもとにした個人的な整理であり、所属組織を代表するものではありません。引用した数値は各レポートの公開時点のものです。 はじめに「AIの進化で、脆弱性の悪用が急増している」——ニュースやレポートでよく目にする話です。確かに、公開されるCVEの件数
CVE-2026-49975「HTTP/2 Bomb」をわかりやすく解説——AIが人間より先に気づいた脆弱性 🔖 67
TL;DR CVE-2026-49975(通称 HTTP/2 Bomb)は、HTTP/2 の仕様上の組み合わせを悪用したリモート DoS 脆弱性 OpenAI Codex が nginx・Apache・IIS・Envoy・Cloudflare Pingora の 5 つの主要 W
【重要】HTTP/2の脆弱性対策に伴う、サーバー設定一時変更のお知らせ | さくらインターネット 🔖 35
お客さま各位 平素よりさくらインターネットをご利用いただき、誠にありがとうございます。 「さくらのレンタルサーバ」で利用されているHTTP/2通信に関して、外部からの攻撃によりサービスが停止する可能性がある脆弱性が公表されました。 本脆弱性への暫定対策として、弊社では対象サービス
GitHubのアクセストークンが「リンクを1回クリックしただけ」で盗まれる脆弱性が報告される 🔖 36
GitHubのブラウザ版開発環境「github.dev」で、細工されたリンクをクリックするだけでGitHubの認証トークンが盗まれる可能性があった脆弱(ぜいじゃく)性が報告されました。 1-Click GitHub Token Stealing via a VSCode Bug
エージェントに「脆弱性を探して」はなぜ失敗するのか──Cloudflareが50+リポで示したharnessの正体 🔖 4
!最先端AIを技術の中身まで日本語で読み解く「AIウォッチ」の深掘り記事です。題材は Cloudflare の "Project Glasswing: what Mythos showed us"(2026-05-18)。一次情報(Cloudflare 公式ブログ)の全文を当た
Microsoft、事前共有なしのゼロデイ脆弱性公表を批判 バグハンターと対立 🔖 21
協調的脆弱性開示(CVD)とは、研究者が発見した脆弱性をベンダーやベンダーへの報告が可能な政府機関・民間機関などに共有し、修正プログラムを用意したあと一般に公開する仕組みを指す。 同社は、脆弱性を悪用する犯罪者やその助長者への訴訟を継続し、必要に応じて各国の法執行機関と連携してい
「Claude Mythos」が1万件以上の脆弱性を発見 しかし修正追い付かず Anthropicが報告書 🔖 21
米Anthropicは5月22日(現地時間)、今年4月に立ち上げたセキュリティプロジェクト「Project Glasswing」の初期報告について、同社が別途進めてきたオープンソースソフトウェアの検査結果と合わせて公表した。 Project Glasswingとは、Anthrop
Claude Mythos Previewは深刻度「高」以上と推定される脆弱性候補を6202件発見、日本の銀行でも利用に向けた動きが進む高性能AIの初期レポートが公開される 🔖 16
ソフトウェアの脆弱(ぜいじゃく)性を探す作業はこれまで、専門知識を持つセキュリティ研究者がコードを読み、問題が本当に悪用可能かどうかを検証するという時間のかかる作業でした。しかし、Anthropicが開発した高性能AI「Claude Mythos Preview」は、脆弱性の発見
脆弱性の“発見”から“修正”がボトルネックに 「Mythos Preview」で見えた成果と課題感 🔖 11
Anthropicは2026年5月22日(現地時間)、AIを活用したサイバー防衛計画「Project Glasswing」の初期成果を公表した。高度なAIモデル「Claude Mythos Preview」(以下、Mythos Preview)を使い、重要インフラを支えるソフトウ
XSS(クロスサイトスクリプティング)とは?脆弱性の診断方法と対策 🔖 1
こんにちは。 エニグモのWebアプリケーションエンジニアのレミーです! Webセキュリティにおいて最も頻繁に発生する脅威の一つがXSS(クロスサイトスクリプティング)です。ユーザーに大きな被害をもたらし、企業の信頼を失墜させるこの脆弱性について、その仕組みから対策まで解説します。
脆弱性診断・脅威モデリングを行うセキュリティエージェントを実装しました 🔖 34
こんにちは!システムセキュリティ推進グループの小笠原 (@gassara5) です。 最近では連日の ...
OpenClawで脆弱性情報収集と自社システムチェック判定を定期自動稼働させた 🔖 129
はじめに 脆弱性情報の収集は、CVE一覧を眺めるだけだと運用に乗りにくいところがあります。 特に、以下のような環境では「このCVEは自社のどのサーバーに関係しそうか」を毎回人間が判断する必要があります。 本番、検証、踏み台、DB、メールなど役割の違うサーバーが混在している OSや
AIミュトスで脆弱性1万件超発見 アンソロピック「企業は早く修正を」 - 日本経済新聞 🔖 47
【シリコンバレー=伴正春】米アンソロピックは22日、高性能な人工知能(AI)モデル「ミュトス」を利用した企業で、危険度が高いソフトの「脆弱性」が1万件以上見つかったと発表した。同レベルのAI公開に備え、企業はソフトの修正対応を早める必要があるとした。同社は4月、ミュトスについてサ
Linuxカーネルに深刻な脆弱性 PoCでは100回から2000回の試行で悪用成功 🔖 16
Linuxカーネルに、重大な権限昇格につながる脆弱(ぜいじゃく)性が見つかった。カーネル内部の欠陥として報告されており、識別番号は「CVE-2026-46333」。一般ユーザー権限しか持たない攻撃者でも、条件次第でroot権限ユーザーしか読めない機密ファイルにアクセスできる恐れが
CloudflareがAnthropicの未公開AIモデル「Mythos」を検証、脆弱性の調査で見えた実力とは? 🔖 12
Cloudflareが、Anthropicのセキュリティ特化AIモデル「Claude Mythos Preview」を使い、50件を超えるリポジトリで脆弱(ぜいじゃく)性の検証を行った結果を公開しました。 Project Glasswing: what Mythos showed
Anthropicの「Mythos」でCloudflareがサイバー防衛テスト──脆弱性発見から悪用までが数分に短縮と警告 🔖 25
米CDN大手のCloudflareは5月18日(現地時間)、サイバーセキュリティの防衛を目的とした取り組み「Project Glasswing」の一環として、Anthropicのプレビュー版AIモデル「Mythos Preview」を自社の50以上のリポジトリでテストした結果を公
AI「Claude Mythos」脆弱性対策、民間・海外と協力 政府が関係省庁会議 - 日本経済新聞 🔖 10
政府は18日、新型の人工知能(AI)モデル「Claude Mythos(クロード・ミュトス)」を巡る関係省庁会議の初会合を開いた。今後出現が想定される高性能AIからのサイバー防御体制を官民で迅速に構築するための対応策を示した。会議にはサイバー安全保障担当の松本尚デジタル相をはじめ
AI使い脆弱性点検、システム提供元に要請 国の「ミュトス」対応案 - 日本経済新聞 🔖 34
政府がまとめる新型人工知能(AI)「Claude Mythos(クロード・ミュトス)」の対応案の全容が判明した。サイバー防御を強めるための企業向け指針をつくる。情報システムの提供企業にAIで脆弱性を点検するよう求める。18日に松本尚デジタル相をトップとする関係省庁会議を開いて対応
nginxに18年前から存在する重大な脆弱性が発見される | gihyo.jp 🔖 33
オープンソースのWebサーバーnginxで2026年5月13日、2008年から存在するヒープバッファオーバーフローを引き起こす深刻度:緊急(Critical)を含む4つの脆弱性が報告された。この脆弱性はnginxのバージョン0.6.27~1.30.0に存在し、最新のnginx-1
NGINXのrewrite機能に「緊急」の脆弱性 “見落とし設定”がRCEの入り口に 🔖 23
depthfirstは、オープンソースのWebサーバ・リバースプロキシソフトウェア「NGINX」の書き換え機能に存在していた深刻な脆弱(ぜいじゃく)性「CVE-2026-42945」を公開した。 対象となるのは「NGINX Open Source」と「NGINX Plus」で、細
セキュリティ診断AIツールTakumiを使った、脆弱性診断の現状 — HACK The Nikkei 🔖 76
はじめに 日本経済新聞社のCDIO室でセキュリティエンジニアとしてインターンをしている佐藤浩一郎です。 昨今、AIを活用した開発ツールが一般化し、プロダクト開発のスピードは飛躍的に向上しました。しかし、その裏側では「開発速度に対してセキュリティチェックが追いつかない」という新たな
Claude Mythosの「脆弱性発見能力が高い」というのは誇大宣伝だとcURL開発者が指摘 🔖 20
ソフトウェアの脆弱(ぜいじゃく)性を発見する能力が高いため悪用されるリスクがあるとして発表されたAnthropicのAI「Claude Mythos」について、cURLの開発者であるダニエル・ステンバーグ氏が「誇大宣伝でただのマーケティング戦略だ」と一蹴しました。cURLをCla
サイバー犯罪グループがAIを使って2要素認証を回避できるゼロデイ脆弱性を発見していたとGoogleが報告 🔖 20
近年のAIはあまりに性能が高いため、「誰も気付いていなかったソフトウェアの脆弱(ぜいじゃく)性」を発見することが可能となり、サイバーセキュリティ上の脅威になっていると指摘されています。新たにGoogle脅威インテリジェンスグループ(GTIG)が、「著名なサイバー犯罪の脅威アクター
米国、海外製ルーター禁止 中国系TP-Linkに“異常なレベルの脆弱性” 🔖 278
米国の連邦通信委員会(FCC)が2026年3月23日から、外国製のルーターの輸入規制をはじめた。 この日、規制の対象となる製品のリストに「外国で製造されたルーター」が追加された。規制対象は、すべての消費者向けのルーターを含む。3月23日までにFCCの承認を得ている製品については、
AI生成の「ゴミ報告」が殺到、対応追い付かず疲弊……脆弱性発見の懸賞金制度に異変 🔖 120
オープンソースソフトウェア(OSS)の脆弱性に懸賞金をかけて発見を促し、対応を支援してきた米セキュリティ企業のHackerOneが、新規の報告受け付けを停止している。AIで生成された質の低い脆弱性報告の激増が原因といい、影響は主要OSSプロジェクトに及ぶ。同様の懸賞金プログラムを
Linuxの主要ディストリビューションに影響がある深刻な脆弱性「Dirty Frag」 🔖 31
ほぼすべての主要なLinuxディストリビューションでローカルユーザーがroot権限を取得可能な脆弱(ぜいじゃく)性「Dirty Frag」が報告されました。セキュリティ専門家によると攻撃の成功率は極めて高く、また、攻撃に失敗してもカーネルパニックを引き起こさないため危険性も高いと
「Linux」に極めて重大な脆弱性--「Copy Fail」発覚 🔖 196
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「Copy Fail」として知られる「CVE-2026-31431」は、2017年から潜伏していた「Linux」カーネルの深
「開発者はシークレット使うな」「NISTが脆弱性全件分析、断念」 セキュリティの“前提”が揺らぐ 🔖 23
GitHubが開発者向けのセキュリティ対策として「シークレット」管理の重要性を説き、NIST(米国国立標準技術研究所)が脆弱(ぜいじゃく)性データベース「NVD」の運用方針を見直すなど、IT環境を取り巻くセキュリティの“前提”が大きく変化している話題が注目を集めました。Activ
【緊急】Cursorに「git clone」するだけでPCが乗っ取られる脆弱性!CVSS 9.9のヤバすぎる攻撃手法 🔖 229
結論から言うと、Cursorユーザーは今すぐバージョン2.5以上にアップデートしてください。 2026年4月28日、AIコーディングツール「Cursor」にCVSS 9.9(ほぼ満点) の致命的な脆弱性が公開されました。 あなたが悪意のあるリポジトリをgit cloneするだけで
【緊急】Cursorに「git clone」するだけでPCが乗っ取られる脆弱性!CVSS 9.9のヤバすぎる攻撃手法 🔖 229
結論から言うと、Cursorユーザーは今すぐバージョン2.5以上にアップデートしてください。2026年4月28日、AIコーディングツール「Cursor」にCVSS 9.9(ほぼ満点) の致命的な脆弱性が公開されました。あなたが悪意のあるリポジトリをgit cloneする...
Linuxカーネルの脆弱性「CopyFail (CVE-2026-31431)」をEC2のUbuntu 22.04で実証してみた 🔖 10
こんにちは!株式会社エーアイセキュリティラボのはるぷと申します。 一般ユーザーがコマンド一発でrootを取れてしまうLinuxカーネルの脆弱性、CopyFail (CVE-2026-31431) が話題になっています。AIによって発見された論理バグで、汚しても問題ないEC2環境を
GHASをパブリックリポジトリで無料試用したら、AIアプリの脆弱性が想像以上に見えた話 🔖 2
こんにちは、エーピーコミュニケーションズ ACS事業部の福井です。 最近、AI系のセキュリティ標準である OWASP AISVS(Artificial Intelligence Security Verification Standard)を勉強しながら、GitHub Advan
Linuxカーネルの脆弱性「CopyFail (CVE-2026-31431)」をEC2のUbuntu 22.04で実証してみた 🔖 127
こんにちは!株式会社エーアイセキュリティラボのはるぷと申します。 一般ユーザーがコマンド一発でrootを取れてしまうLinuxカーネルの脆弱性、CopyFail (CVE-2026-31431) が話題になっています。AIによって発見された論理バグで、汚しても問題ないEC2環境を
Linuxカーネルの脆弱性「CopyFail (CVE-2026-31431)」をEC2のUbuntu 22.04で実証してみた 🔖 127
こんにちは!株式会社エーアイセキュリティラボのはるぷと申します。一般ユーザーがコマンド一発でrootを取れてしまうLinuxカーネルの脆弱性、CopyFail (CVE-2026-31431) が話題になっています。AIによって発見された論理バグで、汚しても問題ないEC2環境を
【完結編】コードを1行も読ませずに、AIに脆弱性を100%特定させる方法(自作ツールがAIに論破された日) 🔖 1
🚀 TL;DR(忙しい人向けまとめ) 前回の「理論編」の続編。AST(抽象構文木)で抽出した「コードの構造マップ」だけをプロンプトとしてAIに渡す手法の実証編です。 自作の静的解析ツールをこの手法でAI(Gemini 3.1 Pro)に診断させた結果、コードの...
コードを1行も読ませずに、AIに脆弱性を100%特定させる方法(理論編) 🔖 139
🚀 TL;DRAI(LLM)に生のソースコードを読ませるのは、実は効率の悪い「情報の暴力」である。AST(抽象構文木)から「構造」だけを抽出したマップこそが、AIのIQを極限まで引き出す。データの流入から破綻までをグラフ理論で定義すれば、理論上、脆弱性は100%...
日本に迫るのは「石油危機」だけではない!ホルムズ海峡封鎖で露呈した日本の脆弱性といま直視すべき真の課題 🔖 38
2026年2月28日に始まった米・イスラエルによるイラン攻撃とそれに続くホルムズ海峡の事実上の封鎖は、日量約2000万バレル─世界の海上石油貿易の4分の1─を一夜にして止めた。国際エネルギー機関(IEA)が「史上最大の供給途絶」と宣言したとおり、1859年に始まった近代石油産業に
MCPに深刻な脆弱性 関連ソフトウェアのダウンロード数は1億5000万件超え 🔖 37
セキュリティ企業のOX Securityは2026年4月15日(米国時間)、AIと外部データやツールをつなぐオープンなプロトコルModel Context Protocol(MCP)の中核に、重大かつ広範囲に影響する設計上の問題が存在すると発表した。 1.5億DLに影響 MCPに
govulncheckで行う脆弱性対応 はじめに 開発本部でデリッシュキッチンプレミアム会員向けの開発を担当しているhondです! 先日axiosのサプライチェーン攻撃が話題になりました。axiosのリードメンテナのnpmアカウントがソーシャルエンジニアリング経由で侵害され、悪意
脆弱性スコア10/10の“独り歩き”に警鐘――Axiosの「深刻な欠陥」は成立困難との指摘 🔖 14
Aikido Securityは2026年4月14日(現地時間)、HTTPクライアントライブラリ「Axios」に関する脆弱(ぜいじゃく)性「CVE-2026-40175」について分析結果を公表した。この脆弱性は当初、「クラウド環境の完全侵害につながる可能性がある重大な問題」として
「MCPにシステム的な脆弱性」とセキュリティ企業が指摘 Anthropicは仕様として修正を拒否 🔖 41
MCPにシステム的な脆弱性が存在し、ダウンストリームのフレームワークやツールのユーザーが危険にさらされているとセキュリティベンダーのOX Securityが指摘している。 セキュリティ企業のOX Securityは2026年4月15日(米国時間)、広く使われているAI連携プロトコ