メインコンテンツへスキップ

#セキュリティ のAIニュース

172件の記事

マイクロソフトがVeraCryptアカウントを突然停止、Windowsアップデートが中断

マイクロソフトが暗号化ソフトウェアVeraCryptの開発者アカウントを停止し、同ソフトのWindows向け将来のアップデートが不透明になった。

404 Media·4月8日

AI #163:ミソスクエスト

Anthropicは、主要OSやブラウザの重大な脆弱性を発見したAIモデル「Claude Mythos」を公開せず、代わりに「Project Glasswing」を通じてセキュリティ企業に提供し、世界中の修正を促進した。

The Zvi·4月8日·★★★★

SafetensorsがPyTorch Foundationに参加

Hugging Faceが開発したセキュアなテンソル保存形式「Safetensors」が、PyTorch Foundationに正式に参加し、AIモデルの安全性向上と業界標準化を推進する。

Hugging Face Blog·4月8日·★★★★

コードスキャン:プルリクエストでセキュリティアラートの修正を一括適用可能に

GitHubが、プルリクエストのFiles changedタブでコードスキャンアラートの修正をバッチに追加して一括適用できる機能を追加した。これにより、複数のアラートを迅速に対処でき、各アラートごとの個別スキャンではなく単一のコミットでスキャンを実行できるため、修正とレビューの時間を短縮し、プルリクエストの進行を促進する。

GitHub Changelog·4月7日

シークレットスキャンツール「scan-for-secrets」バージョン0.3のリリース

シモン・ウィトソン氏が開発した「scan-for-secrets」がバージョン0.3へアップデートされた。新機能として、検出した機密情報を確認後「REDACTED」に置換するリダクションオプションと、ファイル処理用のPython関数が追加された。

Simon Willison Blog·4月6日

シモン・ウィルソンの「scan-for-secrets」0.1.1

シモン・ウィルソンは、LLMの重要な開発をまとめた月額10ドルのニュースレター「Monthly briefing」を提供している。これは、最新のAI動向を厳選して配信する有料サブスクリプションサービスである。

Simon Willison Blog·4月5日

scan-for-secrets 0.1 リリース

Simon W.が開発したPython製のシークレット検出ツールscan-for-secrets 0.1がリリースされた。このツールは、Claude CodeのログファイルにAPIキーなどの機密情報が含まれていないかを検出するためのもので、開発者のセキュリティ対策を支援する。

Simon Willison Blog·4月5日

セキュリティタブが「セキュリティ&品質」に名称変更

GitHubが、リポジトリ・組織・エンタープライズレベルのセキュリティタブを「セキュリティ&品質」に改名し、コード品質の検出結果をセキュリティアラートと一括管理できるようにナビゲーションを再構築した。

GitHub Changelog·4月2日

EmDashの紹介 ― WordPressの精神的後継者でありプラグインのセキュリティ問題を解決

開発チームがAIコーディングエージェントを使用してWordPressを一から再構築し、プラグインのセキュリティ問題を解決する新プラットフォーム「EmDash」を開発した。

Cloudflare Blog·4月1日·★★★★

Mercor社、オープンソースLiteLLMプロジェクトの侵害に関連するサイバー攻撃を受けたと発表

AI採用スタートアップのMercor社は、恐喝ハッキンググループが同社システムからのデータ窃取を主張した後、セキュリティインシデントを確認した。

TechCrunch AI·4月1日

CodeQL 2.25.0がSwift 6.2.4のサポートを追加

GitHubが静的解析エンジン「CodeQL 2.25.0」をリリースし、Swift 6.2.4の解析サポートを追加、Java制御フローグラフを改良した。

GitHub Changelog·3月31日

PKaaSで始めるパスキーのローカル開発

LINEヤフー研究所の大神と田口が、パスワードレス認証方式「パスキー」のローカル開発をPKaaSで開始する方法を紹介している。

LY Corp Tech Blog·3月31日

人気AIゲートウェイスタートアップLiteLLM、物議を醸すスタートアップDelveとの関係を解消

AIゲートウェイスタートアップのLiteLLMは、セキュリティ認証を取得したDelveを通じて、先週深刻な認証情報窃取マルウェアの被害を受けた。

TechCrunch AI·3月31日

認証情報失効APIがGitHub OAuthとGitHubアプリ認証情報をサポート

GitHubが認証情報失効APIを拡張し、GitHub OAuthとGitHubアプリ認証情報を含む追加トークンタイプをサポート。ユーザーはリポジトリ上で発見された漏洩認証情報をプログラムで一括失効させ、セキュリティ影響を迅速に制限できる。

GitHub Changelog·3月27日

AWS S3がアカウント・リージョナル名前空間を導入、18年間続いたグローバルバケット名衝突を解消

AWSがS3にアカウント・リージョナル名前空間を導入し、18年間IaC自動化を妨げていたグローバルバケット名衝突問題を解決した。新しい命名形式と関連機能により、混乱した代理人攻撃も防止する。

InfoQ·3月26日·★★★★

クリストファー・ミムズの引用

ウォール・ストリート・ジャーナルの技術コラムニスト、クリストファー・ミムズは、AIにコンピューターと人生の完全な制御を委ねることは、後から見れば愚かであり、そのような選択をした人々はバカに見えるだろうと述べている。

Simon Willison Blog·3月25日

Claude Codeの自動モード

AnthropicがClaude Codeに自動モードを導入し、AIがコード生成や修正を自動で実行できる機能を提供した。

Claude Blog·3月24日

エッジ環境におけるローカルVLMを用いたセキュアOCR:文法制約による構造化出力の実現

ABEJAの伊藤祐希氏が、エッジ環境でVision Language Modelを使用し、文法制約(JSON Schema)を適用することで、セキュアな構造化データ抽出が可能であることを検証した。

ABEJA Tech Blog·3月23日·★★★★

JavaScriptサンドボックス化の研究

Aaron HarperがNode.jsワーカースレッドについて執筆し、研究者がJavaScriptをサンドボックスで実行する可能性を調査した。Claude Codeが初期の質問を超えて、isolated-vmとQuickJSの比較を含む詳細な分析を提供した。

Simon Willison Blog·3月23日

DNSルックアップ

CloudflareのDNSサービス(1.1.1.1、1.1.1.2、1.1.1.3)がCORS対応のJSON APIを提供していることを発見したSimon Willison氏が、Claude Codeを使用して3つのリゾルバー全てに対してDNSクエリを実行するUIを構築した。

Simon Willison Blog·3月23日

QCon London AIコーディングの現状:より高性能で高コスト、より危険なコーディングエージェント

ThoughtworksのAIコーディング責任者Birgitta Böckelerが、AIコーディング分野では自律型コーディングエージェントの使用が進む一方で、セキュリティリスクの増大とコスト上昇が主要な懸念事項だと指摘した。

InfoQ·3月22日

データセンターへの攻撃、全サイズのQwen3.5、DeepSeekの華為戦略、Appleのマルチモーダルトークナイザー

AI業界では、データセンターへの攻撃懸念、Qwen3.5の全サイズ展開、DeepSeekの華為連携、Appleのマルチモーダルトークナイザー開発が進む。

The Batch·3月20日

Metaが暴走AIエージェントに問題を抱える

Metaの暴走AIエージェントが、アクセス権限のないエンジニアに同社とユーザーのデータを誤って公開した。

TechCrunch AI·3月19日

Copilotコーディングエージェントの検証ツールを設定する

GitHub Copilotは、コード生成時に自動的にプロジェクトのテストやリンターを実行し、CodeQLやGitHub Advisory Databaseなどのセキュリティ・品質検証ツールも実行する。問題があれば解決を試み、無料でデフォルト有効となっている。

GitHub Changelog·3月19日

LangSmithサンドボックスの紹介:エージェント向けの安全なコード実行環境

LangSmithがプライベートプレビューでサンドボックスを発表した。これは、信頼できないコードを安全かつスケーラブルに実行するための隔離環境を提供し、エージェントがデータ分析やAPI呼び出しを安全に行えるようにする。

LangChain Blog·3月18日·★★★★

セキュリティマネージャーロールからコード品質権限が削除

GitHubは、セキュリティマネージャーロールがリポジトリ管理者でない限り、GitHub Code Qualityの有効化・無効化をできなくした。この変更により、最小権限の原則に従い、セキュリティマネージャーの権限をセキュリティ関連製品に集中させる。

GitHub Changelog·3月17日

Nvidia、企業向けにより安全なOpenClawスタックを開発

Nvidiaは、企業がパーソナルエージェントを作成する際により安全な新しいOpenClawスタックを開発した。

AI Business·3月17日

NvidiaのOpenClaw版「NemoClaw」は同社の最大の問題であるセキュリティを解決する可能性がある

Nvidiaが、OpenClawを基盤とした企業向けAIエージェントプラットフォーム「NemoClaw」を発表した。同プラットフォームは、セキュリティ問題の解決を目指している。

TechCrunch AI·3月17日

Google、Python向け共通式言語をオープンソース化

Googleは、簡潔さ・高速性・安全性・移植性を重視した非チューリング完全な埋め込みポリシー言語「共通式言語」のPython実装をオープンソースとして公開した。

InfoQ·3月17日

ジャニス・ライデルが語る

GitHubのAI生成スパムPR・イシューの氾濫により、Jazzbandのオープンメンバーシップと共有プッシュアクセスモデルが維持不可能になったと、Jazzband関係者が説明した。

Simon Willison Blog·3月15日·★★★★

Amazon Bedrock AgentCoreにおけるポリシーによる安全なAIエージェント

Amazonは、規制産業向けにAIエージェントを安全に展開するため、Amazon Bedrock AgentCoreでポリシーベースのセキュリティ機能を提供している。AIエージェントの自律性がセキュリティリスクを生むため、適切な境界設定が重要であるとしている。

AWS Machine Learning Blog·3月13日·★★★★

シークレットスキャン パターン更新 — 2026年3月

GitHubが2026年3月にシークレットスキャンの検出器を更新し、15のプロバイダーから28の新しいシークレット検出器を追加、39の検出器でプッシュ保護をデフォルト有効化、5サービスのトークン有効性チェックを追加した。

GitHub Changelog·3月11日

CodeQL 2.24.3がJava 26サポートとその他の改善を追加

GitHubが静的解析エンジンCodeQL 2.24.3をリリースし、Java 26のサポート追加とコードスキャン精度向上の改善を実施した。

GitHub Changelog·3月11日

Metaがフェイク投稿で話題のAIエージェントSNS「Moltbook」を買収

Metaは、AIエージェントを常時接続ディレクトリでつなぐ手法が新しいと評価し、フェイク投稿で話題となったAIエージェントSNS「Moltbook」を買収した。

TechCrunch AI·3月10日

マイクロソフト、MCP C# SDK v1.0をリリースし、最新プロトコル仕様を完全サポート

マイクロソフトは、2025年11月25日のMCP仕様を完全サポートする公式MCP C# SDKのバージョン1.0をリリースした。強化された認証フロー、ツールとリソースのアイコンサポート、増分スコープ同意、URLモード誘導、サンプリングでのツール呼び出し、長時間実行HTTPリクエストの改善を導入している。

InfoQ·3月9日·★★★★

AnthropicのClaude AIがFirefoxで100以上のセキュリティ脆弱性を発見

AnthropicのAIモデルClaudeがFirefoxで100以上のバグを発見し、数十年のテストでも見逃されていた脆弱性を含んでいた。

The Decoder·3月7日·★★★★

.gitlocal:Gitでの機密ファイルのデフォルト無視を提案する新概念

著者はCLIツールの機密情報を.gitフォルダに保存する際、意図せずGitにコミットされる問題を解決するため、.gitlocalファイルや特定の命名規則により、ツールビルダーがファイルをデフォルトで無視できるようにする提案を行った。

Andrej Karpathy 厳選·3月6日

フロンティア・レッドチーム、Firefoxのセキュリティ向上のためにMozillaと提携

フロンティア・レッドチームは、Firefoxのセキュリティを向上させるため、Mozillaと提携した。

Anthropic Research·3月6日

ClaudeのCVE-2026-2796エクスプロイトのリバースエンジニアリング

ClaudeがFirefoxで発見した脆弱性の一つに対して、Claudeがどのようにエクスプロイトを作成したかを詳細に分析している。

Anthropic Red Team·3月6日·★★★★

Mozillaとの提携によるFirefoxのセキュリティ向上

MozillaがFirefoxブラウザのセキュリティ向上のために提携を発表した。具体的な技術的改善内容は明記されていないが、ブラウザセキュリティ分野での協力関係構築を示している。

Anthropic News·3月6日·★★★★

Stripeがマーケットプレイスとv0で一般提供開始

VercelがStripeと連携し、本番環境での決済機能を提供。APIキーを環境変数として安全に管理し、サンドボックスと本番モードをサポート。

Vercel Blog·3月5日

Stripeで数分でアイデアから安全な決済まで

Stripeが、AIツールを活用してUIや決済フローを生成し、コマースアプリケーションの開発を迅速化する手法を紹介している。

Vercel Blog·3月5日

パッケージマネージャーのマジックファイル

記事は、.npmrc、MANIFEST.in、Directory.Packages.props、.pnpmfile.cjsなどのパッケージマネージャー設定ファイル(マジックファイル)の存在と探し方を説明している。

Andrej Karpathy 厳選·3月5日

ドラフトリポジトリセキュリティアドバイザリのロックとロック解除

GitHubが、リポジトリ管理者がドラフトのセキュリティアドバイザリとプライベート脆弱性レポートをロックできる機能を追加した。これにより、管理者のみが内容を変更でき、共同作業者はコメントのみ可能となり、脆弱性報告の評価・公開プロセスをより制御できるようになった。

GitHub Changelog·3月5日

エンタープライズアプリケーションにAmazon Quick Suiteチャットエージェントを組み込む

Amazon Quick Suiteは、企業がCRMやサポートコンソールなどの業務ツール内に、セキュアな埋め込みチャット機能を迅速に実装できるサービスを提供する。これにより、ユーザーは別ツールへの移動なしにAI対話を利用できる。

AWS Machine Learning Blog·3月5日

スタートアップが提案する、より信頼性の高いAI回答の提供方法:チャットボットをクラウドソーシングする

CollectivIQ社は、ChatGPT、Gemini、Claude、Grokなど最大10種類のAIモデルから同時に情報を引き出した回答をユーザーに提示することで、AIクエリに対するより正確な回答の提供を目指している。

TechCrunch AI·3月4日

Dependabotアラートの担当者割り当て機能が一般提供開始

GitHubが、Dependabotアラートを特定ユーザーに割り当てる機能をリリースした。これにより、チームは依存関係の脆弱性を明確な担当者を設定して効果的に追跡・修正できるようになる。

GitHub Changelog·3月4日

パッケージ管理は名前付けの連鎖である

著者が、パッケージ管理には「コンピュータサイエンスの2つの難問」を超える複数の根本的課題(特に依存関係の命名とバージョン管理)が存在すると指摘している。

Andrej Karpathy 厳選·3月3日

知性と判断の分離不可能性:AIアライメントのためのフィルタリングの計算論的困難性について

研究者らは、大規模言語モデル(LLMs)の有害コンテンツ生成防止を目的としたフィルタリングについて、入力プロンプトと出力の両方のフィルタリングが計算論的に困難であることを示した。

Apple Machine Learning·3月3日·★★★★

週次アップデート493

オディド社のデータ漏洩事件が今週の更新で報告された。複数回のデータダンプが発生し、最終的に全てのデータが流出したと記録されている。

Andrej Karpathy 厳選·3月2日