技術 2026年3月13日(金) 約4分 n8nの複数RCE脆弱性とCISA KEV追加、24,700インスタンスに未パッチが残る n8nのワークフロー式評価に深刻なRCE脆弱性が複数発見された。CVE-2025-68613(CVSS 9.9)はCISAのKEVカタログに追加され積極的な悪用が確認済み。未認証攻撃が可能なCVE-2026-27493(CVSS 9.5)も含め、全ユーザーに即時パッチ適用が必要。 セキュリティ n8n CVE RCE CISA
技術 2026年3月12日(木) 約14分 GitHubのエージェント実行基盤とOpenAI IH-Challengeによるプロンプトインジェクション対策 GitHubがエージェント実行基盤の多層防御設計を公開し、OpenAIはinstruction hierarchy訓練データIH-Challengeとモデルを発表。インフラ設計と訓練の両軸からプロンプトインジェクションへの応答が出揃った。 AI セキュリティ GitHub OpenAI AIエージェント LLM安全性
技術 2026年3月10日(火) 約6分 OpenAIのPromptfoo買収とMicrosoftのマルチモデル転換 OpenAIがAIセキュリティ評価プラットフォームPromptfooを買収、同日MicrosoftはAnthropicのClaude CoworkをM365 Copilotに採用。エンタープライズAI市場の構造が変わり始めた。 OpenAI Microsoft Anthropic Claude セキュリティ Red Teaming Copilot Enterprise AI
技術 2026年3月10日(火) 約8分 AIエージェントのローカル隔離実行、macOS sandbox-execとWindowsサンドボックスで何が違うか AIコーディングエージェントのローカル隔離実行を実現する2つのアプローチ。macOSはAgent SafehouseがOSネイティブのsandbox-execでカーネルレベル制限、WindowsはCodexがVMベースのWindowsサンドボックスを活用する。 AIエージェント セキュリティ macOS Windows Claude Code OpenAI
技術 2026年3月7日(土) 約8分 AIによるコード脆弱性解析の実績が出始めた AnthropicがClaudeでFirefoxのJSエンジンから22件のCVEを発見、GitHub Security LabはAI駆動のOSSフレームワーク「Taskflow Agent」で80件以上の脆弱性を検出。AIがセキュリティ研究の現場ツールになりつつある。 セキュリティ AI Firefox GitHub Anthropic Claude
技術 2026年3月6日(金) 約11分 CyberStrikeAI FortiGate侵害600台、Cloudflare WAF常時検知、RFC 9849 ECH標準化、VMware Aria KEV登録 AI攻撃ツールCyberStrikeAIによるFortiGate 600台侵害、CloudflareのWAF検知・遮断分離アーキテクチャ、TLS Encrypted Client Hello標準化、VMware Aria OperationsのCISA KEV追加。2026年3月初旬のインフラセキュリティ4件。 セキュリティ FortiGate VMware CVE CISA Cloudflare WAF TLS ECH AI攻撃ツール 脆弱性
技術 2026年3月6日(金) 約15分 Clinejection: GitHubイシュータイトルから4000台の開発マシンにAIエージェントが降ってきた攻撃の全容 GitHubイシュータイトルへのプロンプトインジェクションを起点に、AIトリアージbot経由でnpmトークンを窃取し、悪意あるパッケージを公開した5段階の攻撃チェーンの詳細。 セキュリティ サプライチェーン npm Prompt Injection AIエージェント OpenClaw
技術 2026年3月4日(水) 約10分 「StegaBin」がPastebinのゼロ幅文字でC2を隠蔽し悪意あるnpmパッケージを配布 北朝鮮系Famous ChollimaがContagious Interviewキャンペーンの延長で26個のnpmパッケージを公開。Pastebinのエッセイにゼロ幅Unicode文字でC2を隠蔽し、31のVercelデプロイメント経由で9モジュールRATを展開する。 セキュリティ npm サプライチェーン マルウェア North Korea
技術 2026年3月3日(火) 約7分 AWSのデータセンターがドローンで燃えた。SLAは助けてくれない 2026年3月、イランの報復攻撃でAWSバーレーン・UAEリージョンが物理的に破壊された。force majeure条項により補償はゼロ。止まっているのにRIは課金され続ける。クラウドの物理リスクとDR戦略を考える。 AWS クラウド セキュリティ DR
技術 2026年3月3日(火) 約3分 APT28がMSHTMLゼロデイCVE-2026-21513を悪用、2月パッチまで野放し ロシア系APT28がieframe.dllのURLバリデーション欠陥(CVE-2026-21513、CVSS 8.8)を2026年1月に悪用開始。LNKファイル経由でMark-of-the-Webをバイパスし、ブラウザサンドボックス外でコードを実行する攻撃チェーンの技術的仕組みを整理した。 セキュリティ Windows APT28 MSHTML CVE
技術 2026年3月2日(月) 約11分 JPEG-XL復活とPQC移行のMerkle Tree Certificates、Chrome 145〜146の変更点 Chrome 145でのJPEG-XL復活とcjxlの使い方、RSA→楕円曲線→PQCの暗号変遷とMerkle Tree Certificates、WebMCPの実装例、Chromeゼロデイの動向、カスタマイズ可能なselect要素まで。 Chrome セキュリティ AI Web
技術 2026年2月28日(土) 約7分 PasskeysのPRF拡張をデータ暗号化の鍵導出に使ってはいけない W3C WebAuthn L3共同エディターのTim Cappalli氏がPRF拡張による暗号化鍵導出のリスクを警告。認証器を失うとデータが永久に復元不能になる構造的問題と、Bitwarden・WhatsApp等の実装状況、推奨されるEnvelope Encryptionパターンを整理した。 Passkeys WebAuthn セキュリティ FIDO Encryption
