GitHub Agentic Workflows で情報漏洩:GitLost と名付けられた構造的な課題とは?

GitLost Vulnerability Tricks GitHub’s AI Agent into Leaking Private Repos

2026/07/07 CyberSecurityNews — GitLost と名付けられた新たな脆弱性を悪用する攻撃者が、単一の GitHub Issue を介して AI 搭載 Agentic Workflows を騙して、非公開リポジトリの内容をインターネット上へ漏洩させるという懸念が生じている。この攻撃の前提として、認証情報/コーディングスキル/システムアクセス権は一切必要とされない。

Continue reading “GitHub Agentic Workflows で情報漏洩:GitLost と名付けられた構造的な課題とは?”

米国 CISA が Anthropic Mythos を活用:政府ソフトウェアの脆弱性監査を強化

US Cyber Agency Uses Anthropic Mythos to Audit Government Code for Bugs

2026/07/06 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、政府ソフトウェアの脆弱性を監査するために、Anthropic の高度な AI モデル Mythos の使用を開始した。これは、AI 支援型サイバー防御活動への大きな転換を示すものである。この取り組みに詳しい情報筋によると、CISA は Mythos を展開し、連邦政府のコード・リポジトリを体系的にスキャンすることで、外国の敵対勢力またはサイバー犯罪グループに悪用される可能性のあるセキュリティ上の欠陥を特定している。

Continue reading “米国 CISA が Anthropic Mythos を活用:政府ソフトウェアの脆弱性監査を強化”

Ubiquiti が 25 件の脆弱性を FIX:UniFi エコシステムに深刻な影響

Ubiquiti Disclosed 25 Security Vulnerabilities Across the UniFi Ecosystem

2026/07/07 CyberSecurityNews — Ubiquiti が Security Advisory Bulletin 066 で公表したのは、UniFi エコシステムに影響を及ぼす 25 件のセキュリティ脆弱性に関する情報である。それらをネットワーク経由で悪用する攻撃者は、デバイスを完全に侵害する可能性がある。一連の脆弱性には、CVSS v3.1 スケールで 9.9 および 10.0 と評価された、複数の深刻な欠陥も含まれる。

Continue reading “Ubiquiti が 25 件の脆弱性を FIX:UniFi エコシステムに深刻な影響”

AnyDesk を用いた Living-off-the-Land 攻撃:フィッシングと Blat SMTP によるデータ窃取

Attackers Exfiltrate AnyDesk Configuration Data via Blat SMTP in Aerospace Phishing Campaign

2026/07/07 gbhackers —サイレントかつ永続的なリモートアクセスのために AnyDesk を設定した上で、Blat SMTP ユーティリティを使用してコンフィグ・データを外部へ持ち出す、標的型スピアフィッシング・キャンペーンが確認された。分析によると、このオペレーターの目的は、長期的かつ秘匿性の高いアクセスの確立にある。そして、侵害のチェーンは、ポータブル版 AnyDesk の展開/無人アクセス用パスワードの設定/AnyDesk のコンフィグおよび認証情報のアーティファクトのアーカイブ化/攻撃者が制御するメール・インフラへ向けたアーカイブ送信で構成される。

Continue reading “AnyDesk を用いた Living-off-the-Land 攻撃:フィッシングと Blat SMTP によるデータ窃取”

OpenAI Codex for macOS の脆弱性 CVE-2026-14898:プロンプト・インジェクションによる機密情報漏洩の恐れ

OpenAI Codex Desktop App for macOS Vulnerability Allows Attackers to Inject Indirect Prompt

2026/07/07 CyberSecurityNews — 最近 GitHub Advisory Database に登録された情報によると、OpenAI Codex for macOS デスクトップ・アプリケーションの新たな脆弱性 CVE-2026-14898 を悪用する攻撃者は、間接プロンプト・インジェクションの手法を介して、機密性の高いデータを外部へ持ち出す可能性がある。この問題は、モデル生成レスポンス内の Markdown コンテンツを、Codex アプリが処理する方法に起因するものである。このアプリケーションは、Markdown に埋め込まれたリモート画像を、明示的なユーザー操作なしに自動的にレンダリングする。

Continue reading “OpenAI Codex for macOS の脆弱性 CVE-2026-14898:プロンプト・インジェクションによる機密情報漏洩の恐れ”