技術 2026年4月1日(水) 約5分 Claude Codeのソースコード全公開とOpenAI Codexのトークン窃取脆弱性が同時期に発覚 Claude Codeのnpmパッケージにソースマップが同梱されて51万行超のTypeScriptが丸見えになった件と、OpenAI Codexのブランチ名コマンドインジェクションでGitHubトークンが窃取可能だった件をまとめた。 セキュリティ Claude Code OpenAI npm サプライチェーン
技術 2026年3月31日(火) 約7分 CloudflareがClient-Side SecurityのGNN+LLM検出を全ユーザーに開放、誤検知を200分の1に削減 Cloudflareがクライアントサイドの悪意あるスクリプト検出にGNNとLLMの2段カスケードを導入し、ユニークスクリプトあたりの誤検知率を1.39%から0.007%に削減。有料アドオンだったAdvanced機能をセルフサーブ顧客にも開放した。 Cloudflare セキュリティ GNN LLM XSS サプライチェーン 機械学習
技術 2026年3月31日(火) 更新 約10分 週間1億DLのaxiosがnpmで乗っ取られ、クロスプラットフォームRATを投下 axios 1.14.1と0.30.4にpostinstallフック経由でRATドロッパーを仕込む偽依存関係plain-crypto-jsが注入された。メンテナアカウント侵害からC2通信、自己消去までの攻撃チェーン全容。 セキュリティ npm サプライチェーン マルウェア RAT
技術 2026年3月31日(火) 約5分 OpenCodeに未認証RCEとXSS経由RCEの2件、220,000超のインスタンスが露出 オープンソースAIコーディングエージェント「OpenCode」にCVE-2026-22812(CVSS 8.8)とCVE-2026-22813(CVSS 9.4)が公開された。無認証HTTPサーバーとMarkdownレンダラーのXSSを経由してシェルコマンドが実行される。PoCが公開済みで、220,000超のインスタンスがネットに露出している。 セキュリティ CVE OpenCode RCE XSS AIエージェント
技術 2026年3月29日(日) 約6分 ロシア国家支援グループTA446がDarkSword iOSエクスプロイトキットでスピアフィッシング攻撃を展開 FSB系攻撃グループTA446がGitHubに流出したDarkSword iOSエクスプロイトキットを採用し、大西洋評議会を偽装したスピアフィッシングでGHOSTBLADEマルウェアを配信。ロシア反体制派や政府・教育機関が標的。 セキュリティ iOS DarkSword TA446 Spear Phishing Proofpoint
技術 2026年3月29日(日) 約5分 Citrix NetScaler ADCのメモリ読み取り脆弱性CVE-2026-3055にアクティブな偵察活動が進行中 Citrix NetScaler ADC/GatewayのSAML IdP構成に影響するCVSS 9.3のメモリ読み取り脆弱性CVE-2026-3055に対し、認証フロー列挙を狙った偵察スキャンが観測されている。 セキュリティ Citrix NetScaler CVE SAML 脆弱性
技術 2026年3月29日(日) 約4分 F5 BIG-IP APMの未認証RCEがCISA KEV入り、中国APTがF5侵害中に発見したCVE-2025-53521 F5 BIG-IP APMの未認証RCE脆弱性CVE-2025-53521(CVSS 9.8)がCISA KEVに追加された。元はDoSとして分類されていたが、F5のネットワークを侵害した中国系APTがソースコードを盗んで再分類した経緯を持つ。連邦機関の対応期限は2026年3月30日。 セキュリティ F5 BIG-IP CVE CISA RCE APT
技術 2026年3月28日(土) 約4分 TeamPCPがtelnyx Python SDKをPyPI汚染、WAVオーディオに埋め込んだペイロードでAPI認証情報を窃取 2026年3月27日、telnyx Python SDK v4.87.1/4.87.2がPyPIで汚染された。TeamPCPがWAVファイルにペイロードを隠蔽する手法でOpenAI・Anthropic・AWS・GCPの認証情報を収集する。月間742K DL。 セキュリティ サプライチェーン PyPI マルウェア TeamPCP
技術 2026年3月28日(土) 約8分 LangChainとLangGraphに3件の脆弱性、ファイル・秘密情報・会話履歴が漏洩 LangChain CoreとLangGraphに3件の独立した脆弱性が公開された。デシリアライゼーションによる秘密情報窃取、SQLインジェクションによる会話履歴漏洩、パストラバーサルによる任意ファイル読み取りと、それぞれ異なるデータクラスを侵害する。 LangChain LangGraph CVE セキュリティ LLM Deserialization
技術 2026年3月27日(金) 約5分 GitHub Actionsの2026年セキュリティロードマップ tj-actionsやTrivy供給チェーン攻撃を受けたGitHubが、依存関係ロック・スコープ付きシークレット・Layer 7エグレスファイアウォールを軸にCI/CDパイプラインの攻撃面を削減する計画を公開した。 GitHub Actions CI CD サプライチェーン セキュリティ
技術 2026年3月26日(木) 約12分 GTG-1002のClaude Code悪用とGitHub CopilotのAI学習データ収集 中国国家支援グループGTG-1002がClaude CodeをMCP経由で悪用した自律スパイ攻撃の6フェーズ攻撃チェーンとMITRE ATT&CK対応、Claude Code/MCPの既知CVE、GitHub Copilotが4月24日からAI学習に使うポリシー変更。 セキュリティ Claude GitHub Copilot 脅威インテリジェンス プライバシー
技術 2026年3月25日(水) 更新 約4分 TeamPCPがLiteLLM PyPIパッケージを汚染、50種以上の認証情報を窃取するマルウェアを埋め込む LiteLLM 1.82.7/1.82.8がPyPIで約46分間汚染された。TeamPCPがTrivyのCI/CDを通じてPyPIトークンを盗み、SSHキー・AWS・Kubernetes・Docker認証情報など50種以上を収集するマルウェアを注入。フォークボムの副作用で発覚した。 セキュリティ サプライチェーン PyPI マルウェア LLM
