HackGPT Launches as AI-Driven Penetration Testing Suite Using GPT-4 and Other Models
2025/11/10 gbhackers — HackGPT Enterprise の正式リリース版は、エンタープライズ・セキュリティ・チーム向けに設計された、本番環境対応のクラウド・ネイティブ AI 搭載ペンテスト・プラットフォームである。ZehraSec の創設者兼 CEO である Yashab Alam が開発したプラットフォームは、人工知能と従来のペンテスト手法を統合し、自動セキュリティ評価における大きな進歩を実現する。
Continue reading “HackGPT が登場:GPT-4/Ollama/TensorFlow/PyTorch を組み合わせるAI 搭載ペンテスト環境とは?”Google’s Gemini Deep Research Tool Gains Access to Gmail, Chat, and Drive Data
2025/11/10 CyberSecurityNews — Google が発表した Gemini AI モデルの Deep Research Tool 拡張により、ユーザーの Gmail/Drive/Chat サービスのデータにアクセスできるようになる。つまり、この Deep Research Tool のアップデートにより、個人の Gmail/Docs/Sheets/Slides/PDF/Chat と Web からの情報と併せて、包括的なリサーチ・レポートに統合できるようになった。
Continue reading “Google の Gemini Deep Research Tool:Gmail/Drive/Chat とのデータ結合は大丈夫なのか?”Popular npm Library Used in AI and NLP Projects Exposes Systems to RCE
2025/11/10 gbhackers — 広く使用されている JavaScript ライブラリ expr-eval に発見された、深刻なリモート・コード実行の脆弱性 CVE-2025-12735 は、数学式評価や自然言語処理に依存する数千のプロジェクトに影響を及ぼすものである。この脆弱性は、サーバ環境や AI 搭載アプリケーションに深刻なリスクをもたらす。expr-eval は広く採用されるライブラリであり、特に本番環境で NLP/AI アプリケーションなどを運用する組織にとって懸念事項となる。
Continue reading “JavaScript ライブラリ expr-eval の RCE 脆弱性 CVE-2025-12735:AI/NLP システムで RCE の恐れ”OWASP Top 10 2025 – Revised Version Released With Two New Categories
2025/11/10 CyberSecurityNews — Open Web Application Security Project (OWASP) が発表したのは、主力プロジェクト “OWASP Top 10 2025” の最新候補版である。今回の第8版は、進化するソフトウェア・セキュリティ脅威に対応するための大幅な更新が施されている。2025年11月6日に公開された改訂版は、コミュニティ調査から得られた意見と拡張データ分析を反映し、2つの新カテゴリーの追加と他カテゴリーの統合により、症状ではなく根本原因を適切に表現するようになった。このリストは、Web アプリケーションのリスク優先順位付けを行う開発者/セキュリティ専門家/組織にとって依然として重要なリソースである。
Continue reading “OWASP Top 10 2025 の改訂版が公開:サプライチェーンなどの新カテゴリーを追加”Monsta web-based FTP Remote Code Execution Vulnerability Exploited
2025/11/10 CyberSecurityNews — 人気の Web ベース FTP クライアントである Monsta FTP に、重大なリモート・コード実行 (RCE) の脆弱性 CVE-2025-34299 が発見された。この脆弱性は複数のバージョンに影響を及ぼし、すでに実際の攻撃で悪用されている。
Continue reading “Monsta FTP の RCE 脆弱性 CVE-2025-34299:実環境での悪用を確認”Elastic Defend for Windows Vulnerability Allows Threat Actors to Gain Elevated Access
2025/11/10 gbhackers — Elastic が公開したのは、Elastic Defend に存在する深刻な脆弱性 CVE-2025-37735 に対処するセキュリティ・アドバイザリである。この脆弱性は、Defend サービスにおけるファイル権限の不適切な保持に起因し、Windows システム上での権限昇格を攻撃者に許すことになる。したがって、このエンドポイント保護プラットフォームを利用する組織に、深刻なリスクが生じる恐れがある。
Continue reading “Elastic Defend for Windows の脆弱性 CVE-2025-37735 が FIX:権限昇格の可能性”Critical runc Vulnerabilities Put Docker and Kubernetes Container Isolation at Risk
2025/11/10 CyberSecurityNews — Docker や Kubernetes などのコンテナ・プラットフォームを支えるランタイム runc に存在する、3つの深刻な脆弱性 CVE-2025-31133/CVE-2025-52565/CVE-2025-52881 が Sysdig により報告された。これらの脆弱性を悪用する攻撃者はコンテナ分離を回避し、ホスト・システムへのルート・アクセスを取得する可能性がある。ただし、現時点ではアクティブなエクスプロイトは検出されていない。これらの脆弱性が悪用されると、マウントの競合状態と procfs の書き込みリダイレクトを介してコンテナの境界の突破が発生する。
Continue reading “runc の深刻な3つの脆弱性が FIX:Docker/Kubernetes からのエスケープとクラウドへの影響”LangGraph Deserialization Flaw Enables Execution of Malicious Python Code
2025/11/10 gbhackers — LangGraph のチェックポイント・シリアライズ・ライブラリに、深刻なリモート・コード実行の脆弱性が発見された。この脆弱性は、すべてのチェックポイント操作で使用されるデフォルトのシリアライズ・プロトコルである JsonPlusSerializer コンポーネントに存在し、バージョン 3.0 未満に影響を及ぼすという。この脆弱性 CVE-2025-64439 を悪用する攻撃者は、悪意のあるペイロードのデシリアライズ中に任意の Python コードを実行できる。
Continue reading “LangGraph デシリアライズの脆弱性 CVE-2025-64439 が FIX:任意の Python コードの実行”AI chat privacy at risk: Microsoft details Whisper Leak side-channel attack
2025/11/09 SecurityAffairs — Microsoft が発表したのは、Whisper Leak と呼ばれる新たなサイドチャネル攻撃に関する情報である。具体的に言うと、ネットワーク・トラフィックを監視する攻撃者は、データが暗号化されている場合であっても、リモートの言語モデルを使用してユーザーが会話した内容を推測できるという。この脆弱性により、企業/個人ユーザーがストリーミング AI システムと交わした会話から機密情報が漏洩し、深刻なプライバシー・リスクが生じる可能性があると、同社は警告している。
Continue reading “AI Chat におけるプライバシーとリスク:Microsoft が詳述する Whisper Leak というサイドチャネル攻撃”
IoT OT Security News 