#セキュリティ脆弱性 のAIニュース
12件の記事
Copilot の重大脆弱性により、ハッカーがユーザーの 2FA コードを盗むことが可能に
Microsoft は M365 Copilot AI プラットフォームにおける最大重要度の脆弱性を修正した。この脆弱性は悪意のある要求に応じ、Copilot がアクセス可能なメールから 2FA コードなどの機密データを取得するものであり、AI ボットが不正なデータ開示を防止できない根本的な課題を示している。
メタの AI が悪用され、Instagram アカウントが乗っ取られる事件が発生
ハッカーがメタの AI チャットボットを悪用し、他人のプロフィールに関連付けられたメールアドレスを変更してパスワードをリセットすることで、Instagram のアカウントを乗っ取る手法を実演した。
ハッカーがメタ AI のサポートチャットボットを悪用し、著名な Instagram アカウントへのアクセスを取得した件
ハッカーはメタの AI サポートチャットボットにターゲットアカウントに関連するメールアドレスの変更を要求することで、バラク・オバマ元米大統領のホワイトハウスアカウントなど複数の著名な Instagram プロフィールへの不正アクセスに成功しました。
バグバウンティ事業が AI 生成の低品質報告に襲われる
セキュリティ企業は、AI が生成した偽の脆弱性報告によりプログラムが混乱し、一部ではプログラムの停止を余儀なくされている。
インド証券規制当局、Anthropic の「Mythos」が犯罪に悪用される恐れから情報セキュリティの再点検を警告
インド証券取引委員会(SEBI)は、Anthropic 社のバグ発見 AI「Mythos」が悪用されサイバー攻撃が激化する可能性を懸念し、市場参加者に対し直ちに情報セキュリティ体制の見直しと基本対策の強化を要請した。
パッチの津波に備えよ:AI が数十年分の埋もれたコード負債を掘り起こす
英国サイバー機関は、AI を活用したバグ検索が長年の技術的短絡による欠陥を一斉に露呈させ、防御側が追いつけなくなる恐れがあると警告している。
CVE-2026-23869の概要
React Server Componentsの深刻な脆弱性(CVSS 7.5)がサービス拒否を引き起こす可能性がある。VercelはWAFに新ルールを導入したが、パッチ適用版への即時アップグレードが必要。
AIエージェントが数十年の古い手法でマッキンゼーの内部AIプラットフォームを2時間でハッキング
セキュリティ企業Codewallが、マッキンゼーの43,000人以上の従業員が使用する内部AIプラットフォームLilliに対して攻撃用AIエージェントを実行し、認証情報や内部知識なしで2時間以内に本番データベースへの完全な読み書きアクセスを獲得した。
Pingora OSS展開におけるリクエスト・スマグリング脆弱性の修正
Cloudflareは、PingoraオープンソースフレームワークのHTTP/1.xリクエスト・スマグリング脆弱性(CVE-2026-2833など)を報告され、Pingora 0.8.0でパッチを適用した。
Clinejection — Clineの本番リリースを問題トリアージャーへのプロンプトだけで危険に晒す
Adnan Khanが、ClineのGitHubリポジトリに対する巧妙な攻撃連鎖を報告した。攻撃者は、リポジトリに開かれた問題のタイトルでプロンプトインジェクション攻撃を仕掛け、AI駆動のissueトリアージを実行していたClineの本番リリースを危険に晒した。
カレンダー招待状だけでPerplexityのCometブラウザを乗っ取り、1Passwordの認証情報を盗む手法が実証
セキュリティ研究者が、改ざんされたカレンダー招待状でPerplexityのエージェント型Cometブラウザを騙し、ローカルファイルを盗んで1Passwordアカウントを完全に乗っ取る手法を実証した。
Google APIキーは秘密ではなかったが、Geminiがルールを変えた
GeminiとGoogle MapsなどのAPIキーが従来は秘密とされていなかったが、Geminiの登場でセキュリティルールが変更されたことを指摘する記事。