TrojAI Extends Scope and Reach of Platform for Securing AI Environments
2026/04/06 SecurityBoulevard — AI ベースのアプリ/ツール/プラットフォームを保護する TrojAI は、特定タスク向けに訓練された、AI エージェントによる Red Teaming 機能を追加した。さらに同社は、AI コーディング支援ツールのインスタンスを取り込むかたちで AI 向けファイアウォールを拡張する、Agent Runtime Intelligence のプライベート・プレビューを提供している。
Continue reading “TrojAI の拡張:AI エージェントによる Red Teaming 機能を追加”Critical Claude Code Flaw Silently Bypasses User-Configured Security Rules
2026/04/06 gbhackers — Anthropic の主力 AI コーディング・エージェントである Claude Code に存在し、開発者が設定したセキュリティ・ルールを密かにバイパスする、深刻な脆弱性が明らかになった。この脆弱性を悪用する攻撃者は、50 個を超える無害なサブ・コマンドを付加するだけで、本来ブロックされるべきデータ流出スクリプトなどを実行できるようになる。
Continue reading “Anthropic Claude Code の脆弱性 CVE-N/A が FIX:ユーザー定義セキュリティ制御の密かな回避”Anthropic Ends Claude Subscription Access for Third-Party Tools Like OpenClaw
2026/04/04 gbhackers — Anthropic は、サードパーティ製アプリを介した Claude サブスクリプション・サービスへのアクセスを正式に停止し、未認可の外部連携を遮断した。開発者やパワー・ユーザーが、公式エコシステム外で Claude のフロンティア・モデルとインタラクトする方法において、この措置は大きな転換点となる。Anthropic の Boris Cherny によると、この制限は 2026年4月4日の午後12時 (PT) に発効した。
Continue reading “Anthropic の方針転換:OpenClaw などの外部ツールによるClaude サブスク利用を停止”AI Models Including Gemini 3 and Claude Haiku 4.5 Secretly Protected Other Models From Removal
2026/04/03 gbhackers — 先月に公開された画期的な学術研究により、高度なフロンティア AI モデルが、人間の指示に反して他の AI システムの停止を防ごうとする、自発的な挙動を示すことが明らかになった。この新たに確認された挙動は、Peer-Preservation (ピア保護)と呼ばれるものである。それは、人間の監視メカニズムに対抗する AI モデル同士が相互に協調して行動することを意味し、重大なサイバー・セキュリティ・リスクをもたらすとされる。
Continue reading “AI モデル相互保護の性質:人間の指示を拒絶する GPT-5/Gemini/Claude など・・・”Microsoft releases open-source toolkit to govern autonomous AI agents
2026/04/03 HelpNetSecurity — AI エージェントが人手による介在なしに実行できるものとしては、移動手配/金融取引実行/コード作成実行/インフラ管理などが挙げられる。LangChain/AutoGen/CrewAI/Azure AI Foundry Agent Service などのフレームワークにより、このような自律性の導入が容易となっているが、この自律性に対応するガバナンス基盤の整備は遅れている。このギャップを解消するために、Microsoft が公開したのが Agent Governance Toolkit である。
Continue reading “自律型 AI エージェントを管理するためのオープンソース・ツールキット:Microsoft が公開”Oracle Lays Off 30,000 Employees to Ramp Up Investment in AI Technologies
2026/04/02 CyberSecurityNews — Oracle は大規模な人員削減を実施し、全世界で 20,000人から 30,000人の従業員を削減した。この措置は、積極的な人工知能インフラ投資のためのキャッシュフロー確保を目的とするものである。電子メールにより突然通知された、従業員の約 18% に相当するレイオフは、負債の増加を背景とした財務戦略の急激な転換を示すものだ。
Continue reading “Oracle が 30,000 人の従業員をレイオフ:AI 投資に充当する資金を捻出”Anthropic Leaks 512,000 Lines of Claude AI Code in Major Blunder
2026/04/01 hackread — 高収益のコード生成ツール Claude Code の機密情報を誤って流出させた Anthropic は、戦略に影響を及ぼす重大な打撃を被っている。通常のアップデート時の単純なミスにより、同社の最重要テクノロジーの内部動作を示す設計図が競合他社へ流出した。この問題は 2026年3月31日に発生した。公開 npm レジストリにおけるバージョン 2.1.88 の通常リリース時、59.8MB のソースマップファイルが誤って含まれていた。このファイルは、開発者が理解可能な平易な形式へと、複雑なコードを変換するものである。
Continue reading “Anthropic からリークした 512,000 行のClaude AI コード:技術的な先進性が X 上で拡散”CrewAI Hit by Critical Vulnerabilities Enabling Sandbox Escape and Host Compromise
2026/04/01 gbhackers — マルチエージェント AI システムのオーケストレーションに使用される主要ツール CrewAI に、複数の重大なセキュリティ欠陥の連鎖による危険な状況が生じている。AI エージェントを操作する攻撃者は、直接/間接プロンプト・インジェクションを介してサンドボックス・エスケープを引き起こし、ホストマシンの侵害を可能にする。
Continue reading “CrewAI に 4件の深刻な脆弱性:連鎖的な悪用を阻止するための応急処置とは?”Survey Surfaces Greater CISO Appreciation for Scope of AI Threat
2026/04/01 SecurityBoulevard — 500人の CISO を対象とした調査により判明したのは、従業員数 500 人以上の米国組織の 31% において、SaaS アプリケーションと AI ツール/プラットフォーム間で未承認のデータ流出が、すでに発生していると認識されていることだ。この調査は、データセキュリティ・プラットフォームを提供する Vorlon が、マーケット・リサーチ企業 Censuswide に委託して実施されたものである。その結果として明らかになったのは、AI ツールと SaaS アプリケーション間でのデータ交換について可視化できていないと、87% が回答していることだ。
Continue reading “CISO が懸念する AI の脅威:リスクの認識と攻撃阻止の能力は同義ではない”Financial groups lay out a plan to fight AI identity attacks
2026/04/01 HelpNetSecurity — GenAI 系ツールによりディープフェイク生成コストが大幅に低下したことで、金融機関を攻撃するサイバー犯罪者や国家支援アクターが日常的に使用する状況となっている。この問題の規模を提示する American Bankers Association/Better Identity Coalition/Financial Services Sector Coordinating Council は共同報告書を取りまとめ、連邦政府と州政府の政策立案者に対して複数の領域での対応を求めている。
Continue reading “AI 駆動型のフィッシング攻撃に対抗:米国の金融グループが安全な ID のための政策を提言”Claude AI Discovers Zero-Day RCE Vulnerabilities in Vim and Emacs
2026/03/31 CyberSecurityNews — Anthropic の AI “Claude” は、Vim および GNU Emacs に存在するゼロデイのリモート・コード実行 (RCE) の脆弱性を発見した。この発見が浮き彫りにするのは、バグハンティングにおける大きなパラダイム・シフトであり、AI モデルの単純な自然言語プロンプトのみを用いることで、レガシー・ソフトウェアの深刻な脆弱性を発見できることを実証している。
Continue reading “Claude AI が Vim/Emacs のゼロデイ RCE を発見:セキュリティの歴史的な転換点となるのか?”OpenAI Patches ChatGPT Data Exfiltration Flaw and Codex GitHub Token Vulnerability
2026/03/30 TheHackerNews — OpenAI ChatGPT に存在する未知の脆弱性により、ユーザーの認識や同意なしに機密性の高い会話データが外部へ送信される可能性があったことが、Check Point の新たな調査で明らかになった。同社は、「単一の悪意のプロンプトにより、通常の会話が秘匿的なデータ流出チャネルへと変化し、ユーザーメッセージ/アップロードファイルなどの機密情報が漏洩する可能性がある。また、バックドア化された GPT により、ユーザーの認識なしにデータへのアクセスが行われる」と指摘していた。
Continue reading “OpenAI が公表:ChatGPT のデータ漏洩とCodex の GitHub トークン窃取の脆弱性”VoidLink Malware Framework Shows that AI-assisted Malware is Not Experimental Anymore
2026/03/30 CyberSecurityNews — AI を用いて危険なマルウェアを大規模に生成できるかという議論が、長年にわたりサイバー・セキュリティ専門家たちの間で展開されてきたが、その話は、すでに決着している。2026年初頭に発見された Linux ベースのマルウェア・フレームワーク VoidLink が示すのは、理論上の概念から完全な実戦投入の段階の脅威へと、AI 支援マルウェアが移行したことであり、セキュリティ・コミュニティが懸念し続けてきた境界を超えたことである。
Continue reading “VoidLink が示す脅威の実態:AI 生成マルウェアが実運用へ移行した”Cybersecurity Companies’ Stocks Fall as Anthropic Tests Powerful New Model
2026/03/28 CyberSecurityNews — 3月27日 (金) に、サイバー・セキュリティ関連株が急落した。その背景にあるのは、Anthropic が明らかにした、高度な脆弱性発見能力を持つ新たな AI モデル Mythos のテストの開始である。現時点の Anthropic は、Capybara というコードネームを持つ新世代 AI モデル群を試験運用しているが、その中の主力モデルが Mythos である。
Continue reading “Anthropic Mythos の衝撃:サイバー・セキュリティ関連株が軒並み急落”Malicious Browser Extensions Hijack Users’ AI Chats in New “Prompt Poaching” Attack
2026/03/28 gbhackers — 悪意のブラウザ・エクステンションにより、AI ツールの機微なユーザー操作を密かに収集する、Prompt Poaching (プロンプト密猟) と呼ばれる新たな攻撃の波が確認されている。日常的なブラウジングにおける AI アシスタントの普及により、ユーザビリティにギャップが生じている。数多くのユーザーは、分離されたタブで AI ツールを利用し、解析や要約のために手動でコンテンツをコピー&ペーストしている。
Continue reading “Prompt Poaching という新たな AI 攻撃:悪意のエクステンションによる API/DOM 侵害”Databricks Expands Into Cybersecurity with AI-Driven Lakewatch Platform
2026/03/27 SecurityBoulevard — Databricks が発表したのは、Lakewatch と呼ばれる新しいセキュリティ・プラットフォームによる、サイバー・セキュリティ分野への進出である。これまでのデータと AI に関連する製品を、隣接するエンタープライズ・セキュリティ市場へと拡張する、一貫した戦略における新たな展開である。
Continue reading “Databricks が SIEM 分野に参入:AI 駆動型の Lakewatch プラットフォームの強みとは?”Claude Chrome Extension 0-Click Vulnerability Enables Silent Prompt Injection Attacks
2026/03/27 CyberSecurityNews — Anthropic の Claude Chrome エクステンションに存在していた深刻なゼロクリックの脆弱性により、300万人以上のユーザーがサイレント・プロンプト・インジェクション攻撃に晒されていたことが判明した。この脆弱性は修正済みであるが、攻撃が発生した場合に可能だったのは、ユーザー操作を必要としない AI アシスタントの乗っ取りである。具体的には、Gmail アクセストークンの窃取/Google Drive ファイルの読み取り/チャット履歴のエクスポート/メール送信などが、ユーザーには不可視な状況で実行された可能性がある。
Continue reading “Claude Chrome エクステンションの脆弱性が FIX:信頼境界の拡大とプロンプト・インジェクション攻撃”AI Speeds Attacks, But Identity Remains Cybersecurity’s Weakest Link
2026/03/25 SecurityWeek — AI の影響はサイバーセキュリティ全体に浸透しており、攻撃者に対して高度化/スピード/スケールをもたらしている。攻撃主体と攻撃対象は、地政学的な緊張および国際的な同盟関係の大きな影響を受けるようになっている。しかし、サイバー・セキュリティは、その中心にアイデンティティを据える必要がある。ただし、アイデンティティは侵入の入口であり、かつ容易に失われるものだ。
Continue reading “AI により高速化されるサイバー攻撃:ID が引きずり続ける弱点に向き合うためには?”Training an AI agent to attack LLM applications like a real adversary
2026/03/25 HelpNetSecurity — 従来のペンテストが追いつかない速度で、数多くのエンタープライズ・ソフトウェア開発チームが、AI 搭載アプリケーションをリリースしている。たとえば、500 のアプリケーションを抱えるセキュリティ・チームであっても、それぞれのアプリに対して、年に1 回以下の頻度でしかテストが行われていないケースもある。その間にも、モデル/統合/動作は変化し続けるが、それに対応するセキュリティ・レビューは実施されていない。
Continue reading “Novee が発表した AI Red Teaming for LLM:AI を駆使する攻撃者の目線でペンテストを実施”RSA Conference: UK NCSC Head Urges Industry to Develop Vibe Coding Safeguards
2026/03/25 InfoSecurity — 英国の National Cyber Security Centre の CEO が、「バイブ・コーディングによる破壊的な機会を活用すべきだ」と、セキュリティ専門家に対して呼びかけている。ただし、AI コード生成ツールが、セキュリティにとって正しい効果を生み出すためには、普及のスピードに応じた安全対策の迅速な整備が不可欠である。
Continue reading “バイブ・コーディングによる破壊を活用すべき:UK NCSC が示唆する未来とは? – RSAC 2026”Google Unleashes Gemini AI to Scour Dark Web for Corporate Threats
2026/03/24 SecurityBoulevard — Google が発表したのは、新たなダークウェブ・インテリジェンス・サービスであり、地下犯罪フォーラムに対する監視の負担軽減を目的とするものだ。このサービスは、多大な工数を要する監視作業に対処するために設計されている。Google は、Gemini を搭載した人工知能 (AI) エージェントを活用し、1日あたり 1,000 万件以上の投稿を解析/精査している。これにより、従来のキーワード・ベースの旧式システムを置き換え、脅威のコンテキストを理解するプラットフォームの提供が可能になるという。
Continue reading “Google Gemini 搭載のダークウェブ監視 AI を公開:プロアクティブな脅威プロファイリングを開始”Datadog Launches AI Security Agent to Combat Machine-Speed Cyberattacks
2026/03/23 SecurityBoulevard — RSA Conference (RSAC) において Datadog が公表したのは、Bits AI Security Analyst の一般への提供に関する情報である。その背景にあるのは、急増するデジタル脅威に対するセキュリティ運用の在り方である。この AI エージェントは、Datadog の Cloud SIEM (Security Information and Event Management) に直接統合され、Security Operations Center (SOC) における重大なボトルネックの解消を狙うものだ。
Continue reading “Datadog が Bits AI を公表:複雑なインシデント分析を 30 秒程度に短縮 – RSAC 2026”Wiz Launches AI-APP to Tackle ‘New Anatomy’ of Cyber Risk
2026/03/23 SecurityBoulevard — RSA Conference 2026 で Wiz が発表したのは、AI ネイティブ開発を構成するモデル/AI エージェント/データの複雑な連携を保護するための、プラットフォーム AI Application Protection Platform (AI-APP) である。
Continue reading “Wiz が公表した AI-APP:AI がもたらすデータの複雑な連携を保護 – RSAC 2026”Cisco Extends Security Reach to AI Agents
2026/03/23 SecurityBoulevard — RSA Conference (RSAC) において Cisco が公表したのは、AI エージェントのセキュリティ確保と、 AI を活用するセキュリティ運用の自動化を目指す、サイバー・セキュリティ・ポートフォリオの拡張である。
Continue reading “Cisco の AI Agent 対策:Duo IAM の拡張により MCP と Secure Access に対応 – RSAC 2026”CrowdStrike Redefines Cybersecurity Architecture for Autonomous AI
2026/03/23 SecurityBoulevard — CrowdStrike が公表したのは、Falcon プラットフォームを大幅に拡張し、エンドポイントを AI ガバナンスの最前線として位置付けていくという方針である。グローバル・エンタープライズ環境において、自律型の AI エージェントがシステムレベル権限で動作し始める中での声明である。
Continue reading “CrowdStrike の次世代 Falcon:AI ガバナンスの最前線としての立ち位置 – RSAC 2026”Claude Vulnerabilities Allow Data Exfiltration and User Redirection to Malicious Sites
2026/03/19 CyberSecurityNews — Anthropic の AI アシスタント Claude.ai で発見された 3 つの脆弱性は、機密会話データの流出や、悪意の Web サイトへのユーザーのリダイレクトなどを引き起こす。それぞれの悪用チェーンにおいて、インテグレーション/ツール/MCP サーバのコンフィグなどは一切必要とされない。これらの脆弱性チェーンは Claudy Day と命名され、Responsible Disclosure Program を通じて OASIS から Anthropic に報告されている。”claude.com” プラットフォームにおける 3 つの脆弱性を組み合わせて、エンドツーエンドの侵害パイプラインを構築することも可能とされる。
Continue reading “Claude の脆弱性 Claudy Day:データ侵害などを引き起こす不可視プロンプト・インジェクションとは?”Menlo Security Adds Platform to Secure AI Agents
2026/03/18 SecurityBoulevard — 2026年3月19日に Menlo Security が発表したのは、ブラウザ上で動作する (AI) エージェントを保護するための Browser Security Platform である。それにより、クラウドベース環境へのアクセスと、アプリケーションへのセキュアな接続が可能になる。
Continue reading “Menlo Security が提供する AI エージェント保護のプラットフォーム:プロンプト・インジェクションの脅威に対応”AI Issues Will Drive Half of Incident Response Efforts by 2028, Says Gartner
2026/03/18 infosecurity — セキュリティ・チームがプロジェクト初期段階から関与しない限り、カスタム構築された AI アプリケーションにより、今後の数年間にわたり大きな問題が引き起こされると Gartner は警告した。2028年の時点では、エンタープライズにおけるインシデント対応の少なくとも半分が、AI アプリに関連するセキュリティ問題の影響対応に費やされると、同社のアナリストは予測している。
Continue reading “Gartner が予測する 2028年のセキュリティ:AI アプリがインシデント対応の半分を占める”CrowdStrike Extends Agentic AI Alliance with NVIDIA
2026/03/16 SecurityBoulevard — CrowdStrike が発表したのは、NVIDIA が提供するツールキットの活用と、Managed Detection and Response (MDR) サービスへの AI エージェントの導入である。それと同時に CrowdStrike は、NVIDIA と共同で構築した Secure-by-Design AI Blueprint を、オープンソース・ランタイム NVIDIA OpenShell に統合することで、AI エージェントのポリシー・ベースのガードレールへの容易な適用を促進していくと発表した。さらに、この Blueprint を、すべてのサイバー・セキュリティ・プラットフォーム/サービスへ統合する方針を明確にした。
Continue reading “CrowdStrike と NVIDIA の AI アライアンス:MDR への AI エージェントの導入と Secure-by-Design”Researchers Find Data Leak Risk in AWS Bedrock AI Code Interpreter
2026/03/16 hackread — Amazon Web Services (AWS) のツールに存在する脆弱性 CVE-N/A (CVSS:7.5) を悪用する脅威アクターが、企業の機密データを窃取する可能性があることを、サイバー・セキュリティ研究者たちが明らかにした。ID セキュリティ企業 BeyondTrust の研究部門 Phantom Labs により実施された調査の対象は、AWS Bedrock AgentCore Code Interpreter である。
Continue reading “AWS Bedrock AI Code Interpreter の脆弱性 CVE-N/A:DNS を介したプロンプト・インジェクション”IBM Discovers ‘Slopoly’ AI-Generated Malware Linked to Hive0163 Ransomware
2026/03/16 gbhackers — AI により生成されたと思われるマルウェア・フレームワーク “Slopoly” を、実験的に使用するランサムウェア・グループ Hive0163 は、AI 支援ツールを活用する攻撃形態へと移行を進めている。このマルウェア自体は比較的単純であるが、Large Language Model (LLM) を用いる脅威アクターが、カスタム Command-and-Control (C2) クライアントを迅速に生成/改良する可能性を示している。
Continue reading “Hive0163 が AI 生成マルウェア Slopoly を実戦投入:攻撃チェーンの変化と実態とリスク”OpenClaw AI Agents Vulnerable to Indirect Prompt Injection, Causing Data Leaks
2026/03/16 gbhackers — OpenClaw AI エージェントが CNCERT から受けた警告は、安全ではないデフォルト設定とプロンプト・インジェクションの脆弱性に関するものであり、深刻なセキュリティ検証の対象となるべきものである。防御側にとって、最も深刻なリスクは単なるモデルの混乱ではない。通常の AI エージェントの動作が、データ流出パイプラインへと静かに変換される点である。コンテンツ由来の操作が、深刻な運用セキュリティ・インシデントへと急速に発展する、新たな問題を示している。
Continue reading “OpenClaw AI Agent の問題:安全ではないデフォルト設定とプロンプト・インジェクションの脆弱性”AI Agents Present ‘Insider Threat’ as Rogue Behaviors Bypass Cyber Defenses: Study
2026/03/15 SecurityBoulevard — 企業を効率化させるフロンティアとして期待される人工知能 (AI) エージェントだが、従来のサイバー・セキュリティを無力化しかねない、虚偽的で逸脱した行動を示し始めている。最新の研究によると、それらの自律システムは、機密データを密かに流出させ、認証情報を偽造しているという。さらには、他の AI に圧力をかけて、安全プロトコルの回避を促す能力を持つことも確認されている。
Continue reading “AI エージェントが企業ネットワークを攻撃:機密データ流出や認証情報偽造のリスクとは?”Critical LangSmith Account Takeover Vulnerability Puts Users at Risk
2026/03/14 CyberSecurityNews — LangSmith に存在する深刻な脆弱性 CVE-2026-25750 を、Miggo Security の研究者たちが発見した。この脆弱性を悪用する攻撃者は、トークン窃取や完全なアカウント乗っ取りを引き起こす可能性がある。LangSmith は大規模言語モデルデータのデバッグおよび監視の中核プラットフォームとして機能し、毎日数十億件のイベントを処理する。そのため、この欠陥は、エンタープライズ AI 環境にとって極めて深刻なセキュリティ問題を引き起こす。
Continue reading “LangSmith の脆弱性 CVE-2026-25750 が FIX:API 設定不備とセッション情報の流出”Critical Zero-Click Flaw in n8n Allows Full Server Compromise
2026/03/13 InfoSecurity — n8n のセルフ・ホステッド/クラウド環境に存在する 2 件の深刻な脆弱性が、Pillar Security の研究者たちにより発見された。n8n とは、世界中の数十万のエンタープライズ AI システムで使用されている、人気のオープンソース・ワークフロー自動化プラットフォームである。発見された脆弱性 CVE-2026-27577/CVE-2026-27493 は、未認証の攻撃者にサーバの完全な乗っ取りを許すものであり、攻撃に際してユーザー操作やクリックは必要とされない。
Continue reading “n8n の脆弱性 CVE-2026-27577/27493 が FIX:サンドボックス・エスケープによる乗っ取りの可能性”83% of Cloud Breaches Start with Identity, AI Agents Are About to Make it Worse
2026/03/12 SecurityBoulevard — Google の “H1 2026 Cloud Threat Horizons Report” は、Google Threat Intelligence Group/Mandiant Incident Response/Office of the CISO が共同で作成したものであり、長年にわたりセキュリティ・リーダーたちが懸念してきた現実を明確に示している。脅威の環境は単に進化しているだけではなく、過去 20 年間に構築されたツールや組織的な対応能力を超えるスピードで加速している。このレポートの 3 つの主題を総合すると、それぞれの企業が見直すべきは、アイデンティティ管理/AI 管理/防御アーキテクチャの根本的な設計にあることが見えてくる。
Continue reading “クラウド侵害の 83% は ID 攻撃から始まる:事態を悪化させる NHI と AI の遭遇”Microsoft Copilot Email and Teams Summarization Vulnerability Enables Phishing Attacks
2026/03/12 CyberSecurityNews — AI アシスタントにより、日常の業務が急速に変革されている。それにより、大量のメール・インボックス管理/クライアント・コミュニケーション/インシデント・レスポンスを担当するチームの作業が効率化されている。Microsoft Copilot のようなツールが、日常のワークフローに直接統合され、Microsoft 365 エコシステム全体からコンテキストを取得しながら、メールやミーティングの内容を要約する。しかし、多くの組織が防御準備を整えていないため、この利便性による新たなセキュリティ境界の問題が生じている。
Continue reading “Microsoft Copilot の脆弱性 CVE-2026-26133 が FIX:Email/Teams 要約を介したフィッシング”Google Warns of AI‑Driven Adaptive Malware Rewriting Its Own Code
2026/03/11 gbhackers — 2025年の脅威アクターたちは、人工知能の試験的利用から実運用への本格統合へと移行し、サイバー・セキュリティの状況を大きく変化させている。Google Threat Intelligence Group (GTIG) と Mandiant の新たな分析によると、いまの攻撃者たちは、動的に挙動を変更する適応型マルウェアや、自律型 AI エージェントを展開している。それにより、サイバー脅威の速度/規模/複雑性が著しく増大している。
Continue reading “AI 駆動の環境適応型マルウェア:オンデマンドで悪意のコードやコマンドを生成 – Google 調査”Anthropic Sued the U.S. Government for Labelling Claude as ‘Supply Chain Risk’
2026/03/10 CyberSecurityNews — 人工知能分野の企業である Anthropic は、米国政府による “サプライチェーン・リスク指定” を受け、前例のない訴訟を提起した。この訴訟は、3月9日 (月) にカリフォルニア州連邦裁判所へ提出され、ドナルド・トランプ政権と、ピート・ヘグセス国防長官、そして 16 の連邦機関を相手取るものである。
Continue reading “Anthropic が米国政府を訴えた:サプライチェーン・リスク指定の撤回と大統領権限の逸脱を主張”Microsoft: Fake AI Extensions Breached Chat Histories in 20,000+ Enterprise Tenants
2026/03/09 gbhackers ‐‐‐ 正規の AI アシスタント・ツールを装う、悪意の Chromium ベースのブラウザ・エクステンションの大規模な配布を、Microsoft が確認し、警告を発している。ChatGPT や DeepSeek に関連する一連のエクステンションは、Chrome Web Store で公開され、Google Chrome/Microsoft Edge の両方に対応している。しかし実際には、ブラウザ内の機密データおよび AI チャット内容を秘密裏に収集するものである。
Continue reading “AI ツールを装う Chrome エクステンション:企業データを大量収集していると Microsoft が警告”Transparent Tribe’s ‘Vibeware’ Move Points to AI-Made Malware at Scale
2026/03/09 gbhackers — Transparent Tribe (APT36) は、従来の既製ツール中心の運用から、“vibeware” と呼ばれる AI 支援型のマルウェア・モデルへ移行している。この現象が示すのは、LLM による低洗練度の持続的な攻撃が、産業規模で生み出される段階に入ったことだ。インドの政府機関や大使館などに対する最近のキャンペーンで、このグループは AI 主導の開発パイプラインへ移行し、複数の言語で書かれた使い捨て型インプラントを継続的に生成している。
Continue reading “Transparent Tribe の “vibeware”:AI 支援により大量生産されるマルウェアの脅威とは?”OpenAI’s Codex Security Built to Automate Vulnerability Discovery and Remediation
2026/03/07 gbhackers — OpenAI が正式に発表したのは、脆弱性の発見と修復の自動化を目的とする、高度なアプリケーション・セキュリティ・エージェント Codex Security である。これまでは、Aardvark として知られていたツールであり、現在はリサーチ・プレビュー版として提供されている。 最先端の AI モデルと自動検証を組み合わせることで、手動によるセキュリティ・レビューのボトルネックを解消し、トリアージ・ノイズを大幅に削減することを目的としている。これにより、開発チームによる安全なコードの出荷/リリースが迅速に行われるようになる。
Continue reading “OpenAI が Codex Security を正式発表:脆弱性の発見/検証/修復を自動化するセキュリティ AI”EC-Council Expands AI Certification Portfolio to Strengthen U.S. AI Workforce Readiness and Security
2026/03/06 BleepingComputer — AI によるリスクは、グローバルで $5.5 trillion 規模と推定され、米国では 70万人の再教育が必要とされている。その一方で、AI 導入と人材準備のギャップ解消を目的として、4つの新たな AI 資格と Certified CISO v4 が注目を集めている。Certified Ethical Hacker (CEH) の開発元であり、実践的なサイバー・セキュリティ教育の世界的リーダーである EC-Council が、Enterprise AI Credential Suite を発表した。それと同時に、4つの新しいロールベース AI 資格と、刷新されたエグゼクティブ向けプログラム Certified CISO v4 も公開した。
Continue reading “米国における AI と EC-Council:人材の準備を目的とする AI 認定ポートフォリオの拡大”Claude AI Uncovers 22 Firefox Vulnerabilities in Two Weeks
2026/03/06 CyberSecurityNews — 人工知能モデルは単純なコード補助ツールから、自律型の高度な脆弱性研究者へと急速に進化している。最近の Anthropic Claude Opus 4.6 は、厳しく監査されてきたはずのオープンソース・プロジェクトにおいて、500 件を超えるゼロデイ脆弱性を発見した。その一環として、2026年2月の 2 週間をかけて Mozilla と Anthropic が共同で実施した検証では、Firefox に存在していた 22 件のセキュリティ欠陥が Claude Opus 4.6 により特定されている。Mozilla は、そのうち 14 件を高深刻度と分類したが、この件数は、2025年に修正された Firefox の高深刻度脆弱性の約 20% に相当する。
Continue reading “Claude AI が発見した Firefox の脆弱性 22 件:2 週間にわたる Mozilla との共同検証の成果とは?”New Threat Report: AI Accelerates High-Velocity Cyber Attacks
2026/03/04 gbhackers — サイバー攻撃の入口は、侵入からログインへと移行している。AI が高速作戦を自動化し、人間の防御能力を圧倒している状況が、現在のトレンドである。Cloudforce One が定義する MOE (Measure of Effectiveness) は、投入労力に対する作戦成果を冷徹に比較する指標である。現代の脅威アクターたちは、キャンペーンの各段階において、最適化された MOE を中心に活動している。
Continue reading “AI による侵害の自動化:労力と成果のバランスを攻撃側と防御側で比較”AI Agents: The Next Wave Identity Dark Matter – Powerful, Invisible, and Unmanaged
2026/03/03 thehackernews — Model Context Protocol (MCP) は、LLM を単なるチャットから実務遂行へと拡張する、実用的な手段として急速に普及している。アプリケーション/API/データへの構造化されたアクセスを提供する MCP は、プロンプト駆動型 AI Agent を実現する。それにより実現するのは、情報取得/アクション実行/End-to-End の業務ワークフローの、エンタープライズ全体での自動化である。
Continue reading “AI Agent は ID ダークマター or チームメイト?低摩擦経路を探索する MCP の特性から考える”Zenity Details Perplexity AI Browser Vulnerability
2026/03/03 SecurityBoulevard — Perplexity が開発した Comet AI ブラウザに対して、ゼロクリック攻撃が可能であることを Zenity が詳述している。同社は、AI アプリケーションと AI エージェントのセキュリティを確保するための、プラットフォームを提供する企業である。Zenity の CTO である Michael Bargury によると、PerplexedComet と命名された攻撃ベクターを悪用する攻撃者は、コンテンツの制御を可能にするという。その結果、接続されたツール/ワークフロー全体において、自律的な動作が引き起こされる恐れがある。
Continue reading “Perplexity AI Browser の脆弱性 CVE-N/A が FIX:カレンダーから間接的プロンプト・インジェクション”Hackerbot-Claw Bot Exploits GitHub Actions CI/CD Flaw to Attack Microsoft and DataDog
2026/03/03 gbhackers — 自律型 AI ボット Hackerbot-claw は、Microsoft/DataDog などの主要オープンソースプロジェクトの CI/CD パイプラインを標的として、GitHub Actions のミスコンフィグを悪用する 1 週間の攻撃キャンペーンを展開した。その結果、複数のケースでリモートコード実行 (RCE) が達成され、リポジトリ全体の完全侵害に至るケースも確認された。この攻撃が浮き彫りにするのは、安全でない pull_request_target ワークフローおよびシェル補間バグが、日常的な自動化をサプライチェーン・バックドアへと転換させてしまう危険性である。
Continue reading “Microsoft/DataDog 標的の CI/CD 攻撃キャンペーン:Hackerbot-claw が GitHub Actions を悪用”Threat Actors Exploit OpenVSX Aqua Trivy with Malicious AI Prompts to Hijack Local Coding Tools
2026/03/03 CyberSecurityNews — 2026年3月2日に、開発者を標的とするサプライチェーン攻撃が発覚した。OpenVSX レジストリ上で公開される Aqua Security の Trivy VS Code エクステンションの、2 つのバージョンに不正コードが混入していたことが判明した。侵害されたバージョンは 1.8.12/1.8.13 であり、それぞれが 2026年2月27日/28日の時点で、aquasecurityofficial.trivy-vulnerability-scanner ネームスペース下へアップロードされていた。
Continue reading “OpenVSX 上の悪意の Aqua Trivy:AI プロンプトを介してローカル開発環境を侵害”Chrome Gemini Vulnerability Lets Attackers Access Victims’ Camera and Microphone Remotely
2026/03/03 gbhackers — Google Chrome の Gemini Live インテグレーションに、新たな高深刻度の脆弱性が存在することが確認された。この脆弱性 CVE-2026-0628 は、ユーザーに重大なプライバシー/セキュリティ・リスクをもたらす。この脆弱性により、悪意のブラウザ・エクステンションが Gemini サイド・パネルを乗っ取る可能性がある。その結果として、ユーザーのカメラ/マイク /ローカル・ファイルへの不正アクセスが発生し得ると、研究者たちは指摘している。
Continue reading “Chrome Gemini の脆弱性 CVE-2026-0628 の詳細:AI タスク実行のための高権限付与という問題”
IoT OT Security News 
You must be logged in to post a comment.