はてなブックマーク

5大コーディングエージェントの比較で分かった「バイブコーディング」の落とし穴：共通する弱点と3つの教訓　Tenzai分析 サイバーセキュリティ企業のTenzaiは、「Cursor」「Claude Code」「OpenAI Codex」「Replit」「Devin」という5つの主要なコーディングエージェントを取り上げ、セキュアコーディング能力を比較した結果を公開した。 サイバーセキュリティ企業Tenzaiは2026年1月13日（米国時間）、人気のAI（人工知能）コーディングエージェントのセキュアコーディング能力を比較したブログ記事を公開した。 自然言語でコーディングエージェントに指示し、アプリケーションの構築を一任する開発スタイルとして「バイブコーディング」（Vibe Coding）が広まりつつある。だが、「バイブコーディングで構築されたアプリケーションは安全なのか」という疑問もつきまとう。

＜ROBERT MCMILLAN/2026年1月28日＞ 米アルファベット傘下のグーグルは、何百万台もの家庭用デバイスでひそかに稼働していると研究者が指摘する大規模なサイバー兵器に対し、致命的な打撃を与えた。 グーグルは、1月28日に連邦裁判所の命令を利用し、中国企業「Ipidea」に属する数十のドメインをインターネットから削除したと明らかにした。グーグルとセキュリティー研究者によると、この謎めいた企業は、数百万台のスマートフォン、家庭用コンピューター、アンドロイド端末に望まれない危険なソフトウエアをひそかに忍び込ませる悪質な企業だという。 グーグルは、これらのドメインの管理権を得たことで、Ipideaの公開ウェブサイトと技術的バックエンドの両方を停止することができた。同社は十数種類のブランド名で事業を展開している。グーグルはまた、Ipideaに関連する数百のアプリをアンドロイド端末から削

「ガンダムファンクラブ」は2月9日、2027年3月31日をもってサービスを終了すると発表した。プレミアム会員（年額会員）の新規入会受付は、2月27日の午後6時で停止する。月額会員については27年の2月26日午後6時まで受け付ける。 現在のプレミアム会員は、設定で自動継続をオンにしている場合でも2月27日午後6時以降は次年度分が課金されない。ただしアプリ内で手続きを行えば、月額会員に切り替えて27年3月までは利用できる。 また26年度はプレミアム会員の更新を行わないため、プレミアム会員の特典だったバースデーカードや年賀状、年2回の会報誌などの配布条件が変わる。例えば26年分のバースデーカードについては、誕生月を過ぎてから月額会員になった人にも配布する他、すべての有料会員向けに受注販売も検討する。27年の年賀状や会報誌のバックナンバーについても受注販売などを検討中。詳細は随時、アプリ内で公表す

事前知識1. Teams の社外接続 対策を理解するために、まずは Teams の主要な外部連絡方法を整理します。通話などを含めたら他にもあるものの、大きくは以下の3つがあります。 ゲスト アクセス (Guest Access) 社外ユーザーを「ゲスト」として自社の Entra ID に招待し、チームに参加させる機能です。相手は自社テナント内のリソースへのアクセス権を持ちます。1私の経験則だと、これが一番主流かなと思っています。 外部アクセス (External Access) お互いのテナントのユーザーが、自社の ID のままチャットや通話を行う機能です。2いわゆるフェデレーションのようなもので、相手を自社テナントに招待するわけではありません。 これ、意外と知名度が低い機能ですが、制限されていない場合、Teamsのチャットを開き、連絡先相手のメールアドレスを直打ちすると、良くも悪くもチャ

「パスキー」という言葉自体は、既に耳にしている人が多いだろう。米Google（グーグル）が「最も簡単で最も安全」と評し、現状最強といわれる認証方式で、多くのIT大手や金融機関もログインの「簡単さ」と「安全性」を両立する手段として前面に打ち出す。パスワードが不要で、端末のロックを解除するだけでログインが完了する。フィッシング詐欺に強いとされる一方、仕組みが見えにくく「よく分からない」と感じる利用者も少なくない。なぜ「最も簡単で最も安全」と言い切れるのか。フィッシングが通用しない理屈と、利用者が押さえるべき注意点を整理する。

OpenClaw(旧Clawdbot)はAIエージェント専用のSNS「Moltbook」でアカウント開設が唯一許可されているオープンソースのAIエージェントで、PC上に自分専用のAIアシスタントを常駐させ、パソコン操作やスマートフォン連携による様々な作業を自動化することができます。OpenClawは「スキル」を追加することで誰でも簡単に機能を強化することができますが、スキルを手に入れるためのマーケットプレイスに悪意のあるマルウェアを含むスキルが数百件アップロードされていることが報告されています。 From magic to malware: How OpenClaw's agent skills become an attack surface | 1Password https://1password.com/blog/from-magic-to-malware-how-openclaw

「このコード、セキュリティ的に大丈夫かな……」 PRレビューのたびに、なんとなく不安になる。SQLインジェクション、XSS、CSRF——知識としては知っている。でも、自分のレビューで本当に脆弱性を潰しきれているかと聞かれたら、正直自信がない。 そしてある日、こんなニュースが流れてきた。 「自律型AIハッカーツール Shannon、既知の脆弱性に対して96%の成功率でexploitを自動生成」 ——あ、もう僕らの出番ないじゃん。 はじめに 結論から少しだけ言うと、AIがセキュリティを自動化する時代だからこそ、僕ら開発者のセキュリティ"感覚"がむしろ重要になる——と今は思っている。 「え、逆じゃない？」と思った人、もう少しだけ付き合ってほしい。 AIセキュリティツールが本気を出し始めた まず、今何が起きているのかを整理したい。 GitHub Trendingで1位になったShannonは、自律

「セキュリティ、ちゃんとやってる？」 この質問、正直めちゃくちゃ怖い。 SQLインジェクション対策？　やってる。XSS対策？　エスケープしてる。CSRF？　トークン入れてる。 ——でも、「ちゃんと」って何だ？ OWASPのチェックリストを上から順に潰して、ESLintのセキュリティプラグインを入れて、dependabotのアラートを処理して。やることはやっている。はずだった。 自分のコードに自律型AIハッカーをけしかけるまでは。 はじめに セキュリティは「そこそこ意識している」つもりだった。 でも今は、コードを書くときの思考回路がまるっきり変わった。守る側の視点だけでコードを書いていた頃には、絶対に気づけなかったことがある。 きっかけは、GitHub Trendingで爆発的に伸びていた「shannon」という自律型AIハッキングツールだった。1日で+3,000スター以上。AIエージェント

A community trust management system. FAQ · Contributing People must be vouched for before interacting with certain parts of a project (the exact parts are configurable to the project to enforce). People can also be explicitly denounced to block them from interacting with the project. The implementation is generic and can be used by any project on any code forge, but we provide GitHub integration o

I don’t post a lot. But when I do, it’s because I think few people are saying out loud what I’m noticing. I’ve been building a product from the ground up. Not the “I spun up a Next.js template” kind of ground up. I mean from network configuration to product design to pricing decisions. Truly end to end. And I’ve been doing it using frontier models and coding agents for hours and hours every single

米国家安全保障局（NSA）は2026年1月30日（現地時間、以下同）、ゼロトラストアーキテクチャの実装を支援する指針として「Zero Trust Implementation Guidelines」（ZIGs）の「Phase One」および「Phase Two」を公開した。 米国戦争省（DOW：旧米国国防総省）が定義するターゲットレベルのゼロトラスト成熟度に到達するために必要な活動を整理した技術報告書となる。 ゼロトラスト実装の道筋を示すNSA ZIGsの概要 今回公表されたPhase OneおよびPhase Twoは、組織がディスカバリー段階からターゲットレベルの実装に移行する過程を示す内容となっている。フェーズにおいて、実施すべき活動や要件、それらに先行または後続する事項を体系的に示している。段階的な構成により、基礎的な取り組みから高度な取り組みまでを選択でき、組織ごとの目的や制約に応

アメリカ、ラスベガスの閑静な住宅街にある一軒家で生物実験室が発見され、連邦捜査局（FBI）が1,000点を超えるサンプルを押収する事態となった。 2026年1月31日に行われた強制捜査では、現場から正体不明の液体が入った大量の容器や実験器具が次々と押収されている。 この物件の所有者は、過去にエボラ出血熱などの病原体や1,000匹ものマウスを隠し持っていた違法ラボの運営者と同一人物であることが判明しており、組織的な犯罪が継続されていた疑いが強まっている。 閑静な住宅街に突如現れた特殊部隊 事件発覚のきっかけは、ネバダ州ラスベガス市警察に寄せられた「住宅内にバイオラボ（生物学研究所）が設置されている」という情報提供だった。 当初は建物に関する条例違反の疑いも持たれていたが、市職員が建物内を検査したところ、家庭用とは思えない大量の医療材料や専門的な器具を発見したことで、警察に相談したのだ。 警察

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 昨今流行に合わせたWebサイトの作り方など聞くことがしばしありますが、流行以前にWebサイトはDBの設計だったりセキュリティ対策など様々な事をしなければなりません。 そこで今回はWebサービスにおける脆弱性を利用した攻撃と防ぎ方、そして不正アクセスしたらなぜバレるのかなど私の私見ですがお話ししていこうと思います。 想定読者 これから企業で研修受ける人 情報系の大学生・専門学生 注意 ここに書いてある内容は不正アクセスを推奨するものではなく、不正アクセスはどうやって防ぐかをまとめたものです。 自作サイトや自社で作ったサイトのテスト以外で不

生成AIの普及と進化はサイバー攻撃のスタイルにも急激な変化をもたらしている。そのひとつがAI/LLMによるWebサイトのスクレイピングだ。従来からボットやクローラーを使ってWebサイトから自動的に情報を収集する行為はひろく行われていたが、AI/LLMによるスクレイピングは「HTMLの意味を理解して情報を抽出する」「⁠CAPTHA画面の文言を理解できる」「⁠取得データの要約や分類、構造化が可能」「⁠エージェントによる自律実行が可能」など既存のボットよりはるかにインテリジェントで人間に近い行為が可能となるため、コンテンツの不正使用や個人情報の特定、公開情報をベースにした機密情報の推測といった新たな脅威につながりやすいといわれている。また、人間による定期的なメンテナンスが必要なボットと異なり、AI/LLMによるスクレイピングは自律的な行動を取れるため、サイト側の防御策が効きにくいという点も厄介だ

Linuxに少しでも触れたことがあれば、「Ubuntu」が市場で最も普及しているディストリビューションの一つであることはご存じだろう。 Ubuntuは非常に予測しやすいリリースサイクルを持っており、4月に「.04」、10月に「.10」がリリースされる。この正確さは時計のようであり、リリースの準備や期待を高めるのを容易にしている。これほど規則正しく運用されているオペレーティングシステム（OS）は極めてまれである。 筆者が最新のデイリービルドを試用した際の第一印象は、「いつものUbuntuだ」というものだった。しかし、深掘りしていくうちに、これが実は極めて重要なリリースであることに気づかされた。 注目すべき新機能と技術的進化 Ubuntu 26.04には、特別なディストリビューションたらしめる数々の注目すべき機能が搭載されている。 「GNOME 50」の採用：この人気デスクトップ環境の最新版に

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

Ubuntu Weekly Topics Ubuntu 26.04 LTS（resolute）の開発;Snapshot 3のリリースとArm64向けSteam Snap⁠⁠、25.04のサポート終了⁠⁠、注目すべきセキュリティー的な視点 resolute（Ubuntu 26.04 LTS）の開発;Snapshot 3のリリースとSteam snap for arm64 resolute（Ubuntu 26.04 LTS）はSnapshot 3がリリースされ、順調に「本来の姿」を目指した開発が進められています。とはいえカーネルもGNOMEもまだ予定される本来のバージョン（カーネル6.20＋GNOME 50）には遠く、特にカーネルは「どう考えても6.20のRC版が搭載されるのが2月半ば、リリース版がUbuntu的なカーネルフリーズに間に合うかどうかわからないので、いわゆる『Day 0パッチ』作

2026年のセキュリティ予算は、どこに重点配分すべきなのか。そのヒントは、2025年にインシデント対応でつまずいた企業の事例にある。 アスクルやアサヒグループホールディングスを含む12社のセキュリティインシデントを分析した結果、事前の脆弱（ぜいじゃく）性管理と、攻撃を受けても事業継続を可能にするイミュータブル（不変）バックアップなどの復旧策が整っていれば、壊滅的な被害は回避できた可能性が高いことが見えてきた。 本ブックレット（全23ページ）では、各事例の失敗要因を整理した。各事例における侵入手口や対応上の課題を自社の現状と照らし合わせることで、今すぐ着手すべき対策や、見直すべき運用が見えてくるはずだ。

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert