技術 2026年3月14日(土) 約5分 Chrome 146のゼロデイ2件、SkiaとV8で実環境悪用を確認 GoogleがChrome 146.0.7680.75で修正した2件のゼロデイ脆弱性。Skia(CVSS 8.8)とV8(CVSS 8.8)への攻撃が実環境で確認されており、2026年に入って3件目のChrome緊急パッチとなった。 Chrome Security Zero-day V8 CVE
技術 2026年3月13日(金) 約4分 n8nの複数RCE脆弱性とCISA KEV追加、24,700インスタンスに未パッチが残る n8nのワークフロー式評価に深刻なRCE脆弱性が複数発見された。CVE-2025-68613(CVSS 9.9)はCISAのKEVカタログに追加され積極的な悪用が確認済み。未認証攻撃が可能なCVE-2026-27493(CVSS 9.5)も含め、全ユーザーに即時パッチ適用が必要。 Security n8n CVE RCE CISA
技術 2026年3月12日(木) 約14分 GitHubのエージェント実行基盤とOpenAI IH-Challengeによるプロンプトインジェクション対策 GitHubがエージェント実行基盤の多層防御設計を公開し、OpenAIはinstruction hierarchy訓練データIH-Challengeとモデルを発表。インフラ設計と訓練の両軸からプロンプトインジェクションへの応答が出揃った。 AI Security GitHub OpenAI Agent LLM安全性
技術 2026年3月10日(火) 約6分 OpenAIのPromptfoo買収とMicrosoftのマルチモデル転換 OpenAIがAIセキュリティ評価プラットフォームPromptfooを買収、同日MicrosoftはAnthropicのClaude CoworkをM365 Copilotに採用。エンタープライズAI市場の構造が変わり始めた。 OpenAI Microsoft Anthropic Claude Security Red Teaming Copilot Enterprise AI
技術 2026年3月7日(土) 約8分 AIによるコード脆弱性解析の実績が出始めた AnthropicがClaudeでFirefoxのJSエンジンから22件のCVEを発見、GitHub Security LabはAI駆動のOSSフレームワーク「Taskflow Agent」で80件以上の脆弱性を検出。AIがセキュリティ研究の現場ツールになりつつある。 Security AI Firefox GitHub Anthropic Claude
技術 2026年3月6日(金) 約15分 Clinejection: GitHubイシュータイトルから4000台の開発マシンにAIエージェントが降ってきた攻撃の全容 GitHubイシュータイトルへのプロンプトインジェクションを起点に、AIトリアージbot経由でnpmトークンを窃取し、悪意あるパッケージを公開した5段階の攻撃チェーンの詳細。 Security Supply Chain npm Prompt Injection AI Agent
技術 2026年3月4日(水) 約10分 「StegaBin」がPastebinのゼロ幅文字でC2を隠蔽し悪意あるnpmパッケージを配布 北朝鮮系Famous ChollimaがContagious Interviewキャンペーンの延長で26個のnpmパッケージを公開。Pastebinのエッセイにゼロ幅Unicode文字でC2を隠蔽し、31のVercelデプロイメント経由で9モジュールRATを展開する。 Security npm Supply Chain Malware North Korea
技術 2026年3月3日(火) 約3分 APT28がMSHTMLゼロデイCVE-2026-21513を悪用、2月パッチまで野放し ロシア系APT28がieframe.dllのURLバリデーション欠陥(CVE-2026-21513、CVSS 8.8)を2026年1月に悪用開始。LNKファイル経由でMark-of-the-Webをバイパスし、ブラウザサンドボックス外でコードを実行する攻撃チェーンの技術的仕組みを整理した。 Security Windows APT28 MSHTML CVE
技術 2026年3月2日(月) 約11分 JPEG-XL復活とPQC移行のMerkle Tree Certificates、Chrome 145〜146の変更点 Chrome 145でのJPEG-XL復活とcjxlの使い方、RSA→楕円曲線→PQCの暗号変遷とMerkle Tree Certificates、WebMCPの実装例、Chromeゼロデイの動向、カスタマイズ可能なselect要素まで。 Chrome Security AI Web
技術 2026年2月28日(土) 約7分 PasskeysのPRF拡張をデータ暗号化の鍵導出に使ってはいけない W3C WebAuthn L3共同エディターのTim Cappalli氏がPRF拡張による暗号化鍵導出のリスクを警告。認証器を失うとデータが永久に復元不能になる構造的問題と、Bitwarden・WhatsApp等の実装状況、推奨されるEnvelope Encryptionパターンを整理した。 Passkeys WebAuthn Security FIDO Encryption
技術 2026年2月26日(木) 約6分 Cisco SD-WAN CVSS 10.0にClaude脆弱性3件、NuGet/npmサプライチェーン攻撃 Cisco SD-WAN認証バイパスとUAT-8616の3年間の継続攻撃、NuGet/npmサプライチェーン攻撃、Claude Code/Desktop Extensions/メキシコ政府侵害を扱う。 Security Cisco CVE Supply Chain npm NuGet AI Security Claude
技術 2026年2月25日(水) 約9分 AIエージェントを踏み台にするAMOS、OpenClaw SKILL.mdを経由したmacOS感染チェーン Trend MicroがAIエージェント経由の新しいAMOS配布手法を分析。OpenClaw上の悪性SKILL.mdが偽CLIインストール命令を仕込み、AIを仲介者として人間を操作する。 Security macOS AI Agent Malware Supply Chain
