技術 2026年4月27日(月) 約9分 安全モニタの評価器を狙うsecond-order injection LLM安全モニタの評価器が、監視対象のセッション本文に埋め込まれた命令で判定を上書きされる問題。second-order injectionの実験結果、防御の限界、実装上の分離ポイントを整理する。 セキュリティ LLM Prompt Injection LLM安全性 AIエージェント
技術 2026年4月24日(金) 約6分 VercelがContext.ai起点と独立の先行侵害を4/23に確認、Lumma Stealer経由のVercelトークン直接窃取も想定 Vercelが4/23に公開した続報で、Context.ai侵害とは独立した顧客アカウントの先行侵害を確認した。Lumma Stealerの感染経路、ShinyHuntersの$2M売却リスト、non-sensitive環境変数の実体まで含めて整理する。 Vercel セキュリティ OAuth インシデント マルウェア サプライチェーン
技術 2026年4月22日(水) 約11分 iPhone 17のHEICでexifrがGPSを取れなくなる問題をブラウザ内フォールバックで救う iPhone 17のHEICはftyp boxに新しいブランド識別子が増えてサイズが拡張され、exifrのハードコード検証で弾かれる。dynamic importでExifReaderに切り替えるフォールバック設計と、Null Island除外・iloc事前検査などの守りを合わせて整理する。 iOS ブラウザ JavaScript Web セキュリティ
技術 2026年4月22日(水) 約4分 Microsoft が ASP.NET Core の権限昇格脆弱性 CVE-2026-40372 にパッチ 暗号署名検証の回帰で CVSS 9.1 の脆弱性が .NET 10.0 に混入。Data Protection API が HMAC 検証を不完全に実装し、パディングオラクル攻撃でトークン偽造が可能に。 セキュリティ ASP.NET Core .NET CVE 脆弱性 暗号化
技術 2026年4月20日(月) 更新 約5分 Context.ai侵害がOAuthチェーンでVercel本体まで到達したセキュリティインシデント Vercelが2026年4月19日に公開した公式インシデント告知。Context.aiのGoogle Workspace OAuthアプリ侵害を起点に、Vercel従業員のGoogle Workspaceアカウント乗っ取り、一部プロジェクトの環境変数アクセスまでつながった経緯と、利用者が今すぐ確認すべき項目を整理する。 Vercel セキュリティ OAuth Google Workspace インシデント サプライチェーン
技術 2026年4月18日(土) 約4分 Vertex Addons for ElementorでCVE-2026-4326、Subscriber権限から任意プラグインを有効化できる WordPressのElementor拡張プラグイン『Vertex Addons for Elementor』v1.6.4以下で、activate_required_plugins()の認可チェック実装ミスによりSubscriber権限以上の利用者が任意のプラグインをインストール・有効化できるCWE-862脆弱性。CVSS 8.8。 セキュリティ WordPress CVE 脆弱性 Elementor Wordfence
技術 2026年4月16日(木) 約6分 NIST NVDがCVE全件エンリッチメントを断念、優先トリアージ制へ移行 NISTがNVDの運用方針を転換。CVE全件へのエンリッチメントをやめ、CISA KEV・連邦政府ソフト・EO 14028重要ソフトの3カテゴリのみ優先対応する。 セキュリティ CVE 脆弱性 NIST
技術 2026年4月16日(木) 約6分 nginx-uiのMCPエンドポイント認証欠如(CVE-2026-33032)が実攻撃に、パッチなし Webベースのnginx管理ツールnginx-uiにCVSS 9.8の認証バイパスが見つかり、実攻撃が確認された。MCPの/mcp_messageエンドポイントが認証をスキップするため、未認証のリモート攻撃者がnginx設定を自由に書き換えられる。 セキュリティ CVE nginx MCP 認証バイパス 脆弱性
技術 2026年4月15日(水) 約11分 LLMの安全フィルタの仕組みとabliteratedモデルの実態 LLMの安全性はRLHF・Constitutional AI・システムプロンプト・入出力フィルタの多層構造で成り立っている。クラウド各社の温度差、abliteratedとuncensoredの違い、ローカルLLMのデフォルト検閲レベルを整理した。 AI LLM ローカルLLM セキュリティ Gemini Claude Ollama
技術 2026年4月15日(水) 約10分 Cloudflare MeshとエンタープライズMCP参照アーキテクチャ Cloudflare Agents Week 2026の4月14日発表から2本。AIエージェントをプライベートネットワークに接続するMeshと、MCPをエンタープライズスケールで管理するMCP参照アーキテクチャの設計を整理した。 Cloudflare AIエージェント MCP ネットワーク セキュリティ Workers Zero Trust エンタープライズ
技術 2026年4月15日(水) 約6分 2026年4月Patch Tuesday、163件パッチでSharePointゼロデイとBlueHammer PoC公開に対応 史上2番目の規模となったMicrosoft 4月Patch Tuesday。SharePoint Server XSSゼロデイ(CVSS 6.5)が実攻撃で悪用されCISA KEV入り、Windows DefenderのBlueHammer(CVSS 7.8)はフルPoC公開済み。IKEワーム化RCE(CVSS 9.8)を含む高CVSSも多数。 セキュリティ Microsoft Windows SharePoint CVE 脆弱性 CISA KEV
技術 2026年4月14日(火) 約9分 CISA KEV、Fortinet・Microsoft・Adobe 7件を一斉追加(4月13日) FortiClient EMSのSQLインジェクション(CVSS 9.1)を含む7件が実悪用確認でKEV入り。連邦機関はFortinetのみ4月16日、残り6件は4月27日が期限。 セキュリティ CISA CVE Fortinet Microsoft Adobe 脆弱性 KEV
