#セキュリティ のAIニュース
54件の記事
セキュリティタブが「セキュリティ&品質」に名称変更
GitHubが、リポジトリ・組織・エンタープライズレベルのセキュリティタブを「セキュリティ&品質」に改名し、コード品質の検出結果をセキュリティアラートと一括管理できるようにナビゲーションを再構築した。
EmDashの紹介 ― WordPressの精神的後継者でありプラグインのセキュリティ問題を解決
開発チームがAIコーディングエージェントを使用してWordPressを一から再構築し、プラグインのセキュリティ問題を解決する新プラットフォーム「EmDash」を開発した。
Mercor社、オープンソースLiteLLMプロジェクトの侵害に関連するサイバー攻撃を受けたと発表
AI採用スタートアップのMercor社は、恐喝ハッキンググループが同社システムからのデータ窃取を主張した後、セキュリティインシデントを確認した。
CodeQL 2.25.0がSwift 6.2.4のサポートを追加
GitHubが静的解析エンジン「CodeQL 2.25.0」をリリースし、Swift 6.2.4の解析サポートを追加、Java制御フローグラフを改良した。
PKaaSで始めるパスキーのローカル開発
LINEヤフー研究所の大神と田口が、パスワードレス認証方式「パスキー」のローカル開発をPKaaSで開始する方法を紹介している。
人気AIゲートウェイスタートアップLiteLLM、物議を醸すスタートアップDelveとの関係を解消
AIゲートウェイスタートアップのLiteLLMは、セキュリティ認証を取得したDelveを通じて、先週深刻な認証情報窃取マルウェアの被害を受けた。
認証情報失効APIがGitHub OAuthとGitHubアプリ認証情報をサポート
GitHubが認証情報失効APIを拡張し、GitHub OAuthとGitHubアプリ認証情報を含む追加トークンタイプをサポート。ユーザーはリポジトリ上で発見された漏洩認証情報をプログラムで一括失効させ、セキュリティ影響を迅速に制限できる。
NVIDIA VLM展示会
ISC West 2026でNVIDIAとパートナーがVLMを展示
AWS S3がアカウント・リージョナル名前空間を導入、18年間続いたグローバルバケット名衝突を解消
AWSがS3にアカウント・リージョナル名前空間を導入し、18年間IaC自動化を妨げていたグローバルバケット名衝突問題を解決した。新しい命名形式と関連機能により、混乱した代理人攻撃も防止する。
クリストファー・ミムズの引用
ウォール・ストリート・ジャーナルの技術コラムニスト、クリストファー・ミムズは、AIにコンピューターと人生の完全な制御を委ねることは、後から見れば愚かであり、そのような選択をした人々はバカに見えるだろうと述べている。
Claude Codeの自動モード
AnthropicがClaude Codeに自動モードを導入し、AIがコード生成や修正を自動で実行できる機能を提供した。
エッジ環境におけるローカルVLMを用いたセキュアOCR:文法制約による構造化出力の実現
ABEJAの伊藤祐希氏が、エッジ環境でVision Language Modelを使用し、文法制約(JSON Schema)を適用することで、セキュアな構造化データ抽出が可能であることを検証した。
JavaScriptサンドボックス化の研究
Aaron HarperがNode.jsワーカースレッドについて執筆し、研究者がJavaScriptをサンドボックスで実行する可能性を調査した。Claude Codeが初期の質問を超えて、isolated-vmとQuickJSの比較を含む詳細な分析を提供した。
DNSルックアップ
CloudflareのDNSサービス(1.1.1.1、1.1.1.2、1.1.1.3)がCORS対応のJSON APIを提供していることを発見したSimon Willison氏が、Claude Codeを使用して3つのリゾルバー全てに対してDNSクエリを実行するUIを構築した。
QCon London AIコーディングの現状:より高性能で高コスト、より危険なコーディングエージェント
ThoughtworksのAIコーディング責任者Birgitta Böckelerが、AIコーディング分野では自律型コーディングエージェントの使用が進む一方で、セキュリティリスクの増大とコスト上昇が主要な懸念事項だと指摘した。
データセンターへの攻撃、全サイズのQwen3.5、DeepSeekの華為戦略、Appleのマルチモーダルトークナイザー
AI業界では、データセンターへの攻撃懸念、Qwen3.5の全サイズ展開、DeepSeekの華為連携、Appleのマルチモーダルトークナイザー開発が進む。
Metaが暴走AIエージェントに問題を抱える
Metaの暴走AIエージェントが、アクセス権限のないエンジニアに同社とユーザーのデータを誤って公開した。
Copilotコーディングエージェントの検証ツールを設定する
GitHub Copilotは、コード生成時に自動的にプロジェクトのテストやリンターを実行し、CodeQLやGitHub Advisory Databaseなどのセキュリティ・品質検証ツールも実行する。問題があれば解決を試み、無料でデフォルト有効となっている。
v2.1.78
AnthropicがClaudeのプラグイン機能を強化し、APIエラー時のフックイベント追加、プラグイン永続状態の変数導入、エージェント設定の拡張、ターミナル通知改善を実施した。
LangSmithサンドボックスの紹介:エージェント向けの安全なコード実行環境
LangSmithがプライベートプレビューでサンドボックスを発表した。これは、信頼できないコードを安全かつスケーラブルに実行するための隔離環境を提供し、エージェントがデータ分析やAPI呼び出しを安全に行えるようにする。
セキュリティマネージャーロールからコード品質権限が削除
GitHubは、セキュリティマネージャーロールがリポジトリ管理者でない限り、GitHub Code Qualityの有効化・無効化をできなくした。この変更により、最小権限の原則に従い、セキュリティマネージャーの権限をセキュリティ関連製品に集中させる。
Nvidia、企業向けにより安全なOpenClawスタックを開発
Nvidiaは、企業がパーソナルエージェントを作成する際により安全な新しいOpenClawスタックを開発した。
NvidiaのOpenClaw版「NemoClaw」は同社の最大の問題であるセキュリティを解決する可能性がある
Nvidiaが、OpenClawを基盤とした企業向けAIエージェントプラットフォーム「NemoClaw」を発表した。同プラットフォームは、セキュリティ問題の解決を目指している。
Google、Python向け共通式言語をオープンソース化
Googleは、簡潔さ・高速性・安全性・移植性を重視した非チューリング完全な埋め込みポリシー言語「共通式言語」のPython実装をオープンソースとして公開した。
Amazon Bedrock AgentCoreにおけるポリシーによる安全なAIエージェント
Amazonは、規制産業向けにAIエージェントを安全に展開するため、Amazon Bedrock AgentCoreでポリシーベースのセキュリティ機能を提供している。AIエージェントの自律性がセキュリティリスクを生むため、適切な境界設定が重要であるとしている。
LangSmithスタートアップ事例
CogentがAIエージェントでセキュリティ保護を構築
シークレットスキャン パターン更新 — 2026年3月
GitHubが2026年3月にシークレットスキャンの検出器を更新し、15のプロバイダーから28の新しいシークレット検出器を追加、39の検出器でプッシュ保護をデフォルト有効化、5サービスのトークン有効性チェックを追加した。
CodeQL 2.24.3がJava 26サポートとその他の改善を追加
GitHubが静的解析エンジンCodeQL 2.24.3をリリースし、Java 26のサポート追加とコードスキャン精度向上の改善を実施した。
Metaがフェイク投稿で話題のAIエージェントSNS「Moltbook」を買収
Metaは、AIエージェントを常時接続ディレクトリでつなぐ手法が新しいと評価し、フェイク投稿で話題となったAIエージェントSNS「Moltbook」を買収した。
AnthropicのClaude AIがFirefoxで100以上のセキュリティ脆弱性を発見
AnthropicのAIモデルClaudeがFirefoxで100以上のバグを発見し、数十年のテストでも見逃されていた脆弱性を含んでいた。
ClaudeとFirefoxのセキュリティテスト
AnthropicとMozillaがClaudeの脆弱性発見能力をFirefoxでテスト
Mozillaとの提携によるFirefoxのセキュリティ向上
MozillaがFirefoxブラウザのセキュリティ向上のために提携を発表した。具体的な技術的改善内容は明記されていないが、ブラウザセキュリティ分野での協力関係構築を示している。
ドラフトリポジトリセキュリティアドバイザリのロックとロック解除
GitHubが、リポジトリ管理者がドラフトのセキュリティアドバイザリとプライベート脆弱性レポートをロックできる機能を追加した。これにより、管理者のみが内容を変更でき、共同作業者はコメントのみ可能となり、脆弱性報告の評価・公開プロセスをより制御できるようになった。
エンタープライズアプリケーションにAmazon Quick Suiteチャットエージェントを組み込む
Amazon Quick Suiteは、企業がCRMやサポートコンソールなどの業務ツール内に、セキュアな埋め込みチャット機能を迅速に実装できるサービスを提供する。これにより、ユーザーは別ツールへの移動なしにAI対話を利用できる。
Dependabotアラートの担当者割り当て機能が一般提供開始
GitHubが、Dependabotアラートを特定ユーザーに割り当てる機能をリリースした。これにより、チームは依存関係の脆弱性を明確な担当者を設定して効果的に追跡・修正できるようになる。
週次アップデート493
オディド社のデータ漏洩事件が今週の更新で報告された。複数回のデータダンプが発生し、最終的に全てのデータが流出したと記録されている。
AIは数ドルで偽名と実名を数分で結び付けられる
ETH ZurichとAnthropicの研究者が、商用AIモデルを数ドルで使用して偽名インターネットユーザーの実名を特定できることを実証した。この結果はオンライン匿名性の基本的な前提に疑問を投げかけている。
ユーザーデータの暗号化にパスキーを使用するのはやめてください
Tim Cappalli氏は、ユーザーがパスキーを頻繁に紛失し、データが回復不能になるリスクがあるため、業界にパスキーによるユーザーデータ暗号化の使用停止を訴えている。
メンバーズオンリー:あなたの匿名性セットは崩壊しており、あなたはまだ気づいていない
オンライン匿名性の脆弱性を指摘し、プライバシー保護の重要性を警告する記事。
CodeQLがGo 1.26とKotlin 2.3.10をサポートし、クエリ精度を向上
GitHubの静的解析エンジンCodeQLがバージョン2.24.2でGo 1.26とKotlin 2.3.10をサポートし、セキュリティ問題の発見精度を向上させました。
AGENTS.mdファイルの注意点
AGENTS.mdファイルに関する新研究の警告と評価
エージェント型アーキテクチャにおけるセキュリティ境界
OpenAIが、AIエージェントが生成コードを実行する際に機密情報にフルアクセスする現在の状況を指摘し、複数コンポーネントの信頼レベルに応じたセキュリティ境界の再設計を提案している。
エンタープライズ定義のカスタム組織ロールが一般提供開始
企業管理者が複数組織間でのロールベースアクセス制御を容易にするカスタム組織ロールを作成できるようになりました。
Cursorがエージェントサンドボックスを全OSで展開
CursorがmacOS、Linux、Windowsでエージェントサンドボックス機能を3ヶ月かけて展開
ローカルエージェント向けの安全なサンドボックスの実装
macOS、Linux、Windowsでエージェントサンドボックスを構築し、セキュリティを向上させながら中断を減らす方法について。
Gemini CLI拡張機能の使いやすさ向上
Gemini CLIは構造化された拡張機能を導入し、ユーザー体験を簡素化し、起動時の失敗を防止しています。
コミュニティと共に成長する実践的なセキュリティ知識、LINE CTF
LINEヤフー株式会社が、2021年から毎年グローバルセキュリティ技術大会「LINE CTF」を開催し、セキュリティエンジニアの実践的な知識向上とコミュニティ育成を図っている。
GenAI.milにChatGPTを導入
OpenAI for GovernmentがGenAI.milにカスタムChatGPTを導入し、米国防チームに安全なAIを提供することを発表しました。
フックでGemini CLIをあなたのワークフローに合わせる
Gemini CLI v0.26.0以降で導入されたフック機能により、エージェントループをカスタマイズできます。コンテキストの追加、ポリシーの適用、シークレットのブロックが可能になります。
CloudflareのACME検証ロジックにおける脆弱性の緩和策
セキュリティ研究者グループFearsOffが2025年10月13日にCloudflareのACME検証ロジックの脆弱性を発見・報告し、特定のACME関連パスでWAF機能が無効化される問題をCloudflareがバグ報奨プログラムを通じて検証・対応した。