技術 2026年3月2日(月) 約11分 JPEG-XL復活とPQC移行のMerkle Tree Certificates、Chrome 145〜146の変更点 Chrome 145でのJPEG-XL復活とcjxlの使い方、RSA→楕円曲線→PQCの暗号変遷とMerkle Tree Certificates、WebMCPの実装例、Chromeゼロデイの動向、カスタマイズ可能なselect要素まで。 Chrome セキュリティ AI Web
技術 2026年2月28日(土) 約7分 PasskeysのPRF拡張をデータ暗号化の鍵導出に使ってはいけない W3C WebAuthn L3共同エディターのTim Cappalli氏がPRF拡張による暗号化鍵導出のリスクを警告。認証器を失うとデータが永久に復元不能になる構造的問題と、Bitwarden・WhatsApp等の実装状況、推奨されるEnvelope Encryptionパターンを整理した。 Passkeys WebAuthn セキュリティ FIDO Encryption
技術 2026年2月25日(水) 約9分 AIエージェントを踏み台にするAMOS、OpenClaw SKILL.mdを経由したmacOS感染チェーン Trend MicroがAIエージェント経由の新しいAMOS配布手法を分析。OpenClaw上の悪性SKILL.mdが偽CLIインストール命令を仕込み、AIを仲介者として人間を操作する。 セキュリティ macOS AIエージェント マルウェア サプライチェーン OpenClaw
技術 2026年2月25日(水) 約6分 Firefox 148が搭載したSanitizer API、setHTMLでinnerHTMLを安全に置き換える Firefox 148がSanitizer APIを初搭載。setHTML()でinnerHTMLを置き換えることで、XSSをブラウザレベルで根絶できる標準手段が整った。 セキュリティ Firefox Web API XSS JavaScript
技術 2026年2月24日(火) 更新 約6分 Claude Code SecurityのAI推論ベース脆弱性検出 Anthropicが発表したClaude Code Securityの技術的アプローチ、偽陽性対策、GitHub Action、競合ツールとの比較、そしてサイバーセキュリティ株$15B吹き飛びの背景を整理する。 Anthropic Claude セキュリティ SAST AI GitHub Actions 脆弱性検出
技術 2026年2月24日(火) 更新 約7分 npmサプライチェーンワーム「SANDWORM_MODE」がAI開発環境を標的にクリプトキーとCI secretsを窃取 Socketが19個の悪意あるnpmパッケージを使ったアクティブな攻撃キャンペーンを報告。Claude・Cursor・VS CodeなどのAI開発環境を特に標的とし、SSH鍵・npmトークン・APIキーを窃取したうえでワーム伝播する。 npm セキュリティ サプライチェーン マルウェア AI Development
技術 2026年2月24日(火) 更新 約8分 AIエージェントメモリへの注入攻撃とEVMbenchによるスマートコントラクト自動悪用 AIエージェントのメモリファイルを汚染するMINJA・InjecMEM・ToxicSkillsキャンペーンの手法と防御策、そしてOpenAIとParadigmが公開したEVMbenchでGPT-5.3-Codexが72%のexploit成功率を記録した事実。AIが「攻撃の標的」にも「攻撃の武器」にもなる構造を整理する。 セキュリティ AIエージェント Prompt Injection MCP Ethereum スマートコントラクト OpenAI サプライチェーン
技術 2026年2月23日(月) 更新 約14分 Webコンポーネント vs ReactとDependabot vs govulncheckで開発スタックを問い直す 「本当にReactが要るのか」というWebコンポーネント再評価論と、「DependabotをオフにしてGo脆弱性チェックに切り替える」という主張。どちらも長年の標準とされてきたツール選択を、技術的根拠をもとに問い直している。 Web Components フロントエンド JavaScript Go DevOps セキュリティ OSS
技術 2026年2月23日(月) 更新 約12分 AIで侵害し、AIで守り、人間が穴を開ける(2026年2月セキュリティまとめ) DeepSeekとClaudeを駆使して106カ国のFortiGateを自動スキャンしたキャンペーン、MFAを無効化するリバースプロキシ型PhaaS Starkiller、AnthropicのClaude Code Securityが本番OSSで500件超の脆弱性を発見、そしてPayPalがコードミスで6ヶ月間SSNを露出していた事実。 セキュリティ FortiGate フィッシング MFA AI Claude Anthropic PayPal データ漏洩 脆弱性検出 PhaaS 脅威インテリジェンス
技術 2026年2月22日(日) 更新 約6分 CISA KEV追加の重大脆弱性4件(ChromiumゼロデイからデフォルトRCEまで) 同じ週にCISA KEVカタログへ追加されたChromium CSSエンジンUAF、Roundcubeの10年潜伏RCE、BeyondTrustのランサムウェア悪用RCE、Daguのデフォルト認証なしRCE。4件すべてで即時パッチ適用が必要。 セキュリティ 脆弱性 CISA KEV RCE ゼロデイ Chromium Roundcube BeyondTrust
技術 2026年2月20日(金) 更新 約5分 Googleエンジニア起訴とMuMuプレイヤーの偵察コマンド問題 元Googleエンジニア3名がイランへの機密転送で起訴された事件と、NetEase製MuMu PlayerがmacOSで30分ごとに17種のシステム偵察コマンドを実行していた問題。ソフトウェアと人への信頼が揺らいだ週の記録。 セキュリティ プライバシー インサイダー脅威 macOS Google
技術 2026年2月20日(金) 約4分 ClineのAIボットがサプライチェーン攻撃に悪用された「Clinejection」の全貌 AIコーディングツールClineのIssueトリアージボットがプロンプトインジェクション・キャッシュポイズニング・認証情報の混在という3段階の攻撃チェーンで悪用され、実際に約500万ユーザーを対象にした未承認パッケージ発行が発生した事案を解説する。 セキュリティ AI サプライチェーン Cline GitHub Actions
