Aikido
無料で始める
CC不要

私たちのブログへようこそ。

注目
GlassWormは、悪意のあるChrome拡張機能の中にRATを隠している
悪質なChrome拡張機能を通じて拡散するGlassWorm RAT(キーロガー、Cookie窃取)
GlassWormは、悪意のあるChrome拡張機能を強制的にインストールし、キー入力を記録したり、Cookieを盗み出したり、SolanaベースのC2を介してデータを外部へ流出させたりする、多段階型のRATを展開する。
GlassWormは、悪意のあるChrome拡張機能を強制的にインストールし、キー入力を記録したり、Cookieを盗み出したり、SolanaベースのC2を介してデータを外部へ流出させたりする、多段階型のRATを展開する。
脆弱性と脅威
Ilyas Makari
fast-draft Open VSX拡張機能がBlokTrooperによって侵害される
fast-draft Open VSX拡張機能がBlokTrooper(RATおよび情報窃取型マルウェア)によって侵害される
Fast-draft Open VSX拡張機能が侵害され、GitHubでホストされたペイロードを介してBlokTrooper RATおよび情報窃取型マルウェアが展開された。複数の悪意のあるバージョンが確認されている。
人気のあるOpen VSX拡張機能が侵害され、攻撃者が制御するインフラからRATや情報窃取型マルウェアを展開するために悪用されました。 そのバージョン履歴を見ると、正常なリリースの間に悪意のあるリリースが混在していることが明らかになっています。
脆弱性と脅威
Raphael Silva
Glasswormが人気のReact Native電話番号パッケージを攻撃
Glasswormが新たなサプライチェーン攻撃で人気のReact Native電話番号パッケージを標的に
Aikido Securityの研究者は、2つの悪意あるReact Nativeパッケージから完全なペイロードチェーンを回収し、復号しました。このマルウェアの挙動と、注意すべき点について説明します。
2つの人気のあるReact Native npmパッケージが、Glasswormと疑われる攻撃者によってバックドアを仕掛けられ、多段階マルウェアの配信に利用されました。このマルウェアが何をするのか、そして何に注意すべきかについて説明します。
脆弱性と脅威
Raphael Silva
Glasswormが再び登場:数百のリポジトリを襲う見えないUnicode攻撃の新たな波
Glasswormが再来:150以上のGitHubリポジトリで発見された見えないUnicodeマルウェア
Glasswormサプライチェーン攻撃が再び発生しました。研究者たちは、150以上のGitHubリポジトリ、npmパッケージ、およびVS Code拡張機能全体で、見えないUnicode文字に隠されたマルウェアを発見しました。
Glasswormが、見えないUnicode攻撃の新たな波とともに戻ってきました。 GitHub、npm、VS Code全体でリポジトリを密かに侵害する新たなキャンペーンを追跡しています。
脆弱性と脅威
Ilyas Makari
RSAC 2026の主要パーティー、サイドイベント、セキュリティミートアップ
RSAC 2026パーティー&セキュリティイベントガイド|Aikido
RSAC 2026パーティー&セキュリティイベントガイド|Aikido
ニュース
Ruben Camerlynck
セキュリティチームはいかにAIを活用したハッカーに反撃するか
セキュリティチームはいかにAIを活用したハッカーに反撃するか
AIはハッカーの参入障壁を劇的に下げました。これは防御側にとって何を意味するのか、そして継続的なAIペンテストがどのように状況を変えるのかを説明します。
一人のハッカーとClaudeのサブスクリプションだけで、メキシコ政府機関9つがダウンしました。AIは攻撃者に大幅なパワーアップをもたらしました。セキュリティチームは新たな戦略(プレイブック)を必要としています。
脆弱性と脅威
Dania Durnas
Gitleaksの作者によるオープンソースのシークレットスキャナー、Betterleaksのご紹介
Betterleaks:より高速なシークレットスキャン向けに構築されたGitleaksの後継
Betterleaksは、Gitleaksの作者による新しいオープンソースのシークレットスキャナーです。より高速なスキャン、トークン効率検出、設定可能な検証などを備えたドロップイン代替品です。
Gitleaksの作者がその後継をリリースします。Betterleaksは、より多くの漏洩を検出し、最新の開発者ワークフローに適合するように構築された、より高速なオープンソースのシークレットスキャナーです。
製品および会社のお知らせ
Zach Rice
AIペンテストはコンプライアンスとどのように連携しますか?
AI ペンテストはコンプライアンスとどのように連携しますか?
AI ペンテストは SOC 2、ISO 27001、HIPAA、PCI DSS で受け入れられています。監査人が実際に求めているものと、本当の限界がどこにあるかをご紹介します。
AI ペンテストは SOC 2、ISO 27001、HIPAA、PCI DSS で受け入れられています。監査人が実際に求めているものと、本当の限界がどこにあるかをご紹介します。
コンプライアンス
Dania Durnas
トランプ政権の2026年サイバーセキュリティ戦略:コンプライアンスから結果へ
トランプ政権の2026年サイバーセキュリティ戦略:コンプライアンスから結果へ
トランプ政権の2026年サイバーセキュリティ戦略は、コンプライアンスチェックリストからサイバー犯罪者に対する実際の結果へと焦点を移します。CISO が知っておくべきことは次のとおりです。
ニュース
Mike Wilkes
継続的なペンテストに実際に必要なもの
継続的なペンテスト:その仕組みと必要なもの
継続的なペンテストはリアルタイムのセキュリティ検証を約束しますが、ほとんどの実装は不十分です。変更を認識するテストから、エクスプロイト検証、修正ループまで、継続的なペンテストに実際に必要なものは次のとおりです。
継続的なペンテストは広く議論されていますが、明確に定義されることはめったにありません。この記事では、それが何であるか、何でないか、そして実際に何が必要かを詳しく説明します。
ガイドラインと推奨事例
Sooraj Shah
レアはランダムではない:シークレット におけるトークン効率の活用
レアはランダムではない:シークレット におけるトークン効率の活用
エントロピーは、一般的なシークレットや短い文字列の検出に苦労することがよくあります。ここでは、トークン効率が通常のテキストに見えない文字列をより適切に識別する方法について考察します。
エントロピーはランダム性の検出に優れています。しかし、シークレットは常にランダムであるとは限りません。それらは通常のコードやテキストには現れない単なる文字列です。私たちはBPEトークン化を使用してその違いを測定する方法を探ります。
ガイドラインと推奨事例
Zach Rice
なぜ決定論はセキュリティにおいて依然として必要なのか
なぜ決定論はセキュリティにおいて依然として必要なのか
AIスキャンはルールが見落とすものを見つけます。決定論的スキャンは毎回それを見つけます。最高のセキュリティパイプラインが、なぜどちらか一方を選ぶのではなく、両方を活用するのか、その理由を説明します。
AIを活用したセキュリティツールは、脆弱性の発見において向上しています。しかし、決定論的なツールは、パイプライン、コンプライアンス、監査証跡が依存する一貫性を提供します。決定論的スキャンが優れている点、AIが引き継ぐべき点、そして効果的なセキュリティのために両者がどのように連携するかを見ていきます。
エンジニアリング
Dania Durnas
WAF vs. RASP vs. ADR
WAF vs. RASP vs. ADR: ランタイムアプリケーションセキュリティの仕組み
WAF、RASP、ADRは、アプリケーションを全く異なる方法で保護します。各レイヤーが実際に何を行い、どのような限界があり、どれが必要なのかを説明します。
WAF、RASP、ADR、eBPF — ランタイムアプリケーションセキュリティに関する用語を明確にします。各レイヤーが実際に何を行い、どのように重複し、どのように連携するのかを説明します
ガイド
Dania Durnas
Aikido Infiniteの紹介:新たな自己保護ソフトウェアモデル
Aikido Infinite: すべてのリリースに対応する継続的なAI ペンテスト
Aikido Infiniteは、すべてのコード変更に対してAI ペネトレーションテストを実行し、エクスプロイト可能性を検証し、パッチを生成し、コードが本番環境にデプロイされる前に修正を再テストすることで、自己保護型ソフトウェアを現実のものにします。
Aikido
マデリーン・ローレンス
Storybook の開発サーバーにおける WebSockets を使用した永続的な XSS/RCE
StorybookにおけるWebSocketsを使用した永続的なXSS/RCE (CVE-2026-27148)
CVE-2026-27148は、StorybookにおけるWebSocketハイジャックの脆弱性を露呈し、サプライチェーン侵害にエスカレートする可能性があります。攻撃経路、影響、および対処法について学びましょう。
Aikido Attackは、Storybookの開発サーバーにWebSocketハイジャックの脆弱性を発見しました。これは、永続的なXSS、リモートコード実行、そして最悪の場合にはサプライチェーン侵害につながる可能性があります。攻撃者がユーザーインタラクションなしにこれをどのようにエクスプロイトできるか、また開発者がStorybookの実行中に誤ったウェブサイトを訪問するだけでこの攻撃に遭遇する可能性について解説します。
脆弱性と脅威
Robbe Verwilghen
設計上どのようにAikidoが、AIペネトレーションテストエージェントを確実に保護するのか
AikidoがAIペンテストエージェントを保護し、スコープドリフトを防ぐ方法
Aikidoがアーキテクチャ上の分離、ランタイムスコープの強制、およびネットワークレベルの制御により、AIペンテストエージェントを保護し、本番環境への逸脱とデータ漏洩を防ぐ方法をご覧ください。
AIエージェントは探索するように設計されています。サイバーセキュリティにおいては、その探索には厳格な境界が必要です。この記事では、Aikidoがアーキテクチャ上の分離、ランタイムスコープの強制、および設計によってリスクを封じ込める多層的な制御を通じて、AIペンテストエージェントをどのように保護するかを説明します。
製品および会社のお知らせ
Sooraj Shah
Hostヘッダー注入によるAstroフルリードSSRF
Astro SSRF脆弱性: SSRエラーページにおけるHostヘッダーインジェクション (CVE-2026-25545)
Aikido SecurityのAIペンテストエージェントは、AstroのSSR実装においてServer-Side Request Forgery (SSRF) の脆弱性を発見しました。プリレンダリングされたエラーページにおけるHostヘッダーインジェクションが、どのようにして内部ネットワークへの完全なアクセスを可能にしたかをご覧ください。
AikidoのAIペンテストエージェントは、AstroのNode.jsアダプターにSSRF脆弱性を発見しました。悪意のあるHost:ヘッダーを注入することで、攻撃者が内部リクエストをローカルネットワーク上の任意のURLにリダイレクトできる方法について見ていきます。
脆弱性と脅威
Jorian Woltjer
セキュリティを重視するよう取締役会に働きかける方法(侵害が発生して問題が表面化する前に)
セキュリティ侵害が発生する前に、取締役会にセキュリティを重視させる方法
取締役会がセキュリティに資金を投じるのは、それが重要だからではない。正当化できる意思決定に資金を投じるのだ。以下に、リスクを明確化し、曖昧さを減らし、侵害が発生して問題が表面化する前に真の支持を得る方法を示す。
ガイド
Mike Wilkes
スロップスクワッティングとは何か? 既に発生しているAIパッケージ幻覚攻撃
スロップスクワッティング:既に発生しているAIパッケージ幻覚攻撃
AIモデルがnpmパッケージ名を幻視する。攻撃者が先に登録する。これがスロープスクワッティングの実態だ。エージェントスキルを通じて拡散する仕組みと、防御策を解説する。
AIモデルがパッケージ名を幻視する——そして攻撃者は誰にも気付かれる前にそれらを登録している。スロップスクワッティングはタイポスクワッティングのAI時代における進化形であり、従来の方法とは異なり、npmの既存の保護策は機能しない。実際に発生している実例を検証する——確認済みの悪意あるパッケージが依然として週数百回のダウンロードを獲得している事例から、AIエージェントのスキルファイルを通じて237のリポジトリに拡散した幻視されたパッケージ名まで。
ガイドラインと推奨事例
Dania Durnas
トップ6 Wizコード代替品
Wiz Codeの代替ツール(2026年版):6つのツールを比較し、開発者ファーストの最適な選択肢
Wiz Codeの代替ツールをお探しですか?SAST、DAST、SCA、価格、開発者エクスペリエンスの6つのツールを比較し、2026年に最適なAppSecプラットフォームを見つけましょう。
このガイドでは、Wiz CodeをAikido Security、Snyk、Checkmarx、GitHub Advanced Security、Mend、Veracodeの6つの代替製品と比較し、カバレッジ、開発者エクスペリエンス、AIを活用したトリアージ、価格の透明性、デプロイ速度に基づいて評価します。Aikido Securityは、広範なカバレッジ、85%の誤検知削減、SAST、IaC、コンテナ全体でのAI AutoFix、ネイティブDAST、そしてWizの約10分の1のコストで透明性のある価格設定を提供する開発者ファーストのプラットフォームを求めるチームにとって、最上位の選択肢となります。
ガイドラインと推奨事例
Dania Durnas
Aikidoは、Latio Techの2026年アプリケーションセキュリティレポートにおいて、プラットフォームリーダーとして評価されました。
Latio 2026レポートでAikidoがAppSecプラットフォームリーダーに選出
Aikido Securityは、Latio Techの2026年AppSecレポートにおいて、プラットフォームリーダー、AI Pentestingイノベーター、およびサプライチェーンイノベーターとして認められました。
Latio Techの2026年AppSecレポートは、AikidoをプラットフォームリーダーおよびAIイノベーターとして評価しています。このレポートが明らかにするアプリケーションセキュリティの未来をご覧ください。
ニュース
Sooraj Shah
検知から予防へ:Zen実行時にIDOR脆弱性に対処する方法
検出から防止へ: Zenがランタイム時にIDORを阻止 | Aikido
IDORの脆弱性は、マルチテナントSaaSにおけるテナント間データ漏洩の最も一般的な原因の一つです。ZenがSQLクエリを分析し、出荷前に安全でないアクセスを防止することで、ランタイム時にどのようにテナント分離を強制するかをご覧ください。
IDORの脆弱性は、マルチテナントアプリケーションにおけるクロステナントのデータ漏洩の主要な原因です。この投稿では、Zenがいかに検知を超えてランタイムでテナント分離を強制し、意図しないクロステナントアクセスが出荷されるのを不可能にするかを説明します。
製品および会社のお知らせ
ハンス・オット
npmのバックドアにより、ハッカーがギャンブルの結果を乗っ取る
npmサプライチェーン攻撃によりゲームのバックエンドが乗っ取られ、ギャンブルの結果が不正操作される
標的型npmサプライチェーン攻撃により、Expressのバックドアがインストールされ、リモートSQL/ファイルアクセスが有効になり、ログの一貫性を保ちながらギャンブルの残高が書き換えられます。
本番環境でギャンブル取引を改ざんし、その後データベースの内部整合性を維持できる悪意のあるnpmパッケージが発見されました。
脆弱性と脅威
Ilyas Makari
なぜOpenClawのセキュリティ強化を試みるのに無理があるのか
なぜOpenClawのセキュリティ強化を試みるのに無理があるのか
OpenClawのセキュリティ問題解説:ClawHub内のマルウェア、露出したインスタンス、そしてなぜハードニングガイドが見落とすのか。AIエージェントを安全に使用できますか?
ニュース
Dania Durnas
アップグレード影響分析のご紹介:コードに実際に影響を与えるブレイキングチェンジとは
アップグレード影響分析:破壊的変更が実際に影響を与える場合 | Aikido
Aikidoは、依存関係のアップグレードにおける破壊的変更を自動的に検出し、コードベースを分析して実際の影響を示します。これにより、チームはセキュリティ修正を安全にマージできます。
Aikidoのアップグレード影響分析は、依存関係の更新における破壊的変更を検出し、それらの変更が実際にコードに影響を与えるかどうかを示します。
製品および会社のお知らせ
Sooraj Shah
ありがとうございました!あなたの投稿は受理されました!
あれ!フォームの送信中に何か問題が発生しました。
2026年3月18日
脆弱性と脅威

GlassWormは、悪意のあるChrome拡張機能の中にRATを隠している

GlassWormは、悪意のあるChrome拡張機能を強制的にインストールし、キー入力を記録したり、Cookieを盗み出したり、SolanaベースのC2を介してデータを外部へ流出させたりする、多段階型のRATを展開する。

#マルウェア

2026年3月18日
脆弱性と脅威

fast-draft Open VSX拡張機能がBlokTrooperによって侵害される

人気のあるOpen VSX拡張機能が侵害され、攻撃者が制御するインフラからRATや情報窃取型マルウェアを展開するために悪用されました。 そのバージョン履歴を見ると、正常なリリースの間に悪意のあるリリースが混在していることが明らかになっています。

#マルウェア

#オープンソース

2026年3月13日
脆弱性と脅威

Glasswormが再び登場:数百のリポジトリを襲う見えないUnicode攻撃の新たな波

Glasswormが、見えないUnicode攻撃の新たな波とともに戻ってきました。 GitHub、npm、VS Code全体でリポジトリを密かに侵害する新たなキャンペーンを追跡しています。

#NPM

2026

2026年 セキュリティと開発におけるAIの現状

当社の新しいレポートは、ヨーロッパと米国全域の 450人のセキュリティリーダー(CISOまたは同等の役職)、開発者、およびAppSecエンジニアの声を集めています。彼らは、AI生成コードがすでに問題を引き起こしていること、ツールスプロールがセキュリティを悪化させていること、そして開発者エクスペリエンスがインシデント発生率に直接関連していることを明らかにしています。ここが2025年にスピードと安全性が衝突する場所です。

もっと読む
ダークブルーのグリッド背景に、「2026 State of AI in Security & Development」と書かれたタイトルカード。

ニュースレターを購読してください。
スパムなし、保証します。

お客様のフィードバック

お客様のようなチームが、Aikidoを活用してセキュリティを簡素化し、自信を持ってリリースしているかをご覧ください。

すべて表示

コンプライアンス

SOC 2、ISO標準、GDPR、NISなどに関する明確で開発者向けのガイダンスにより、監査に先んじて対応できます。

すべて表示

ガイドラインと推奨事例

より安全なコードをより迅速にリリースするための、実践的なヒント、セキュリティワークフロー、およびハウツーガイド。

すべて表示

DevSecツールと製品比較

AppSecおよびDevSecOpsの分野における主要ツールの深掘り分析と徹底比較。

すべて表示

脆弱性と脅威

実世界のCVE分析、マルウェア分析、エクスプロイト、および新たなリスクに関する情報でノイズを排除します。

すべて表示

製品および会社のお知らせ

Aikidoの最新情報 — 製品発表からセキュリティにおける大きな成功事例まで。

すべて表示
Aikido Zen
IDORの脆弱性
IDEセキュリティ
お知らせ
欧州サイバーセキュリティ
継続的なペンテスト
AI安全性
自己保護ソフトウェア
SSDLC
VS Code
AI ペネトレーションテスト
脅威モデリング
サイバーレジリエンス法
トリアージ中
オートトリアージ
ペンテスト
Bazel
コード品質
OWASP
NIS2
リーガルテック
フィンテック
RASP
サポート終了
SQLインジェクション
DAST
CNAPP
cspm
aspm
Infrastructure as Code (IaC)
ネットワークセキュリティ監視
ライセンススキャナー
SBOM
コンテナイメージスキャン
AppSec
脆弱性
ソフトウェア・サプライチェーンのセキュリティ
API
依存関係
継続的セキュリティ監視
DevSecOps
Vibe Coding
AI
NPM
自動修正
マルウェア
記事
オープンソース
SCA
インテル
SOC 2
ユースケース
ツール
SAST
コンプライアンス
CircleCI
Codeship
IMDSv2
クラウド
IMDSv1
SSRF
AWS
GlassWormは、悪意のあるChrome拡張機能の中にRATを隠している
悪質なChrome拡張機能を通じて拡散するGlassWorm RAT(キーロガー、Cookie窃取)
GlassWormは、悪意のあるChrome拡張機能を強制的にインストールし、キー入力を記録したり、Cookieを盗み出したり、SolanaベースのC2を介してデータを外部へ流出させたりする、多段階型のRATを展開する。
GlassWormは、悪意のあるChrome拡張機能を強制的にインストールし、キー入力を記録したり、Cookieを盗み出したり、SolanaベースのC2を介してデータを外部へ流出させたりする、多段階型のRATを展開する。
脆弱性と脅威
fast-draft Open VSX拡張機能がBlokTrooperによって侵害される
fast-draft Open VSX拡張機能がBlokTrooper(RATおよび情報窃取型マルウェア)によって侵害される
Fast-draft Open VSX拡張機能が侵害され、GitHubでホストされたペイロードを介してBlokTrooper RATおよび情報窃取型マルウェアが展開された。複数の悪意のあるバージョンが確認されている。
人気のあるOpen VSX拡張機能が侵害され、攻撃者が制御するインフラからRATや情報窃取型マルウェアを展開するために悪用されました。 そのバージョン履歴を見ると、正常なリリースの間に悪意のあるリリースが混在していることが明らかになっています。
脆弱性と脅威
Glasswormが人気のReact Native電話番号パッケージを攻撃
Glasswormが新たなサプライチェーン攻撃で人気のReact Native電話番号パッケージを標的に
Aikido Securityの研究者は、2つの悪意あるReact Nativeパッケージから完全なペイロードチェーンを回収し、復号しました。このマルウェアの挙動と、注意すべき点について説明します。
2つの人気のあるReact Native npmパッケージが、Glasswormと疑われる攻撃者によってバックドアを仕掛けられ、多段階マルウェアの配信に利用されました。このマルウェアが何をするのか、そして何に注意すべきかについて説明します。
脆弱性と脅威
Glasswormが再び登場:数百のリポジトリを襲う見えないUnicode攻撃の新たな波
Glasswormが再来:150以上のGitHubリポジトリで発見された見えないUnicodeマルウェア
Glasswormサプライチェーン攻撃が再び発生しました。研究者たちは、150以上のGitHubリポジトリ、npmパッケージ、およびVS Code拡張機能全体で、見えないUnicode文字に隠されたマルウェアを発見しました。
Glasswormが、見えないUnicode攻撃の新たな波とともに戻ってきました。 GitHub、npm、VS Code全体でリポジトリを密かに侵害する新たなキャンペーンを追跡しています。
脆弱性と脅威
RSAC 2026の主要パーティー、サイドイベント、セキュリティミートアップ
RSAC 2026パーティー&セキュリティイベントガイド|Aikido
RSAC 2026パーティー&セキュリティイベントガイド|Aikido
ニュース
セキュリティチームはいかにAIを活用したハッカーに反撃するか
セキュリティチームはいかにAIを活用したハッカーに反撃するか
AIはハッカーの参入障壁を劇的に下げました。これは防御側にとって何を意味するのか、そして継続的なAIペンテストがどのように状況を変えるのかを説明します。
一人のハッカーとClaudeのサブスクリプションだけで、メキシコ政府機関9つがダウンしました。AIは攻撃者に大幅なパワーアップをもたらしました。セキュリティチームは新たな戦略(プレイブック)を必要としています。
脆弱性と脅威
Gitleaksの作者によるオープンソースのシークレットスキャナー、Betterleaksのご紹介
Betterleaks:より高速なシークレットスキャン向けに構築されたGitleaksの後継
Betterleaksは、Gitleaksの作者による新しいオープンソースのシークレットスキャナーです。より高速なスキャン、トークン効率検出、設定可能な検証などを備えたドロップイン代替品です。
Gitleaksの作者がその後継をリリースします。Betterleaksは、より多くの漏洩を検出し、最新の開発者ワークフローに適合するように構築された、より高速なオープンソースのシークレットスキャナーです。
製品および会社のお知らせ
AIペンテストはコンプライアンスとどのように連携しますか?
AI ペンテストはコンプライアンスとどのように連携しますか?
AI ペンテストは SOC 2、ISO 27001、HIPAA、PCI DSS で受け入れられています。監査人が実際に求めているものと、本当の限界がどこにあるかをご紹介します。
AI ペンテストは SOC 2、ISO 27001、HIPAA、PCI DSS で受け入れられています。監査人が実際に求めているものと、本当の限界がどこにあるかをご紹介します。
コンプライアンス
トランプ政権の2026年サイバーセキュリティ戦略:コンプライアンスから結果へ
トランプ政権の2026年サイバーセキュリティ戦略:コンプライアンスから結果へ
トランプ政権の2026年サイバーセキュリティ戦略は、コンプライアンスチェックリストからサイバー犯罪者に対する実際の結果へと焦点を移します。CISO が知っておくべきことは次のとおりです。
ニュース
継続的なペンテストに実際に必要なもの
継続的なペンテスト:その仕組みと必要なもの
継続的なペンテストはリアルタイムのセキュリティ検証を約束しますが、ほとんどの実装は不十分です。変更を認識するテストから、エクスプロイト検証、修正ループまで、継続的なペンテストに実際に必要なものは次のとおりです。
継続的なペンテストは広く議論されていますが、明確に定義されることはめったにありません。この記事では、それが何であるか、何でないか、そして実際に何が必要かを詳しく説明します。
ガイドラインと推奨事例
レアはランダムではない:シークレット におけるトークン効率の活用
レアはランダムではない:シークレット におけるトークン効率の活用
エントロピーは、一般的なシークレットや短い文字列の検出に苦労することがよくあります。ここでは、トークン効率が通常のテキストに見えない文字列をより適切に識別する方法について考察します。
エントロピーはランダム性の検出に優れています。しかし、シークレットは常にランダムであるとは限りません。それらは通常のコードやテキストには現れない単なる文字列です。私たちはBPEトークン化を使用してその違いを測定する方法を探ります。
ガイドラインと推奨事例
なぜ決定論はセキュリティにおいて依然として必要なのか
なぜ決定論はセキュリティにおいて依然として必要なのか
AIスキャンはルールが見落とすものを見つけます。決定論的スキャンは毎回それを見つけます。最高のセキュリティパイプラインが、なぜどちらか一方を選ぶのではなく、両方を活用するのか、その理由を説明します。
AIを活用したセキュリティツールは、脆弱性の発見において向上しています。しかし、決定論的なツールは、パイプライン、コンプライアンス、監査証跡が依存する一貫性を提供します。決定論的スキャンが優れている点、AIが引き継ぐべき点、そして効果的なセキュリティのために両者がどのように連携するかを見ていきます。
エンジニアリング
WAF vs. RASP vs. ADR
WAF vs. RASP vs. ADR: ランタイムアプリケーションセキュリティの仕組み
WAF、RASP、ADRは、アプリケーションを全く異なる方法で保護します。各レイヤーが実際に何を行い、どのような限界があり、どれが必要なのかを説明します。
WAF、RASP、ADR、eBPF — ランタイムアプリケーションセキュリティに関する用語を明確にします。各レイヤーが実際に何を行い、どのように重複し、どのように連携するのかを説明します
ガイド
Aikido Infiniteの紹介:新たな自己保護ソフトウェアモデル
Aikido Infinite: すべてのリリースに対応する継続的なAI ペンテスト
Aikido Infiniteは、すべてのコード変更に対してAI ペネトレーションテストを実行し、エクスプロイト可能性を検証し、パッチを生成し、コードが本番環境にデプロイされる前に修正を再テストすることで、自己保護型ソフトウェアを現実のものにします。
Aikido
Storybook の開発サーバーにおける WebSockets を使用した永続的な XSS/RCE
StorybookにおけるWebSocketsを使用した永続的なXSS/RCE (CVE-2026-27148)
CVE-2026-27148は、StorybookにおけるWebSocketハイジャックの脆弱性を露呈し、サプライチェーン侵害にエスカレートする可能性があります。攻撃経路、影響、および対処法について学びましょう。
Aikido Attackは、Storybookの開発サーバーにWebSocketハイジャックの脆弱性を発見しました。これは、永続的なXSS、リモートコード実行、そして最悪の場合にはサプライチェーン侵害につながる可能性があります。攻撃者がユーザーインタラクションなしにこれをどのようにエクスプロイトできるか、また開発者がStorybookの実行中に誤ったウェブサイトを訪問するだけでこの攻撃に遭遇する可能性について解説します。
脆弱性と脅威
設計上どのようにAikidoが、AIペネトレーションテストエージェントを確実に保護するのか
AikidoがAIペンテストエージェントを保護し、スコープドリフトを防ぐ方法
Aikidoがアーキテクチャ上の分離、ランタイムスコープの強制、およびネットワークレベルの制御により、AIペンテストエージェントを保護し、本番環境への逸脱とデータ漏洩を防ぐ方法をご覧ください。
AIエージェントは探索するように設計されています。サイバーセキュリティにおいては、その探索には厳格な境界が必要です。この記事では、Aikidoがアーキテクチャ上の分離、ランタイムスコープの強制、および設計によってリスクを封じ込める多層的な制御を通じて、AIペンテストエージェントをどのように保護するかを説明します。
製品および会社のお知らせ
Hostヘッダー注入によるAstroフルリードSSRF
Astro SSRF脆弱性: SSRエラーページにおけるHostヘッダーインジェクション (CVE-2026-25545)
Aikido SecurityのAIペンテストエージェントは、AstroのSSR実装においてServer-Side Request Forgery (SSRF) の脆弱性を発見しました。プリレンダリングされたエラーページにおけるHostヘッダーインジェクションが、どのようにして内部ネットワークへの完全なアクセスを可能にしたかをご覧ください。
AikidoのAIペンテストエージェントは、AstroのNode.jsアダプターにSSRF脆弱性を発見しました。悪意のあるHost:ヘッダーを注入することで、攻撃者が内部リクエストをローカルネットワーク上の任意のURLにリダイレクトできる方法について見ていきます。
脆弱性と脅威
セキュリティを重視するよう取締役会に働きかける方法(侵害が発生して問題が表面化する前に)
セキュリティ侵害が発生する前に、取締役会にセキュリティを重視させる方法
取締役会がセキュリティに資金を投じるのは、それが重要だからではない。正当化できる意思決定に資金を投じるのだ。以下に、リスクを明確化し、曖昧さを減らし、侵害が発生して問題が表面化する前に真の支持を得る方法を示す。
ガイド
スロップスクワッティングとは何か? 既に発生しているAIパッケージ幻覚攻撃
スロップスクワッティング:既に発生しているAIパッケージ幻覚攻撃
AIモデルがnpmパッケージ名を幻視する。攻撃者が先に登録する。これがスロープスクワッティングの実態だ。エージェントスキルを通じて拡散する仕組みと、防御策を解説する。
AIモデルがパッケージ名を幻視する——そして攻撃者は誰にも気付かれる前にそれらを登録している。スロップスクワッティングはタイポスクワッティングのAI時代における進化形であり、従来の方法とは異なり、npmの既存の保護策は機能しない。実際に発生している実例を検証する——確認済みの悪意あるパッケージが依然として週数百回のダウンロードを獲得している事例から、AIエージェントのスキルファイルを通じて237のリポジトリに拡散した幻視されたパッケージ名まで。
ガイドラインと推奨事例
トップ6 Wizコード代替品
Wiz Codeの代替ツール(2026年版):6つのツールを比較し、開発者ファーストの最適な選択肢
Wiz Codeの代替ツールをお探しですか?SAST、DAST、SCA、価格、開発者エクスペリエンスの6つのツールを比較し、2026年に最適なAppSecプラットフォームを見つけましょう。
このガイドでは、Wiz CodeをAikido Security、Snyk、Checkmarx、GitHub Advanced Security、Mend、Veracodeの6つの代替製品と比較し、カバレッジ、開発者エクスペリエンス、AIを活用したトリアージ、価格の透明性、デプロイ速度に基づいて評価します。Aikido Securityは、広範なカバレッジ、85%の誤検知削減、SAST、IaC、コンテナ全体でのAI AutoFix、ネイティブDAST、そしてWizの約10分の1のコストで透明性のある価格設定を提供する開発者ファーストのプラットフォームを求めるチームにとって、最上位の選択肢となります。
ガイドラインと推奨事例
Aikidoは、Latio Techの2026年アプリケーションセキュリティレポートにおいて、プラットフォームリーダーとして評価されました。
Latio 2026レポートでAikidoがAppSecプラットフォームリーダーに選出
Aikido Securityは、Latio Techの2026年AppSecレポートにおいて、プラットフォームリーダー、AI Pentestingイノベーター、およびサプライチェーンイノベーターとして認められました。
Latio Techの2026年AppSecレポートは、AikidoをプラットフォームリーダーおよびAIイノベーターとして評価しています。このレポートが明らかにするアプリケーションセキュリティの未来をご覧ください。
ニュース
検知から予防へ:Zen実行時にIDOR脆弱性に対処する方法
検出から防止へ: Zenがランタイム時にIDORを阻止 | Aikido
IDORの脆弱性は、マルチテナントSaaSにおけるテナント間データ漏洩の最も一般的な原因の一つです。ZenがSQLクエリを分析し、出荷前に安全でないアクセスを防止することで、ランタイム時にどのようにテナント分離を強制するかをご覧ください。
IDORの脆弱性は、マルチテナントアプリケーションにおけるクロステナントのデータ漏洩の主要な原因です。この投稿では、Zenがいかに検知を超えてランタイムでテナント分離を強制し、意図しないクロステナントアクセスが出荷されるのを不可能にするかを説明します。
製品および会社のお知らせ
npmのバックドアにより、ハッカーがギャンブルの結果を乗っ取る
npmサプライチェーン攻撃によりゲームのバックエンドが乗っ取られ、ギャンブルの結果が不正操作される
標的型npmサプライチェーン攻撃により、Expressのバックドアがインストールされ、リモートSQL/ファイルアクセスが有効になり、ログの一貫性を保ちながらギャンブルの残高が書き換えられます。
本番環境でギャンブル取引を改ざんし、その後データベースの内部整合性を維持できる悪意のあるnpmパッケージが発見されました。
脆弱性と脅威
なぜOpenClawのセキュリティ強化を試みるのに無理があるのか
なぜOpenClawのセキュリティ強化を試みるのに無理があるのか
OpenClawのセキュリティ問題解説:ClawHub内のマルウェア、露出したインスタンス、そしてなぜハードニングガイドが見落とすのか。AIエージェントを安全に使用できますか?
ニュース
アップグレード影響分析のご紹介:コードに実際に影響を与えるブレイキングチェンジとは
アップグレード影響分析:破壊的変更が実際に影響を与える場合 | Aikido
Aikidoは、依存関係のアップグレードにおける破壊的変更を自動的に検出し、コードベースを分析して実際の影響を示します。これにより、チームはセキュリティ修正を安全にマージできます。
Aikidoのアップグレード影響分析は、依存関係の更新における破壊的変更を検出し、それらの変更が実際にコードに影響を与えるかどうかを示します。
製品および会社のお知らせ
Claude Opus 4.6は500の脆弱性を発見した。これはソフトウェアセキュリティにどのような変化をもたらすのか?
Claude Opus 4.6が500件の脆弱性を発見:ソフトウェアセキュリティにとっての意味
Anthropicは、Claude Opus 4.6がオープンソースで500件以上の高深刻度な脆弱性を発見したと主張しています。これが脆弱性発見、エクスプロイト可能性の検証、および本番環境のセキュリティワークフローに何を意味するのかを解説します。
報道によると、Claude Opus 4.6はオープンソースで500件以上の高深刻度な脆弱性を発見しました。この記事では、それが本番環境で実際に何を変えるのか、LLMの推論がどこで役立つのか、そしてなぜ検証と到達可能性が依然として実際のセキュリティ影響を決定するのかを検証します。
ニュース
Aikido Expansion Packsのご紹介:IDE内のより安全なデフォルト設定
Aikido Expansion Packs:IDE内のより安全なデフォルト設定
Aikido Expansion Packsは、IDE内に直接、集中的なセキュリティ制御を追加します。開発者のワークフローを変更することなく、シークレット保護、サプライチェーンマルウェアチェック、およびAIアシストによるコードセキュリティを有効にできます。
製品および会社のお知らせ
2026年国際AI安全性報告書:自律型AIシステムにとって何を意味するか
International AI Safety Report 2026:Aikido Security による分析
Aikido Security による International AI Safety Report 2026 の分析。デプロイ時の制御、検証要件、および自律型AIシステム向けの実用的な安全基準を検証します。
100名以上の専門家が国際AI安全性レポート2026に貢献し、自律型AIシステムからのリスクを文書化し、多層防御フレームワークを提案しました。AIペンテストシステムを本番環境で運用するチームとして、当社は、レポートが適切である点と、より技術的な具体性が必要な点を分析します。
ニュース
自己保護型ソフトウェア:その定義、重要性、および仕組み
自己保護ソフトウェアとは何か?現代のソフトウェアのための新しいセキュリティモデル
自己保護ソフトウェアは、システムが変化するにつれて、実際の脅威を継続的に検証し、修正するセキュリティモデルです。定期的なテストがもはやスケールしない理由を学びましょう。
自己保護ソフトウェアは、セキュリティを定期的なプロセスではなく、組み込みのシステム機能として扱います。この記事では、現代のソフトウェアがなぜ新しいセキュリティモデルを必要とするのか、そしてそれが今日どのようにして可能になったのかを説明します。
製品および会社のお知らせ
エンジニアリングチーム向けセキュアSDLC(+チェックリスト)
セキュアSDLC解説:セキュアなソフトウェア開発ライフサイクルの5つの柱
セキュアSDLCとは何か、なぜそれが重要なのか、そしてすべてのチームが必要とする5つの柱について学びます。CTOおよびエンジニアリングリーダー向けの実践的なセキュアSDLCチェックリストが含まれています。
ガイドラインと推奨事例
2026年版 AIセキュリティツール トップ10
2026年版 AIセキュリティツール ベスト10:機能、メリット、比較
2026年版の主要なAIセキュリティツールをご紹介します。現代のアプリケーションを保護するため、AIコードレビュー、脆弱性検出、ペンテスト、リスク管理のためのプラットフォームを比較します。
DevSecツールと製品比較
AikidoとComp AIを用いた継続的なコンプライアンスの構築
AikidoとComp AIによる継続的なコンプライアンス
AikidoとComp AIが、リアルタイムのセキュリティデータを常に最新の監査証拠(SOC 2、ISO 27001、HIPAA、GDPR向け)に変換することで、継続的なコンプライアンスをどのように実現するかを学びます。
製品および会社のお知らせ
2026年版サイバーセキュリティツール トップ10
2026年版サイバーセキュリティツール トップ10:検出、クラウド、XDR、AppSec
2026年版サイバーセキュリティツール トップ10の実践的な内訳。エンドポイント、クラウド、ID、脆弱性管理、XDRを網羅しています。スタックとリスクプロファイルに合った適切なツールの選び方を学びましょう。
DevSecツールと製品比較
Continuous Pentestingとは?
Continuous Pentestingとは?現代のチームがエクスプロイト可能なリスクを削減する方法
Continuous pentestingは、ソフトウェアが変更されるたびに実際の攻撃経路を自動的にテストし、開発ライフサイクルの一部として問題を検証・修正します。AIおよび手動のペンテストとの比較についてご確認ください。
継続的ペンテストは、セキュリティを一度限りのテストではなく、生きているシステムとして扱います。ソフトウェアの変更に伴い、現代のチームがエクスプロイト可能なリスクを削減するためにどのようにそれを使用しているかをご覧ください。
ガイドラインと推奨事例
npxの混乱: 自らの名前を確保していなかったパッケージ
npxの混乱: 自らの名前を確保していなかったパッケージ
公式ドキュメントが開発者にnpxを推奨していた、未請求のnpmパッケージ名128件を当社が取得しました。7ヶ月後、121,000件のダウンロードがありました。これらすべてが任意のコードを実行する可能性がありました。
公式ドキュメントでは、開発者に対し`npx package-name`を実行するよう指示しています。しかし、もし誰もその名前を登録していなかったらどうなるでしょうか?私たちはそのうち128個を登録し、監視しました。7ヶ月間で121,000件のダウンロードがありました。ホリデー期間中の落ち込みは、それらがボットではなく実際の開発者であることを証明しています。
脆弱性と脅威
Aikido Package Healthのご紹介:依存関係を信頼するためのより良い方法
Aikido Package Health:オープンソースパッケージのヘルススコア
オープンソースパッケージが実際にどれほど安定しており、適切にメンテナンスされているかを確認できます。Aikido Package Healthは、開発者がより安全な依存関係を自信を持って選択するのに役立ちます。
製品および会社のお知らせ
AIペネトレーションテスト:セキュリティテストの最低安全基準
AIペンテストはいつ安全になるのか?セキュリティテストにおける最低限の安全要件
AIペンテストシステムは、ライブ環境に対して自律的に動作します。AIペンテストを安全に使用できる時期、必要な最低限の技術的セーフガード、そしてAIセキュリティテストツールを責任を持って評価する方法について学びましょう。
AIペンテストはすでに実用化されていますが、明確な安全基準はまだ確立されていません。本記事では、AIペンテストの最低限の安全基準を定義し、チームが新しいツールを評価するための具体的な基準を提供します。
ガイドラインと推奨事例
偽のClawdbot VS Code拡張機能がScreenConnect RATをインストール
偽のClawdbot VS Code拡張機能がScreenConnect RATをインストール
Clawdbotを装った悪意のあるVS Code拡張機能が、開発者のマシンにScreenConnect RATをインストールしています。
Clawdbotを装った悪意のあるVS Code拡張機能が、開発者のマシンにScreenConnect RATをインストールしています。
脆弱性と脅威
2026年版 脅威インテリジェンスツール トップ7
2026年版脅威インテリジェンスツール トップ7:ノイズを排除し、真のリスクに焦点を当てる
2026年の主要な脅威インテリジェンスツールを深く掘り下げ、それらがどのようにアラート疲れを軽減し、コンテキストを追加し、チームが現実世界のセキュリティリスクを優先順位付けするのに役立つかを比較します。
DevSecツールと製品比較
2026年版 VS Code拡張機能 トップ14
トップ14のVS Code拡張機能 (2026年版):生産性、テスト、セキュリティ、コラボレーション
2026年版VS Code拡張機能のベストプラクティスガイド。生産性、テスト、コラボレーション、セキュリティツールを網羅し、実際の開発者のワークフローを改善します。
DevSecツールと製品比較
G_Wagon: npmパッケージが100以上の暗号資産ウォレットを標的とするPython Stealerを展開
G_Wagon: npmパッケージが100以上の暗号資産ウォレットを標的とするPython Stealerを展開
npmパッケージ「ansi-universal-ui」は、100以上の暗号資産ウォレット、ブラウザの認証情報、およびクラウドキーを標的とするGWagonインフォスティーラーを配信します。私たちは、攻撃者がリアルタイムで開発を進める中で、全10バージョンを分析しました。
脆弱性と脅威
Pentest GPT: LLMがペネトレーションテストをどのように再構築しているか
Pentest GPT: AIがペネトレーションテストをどのように変革しているか
Pentest GPTがLLMを活用して攻撃推論を自動化し、実際のエクスプロイトをシミュレートし、テストを規模拡大する方法を探ります。Aikidoがすべての発見をどのように検証しているかをご覧ください。
DevSecツールと製品比較
フィッシングの動向:カスタム認証情報収集ページを配信するnpmパッケージ
フィッシングの動向:カスタム認証情報収集ページを配信するnpmパッケージ
標的型スピアフィッシングキャンペーンでは、npmパッケージとjsDelivrを無料のフィッシングインフラストラクチャとして使用し、被害者ごとにカスタマイズされた認証情報ハーベスターを提供していました。
脆弱性と脅威
悪意のあるPyPIパッケージ spellcheckpy および spellcheckerpy が Python RAT を配布
悪意のあるPyPIパッケージ spellcheckpy および spellcheckerpy が Python RAT を配布
攻撃者は、一見して分からないようにマルウェアが隠された偽のスペルチェッカーパッケージをPyPIに公開しました。本稿では、この攻撃の詳細と開発者が注意すべき点について解説します。
脆弱性と脅威
SvelteSpill: SvelteKit + Vercelにおけるキャッシュの欺瞞バグ
SvelteSpill: SvelteKit + Vercelにおける重大なキャッシュ欺瞞バグ
SvelteSpillは、VercelにデプロイされたデフォルトのSvelteKit脆弱性 キャッシュの脆弱性 です。認証済みレスポンスがキャッシュされ、ユーザー間で公開される可能性があります。脆弱性の有無を確認する方法とリスクを軽減する方法について学びましょう。
当社のAIペンテストシステムは、Vercel上のデフォルトのSvelteKitデプロイメントにおいて、高深刻度の脆弱性を発見し、再現しました。ここでは、15万行のコードにわたるクロスレイヤーの欠陥をどのように追跡したかをご紹介します。
脆弱性と脅威
エージェントスキルが幻覚的なnpxコマンドを拡散している
エージェントスキルが幻覚的なnpxコマンドを拡散している
AIエージェントのスキルが、幻覚的なnpxコマンドを伝播させ、開発者とサプライチェーンに実際のセキュリティおよび信頼性のリスクをもたらしています。
脆弱性と脅威
現代のソフトウェアにおけるオープンソースライセンスのリスクを理解する
現代のソフトウェアにおけるオープンソースライセンスのリスクを理解する
オープンソースライセンスのリスクは、依存関係とコンテナイメージに潜んでいます。それが何であるか、なぜ重要なのか、そして問題を早期に発見する方法を学びます。
オープンソースは急速に進化していますが、そのライセンスには依然としてルールがあります。この記事では、オープンソースライセンスのリスクとは何か、なぜ現代の依存関係ツリーでチームが見落とし続けるのか、そして法的な緊急事態に陥ることなくコンプライアンスを維持する方法について解説します。
ガイドラインと推奨事例
セキュリティのためのCISO向けバイブコーディングチェックリスト
CISO Vibe Coding Checklist: AIで構築されたアプリケーションの保護
AIおよびvibe-codedアプリケーションを管理するCISO向けの実用的なセキュリティチェックリストです。技術的なガードレール、AI制御、組織ポリシーを網羅しています。
AIを活用したvibeコーディングにより、誰でもソフトウェアを出荷できるようになりました。この記事では、CISOが直面しているセキュリティリスクを概説し、LovableおよびSupabaseのCISOからの情報に基づいた実用的なチェックリストを紹介します。
ガイドラインと推奨事例
「No Bullsh*t Security」から10億ドルへ:6,000万ドルのシリーズB資金調達を実施しました
Aikido Securityが評価額10億ドルで6,000万ドルを調達
Aikidoは、自己保護型ソフトウェアと継続的なペネトレーションテストのビジョンを加速させるため、10億ドルの評価額で6,000万ドルのシリーズB資金調達を発表しました。
Aikidoは、世界的にユニコーン企業としての地位を達成したサイバーセキュリティ企業の中で最も速い企業の一つとなり、ヨーロッパでは史上最速を記録しました。
製品および会社のお知らせ
n8nの重大な脆弱性により認証なしのリモートコード実行が可能に (CVE-2026-21858)
n8nの重大な脆弱性 (CVE-2026-21858) | 認証なしRCEの解説
n8nの重大な脆弱性 (CVE-2026-21858) により、セルフホスト型インスタンスで認証なしのリモートコード実行が可能になります。影響を受ける対象と対処方法を学びます。
脆弱性と脅威
CoolifyのAI駆動型ペンテスト:7つのCVEを特定
CoolifyでAI ペンテストにより特定された7つのCVE | Aikido
Coolifyに対するAI駆動型ペンテストにより、権限昇格やリモートコード実行の脆弱性を含む7つのCVEが特定されました。発見された問題は責任を持って開示され、修正されています。
Aikido
JavaScript、MSBuild、およびブロックチェーン:NeoShadow npmサプライチェーン攻撃の解剖
NeoShadow npmサプライチェーン攻撃:JavaScript、MSBuild、ブロックチェーン
NeoShadow npmサプライチェーン攻撃の詳細な技術分析。JavaScript、MSBuild、およびブロックチェーン技術がどのように組み合わされて開発者を侵害したかを詳述しています。
脆弱性と脅威
SAST vs SCA: 記述するコードと依存するコードを保護する
SAST vs SCA 解説: コードと依存関係の保護
SASTとSCAがどのように異なり、それぞれがどのようなリスクに対処し、現代のAppSecチームがコードと依存関係を保護するために両方を必要とする理由を学びます。
技術
2026年版継続的ペンテストツールのトップ6
2026年版継続的ペンテストツールのトップ6
最新のアプリケーション向けにリアルタイムのAI駆動型セキュリティテストを提供する主要な継続的ペンテストツールをご紹介します。
DevSecツールと製品比較
エンジニアリングチームとセキュリティチームがDORAの技術要件をどのように満たすことができるか
エンジニアリング&セキュリティチーム向けDORA技術要件
DORAのエンジニアリングチームおよびセキュリティチーム向けの技術要件(レジリエンス試験、リスク管理、監査対応可能な証拠を含む)を理解する。
コンプライアンス
IDORの脆弱性とは:現代のアプリケーションでなぜそれが続くのか
IDOR脆弱性の解説: 不安全な直接オブジェクト参照がなぜ依然として存在するのか
IDOR脆弱性とは何か、現代のAPIで不安全な直接オブジェクト参照がなぜ依然として存在するのか、そして従来のテストツールが実際の認証失敗の検出に苦戦する理由を学びます。
IDOR脆弱性とは何か、現代のAPIで不安全な直接オブジェクト参照がなぜ依然として存在するのか、そして従来のテストツールが実際の認証失敗の検出に苦戦する理由を学びます。
脆弱性と脅威
Shai Huludが再び攻撃 - ゴールデンパス
Shai Huludが再び攻撃 - ゴールデンパス
Shai Huludの新しい系統が野外で確認されました。
脆弱性と脅威
MongoBleed: MongoDB Zlib脆弱性 (CVE-2025-14847) およびその修正方法
MongoBleed: MongoDB Zlib脆弱性 (CVE-2025-14847)
CVE-2025-14847として追跡されているMongoBleedは、zlib圧縮を介してMongoDBで認証なしのメモリ開示を可能にします。影響と対策を参照してください。
脆弱性と脅威
Jacksonに対するタイポスクワッティング攻撃を介してMaven Centralで発見された初の高度なマルウェア
Maven Centralマルウェア:Jackson TyposquattingがCobalt Strikeペイロードを配信
Maven Centralで初の高度なマルウェアキャンペーンを発見しました。これは、タイポスクワッティングされたJacksonパッケージがSpring Bootの自動実行を介して多段階ペイロードとCobalt Strikeビーコンを配信するものでした。
脆弱性と脅威
フォークの覚醒:GitHubの目に見えないネットワークがパッケージセキュリティを破壊する理由
フォークの覚醒:GitHubの目に見えないネットワークがパッケージセキュリティを破壊する理由
フォークされたコミットによって攻撃者が依存関係を偽装できるGitHubのセキュリティ上の欠陥について詳細に解説します。コミットSHAの問題と、パッケージマネージャーがAPIレベルの保護を必要とする理由を理解しましょう。
脆弱性と脅威
IDEでのSASTが無料に: 開発が実際に発生する場所へSASTを移行
IDEでの無料SASTスキャン
リアルタイムのフィードバックとプロジェクト全体の可視性を提供し、IDEで直接無料のSASTスキャンを実行できます。Aikidoと同じSASTルールとエンジンを使用し、サポートされる検出結果にはオプションのAutoFixを利用可能です。
製品および会社のお知らせ
AIペンテストの実践:ライブデモのTL;DV要約
Aikido AI ペンテスト: ライブデモのまとめとFAQ
AikidoのAIペンテストライブデモの要約です。自律型エージェントがどのように実際のアプリケーションをテストし、検出結果を検証し、レポートを生成し、再テストを可能にするかをご覧ください。
ガイド
クラウドセキュリティのトップ7脆弱性
クラウドセキュリティのトップ7脆弱性とその対策
現代の環境に影響を与えるクラウドセキュリティの主要な7つの脆弱性を発見してください。攻撃者がIMDS、Kubernetes、設定ミスなどをどのようにエクスプロイトするかを学び、クラウドインフラストラクチャを効果的に保護するための戦略を探ります。
ガイドラインと推奨事例
英国のサイバーセキュリティ・レジリエンス法案に準拠する方法:現代のエンジニアリングチームのための実践ガイド
英国サイバーセキュリティ・レジリエンス法案への準拠 | セキュリティガイド
セキュアバイデザインの実践からSBOMの透明性、サプライチェーンセキュリティ、継続的なコンプライアンスまで、英国サイバーセキュリティ・レジリエンス法案の要件を満たす方法を学びましょう。
コンプライアンス
React & Next.js DoSの脆弱性 (CVE-2025-55184): React2Shell後に修正すべき点
React & Next.js DoSの脆弱性 (CVE-2025-55184) の解説
CVE-2025-55184は、React2Shellに関連するReact Server ComponentsのDoS脆弱性です。誰が影響を受け、どのように機能し、そして完全にパッチを適用する方法を学びましょう。
脆弱性と脅威
主要なソフトウェアサプライチェーンの脆弱性の解説
ソフトウェアサプライチェーンのセキュリティ脆弱性
悪意のあるパッケージから依存関係の混乱攻撃まで、最大のソフトウェアサプライチェーンセキュリティ脆弱性について理解を深めます。
ガイドラインと推奨事例
最新のWebアプリケーションにおけるJavaScriptセキュリティ脆弱性トップ10
JavaScriptのセキュリティ脆弱性 | 主要なリスク
フロントエンドおよびバックエンドアプリケーションに影響を与える最も頻繁なJavaScriptのセキュリティ脆弱性について、実世界の攻撃ベクトルを含めて解説します。
ガイドラインと推奨事例
開発者が避けるべきPythonのセキュリティ脆弱性トップ10
Pythonのセキュリティ脆弱性 | 主要な課題
最も一般的なPythonのセキュリティ脆弱性、安全でないパターン、および依存関係に関連するリスクの実践的な概要。
ガイドラインと推奨事例
最新のアプリケーションで発見されたコードセキュリティ脆弱性トップ10
コードのセキュリティ脆弱性 | 一般的なリスク
開発者が導入する最も一般的なコードセキュリティ脆弱性、それらがなぜ発生するのか、そしてチームがそれらをより早期に発見する方法について探ります。
ガイドラインと推奨事例
Kubernetesセキュリティ脆弱性と設定ミス トップ9
Kubernetesセキュリティ脆弱性 | 主要なリスク
最も重要なKubernetesセキュリティ脆弱性、一般的な設定ミス、そしてクラスターがデフォルトで公開されていることが多い理由について学びます。
ガイドラインと推奨事例
すべてのチームが知っておくべきWebアプリケーションセキュリティのトップ10脆弱性
Webアプリケーションのセキュリティ脆弱性 | 主要なリスク
最も一般的なWebアプリケーションのセキュリティ脆弱性、実際の例、そして現代のチームが早期にリスクを軽減する方法をご紹介します。
ガイドラインと推奨事例
OWASP Top 10 for Agentic Applications (2026):開発者とセキュリティチームが知っておくべきこと
OWASP Top 10 for Agentic Applications (2026):AIエージェントのセキュリティリスクに関する完全ガイド
OWASP Top 10 for Agentic Applicationsを習得します。主要なAIエージェントのセキュリティリスク、実例、および環境を強化する方法を理解しましょう。
ガイドラインと推奨事例
DAST vs ペンテスト vs AI ペンテスト: なぜDASTが現代のペンテストに取って代われないのか
DAST vs ペンテスト vs AIペンテスト: 主な違いを解説
DAST、手動ペネトレーションテスト、AI ペンテストを比較します。それぞれの方法がどこで機能し、DASTの限界はどこにあるのか、そしてAI ペンテストが最新のアプリケーションのより深く継続的なテストをどのように可能にするかをご覧ください。
DevSecツールと製品比較
シークレット検出:漏洩した認証情報を発見し防止するための実践ガイド
シークレット検出ガイド:漏洩の発見と防止
シークレット検出の仕組み、何がシークレットと見なされるか(APIキー、トークン、認証情報)、チームがそれらをどこで漏洩させるか、そしてgit、CI、本番環境での漏洩を防ぐ方法を学びましょう。
ガイドラインと推奨事例
CSPM(およびCNAPP)とは?クラウドセキュリティポスチャ管理を解説
CSPM vs CNAPP: クラウドポスチャを解説
CSPMとCNAPPを分かりやすく解説します: そのカバー範囲、クラウドリスクをどのように軽減するか、注目すべき主要機能、そしてチームが実際にどのように導入しているか。
ガイドラインと推奨事例
最新のソフトウェアサプライチェーンにおけるマルウェアの検出と防止
ソフトウェアサプライチェーンマルウェアの防止(ガイド)
サプライチェーンマルウェアが現代のコードベースにどのように侵入するか(タイポスクワッティング、依存関係の混乱、悪意のあるアップデート)、そしてCI/CDの早い段階でそれを阻止する防御策を探ります。
ガイドラインと推奨事例
IaCセキュリティスキャンとは何ですか?Terraform、Kubernetes、クラウドの誤設定について解説
TerraformおよびKubernetes向けIaCセキュリティスキャン
IaCセキュリティスキャンの理解:Terraform/Kubernetesにおけるクラウドの誤設定の検出方法、優先すべき事項、およびデプロイ前にリスクのある変更を防ぐ方法。
ガイドラインと推奨事例
究極のSASTガイド:静的アプリケーションセキュリティテストとは何か?
究極のSASTガイド:静的アプリケーションセキュリティテスト
実践的なSAST解説:静的アプリケーションセキュリティテストがどのように機能するか、どのような問題を発見するか、一般的な落とし穴、そして開発者をノイズで圧倒することなく導入する方法。
ガイドラインと推奨事例
サプライチェーンセキュリティ:ソフトウェアコンポジション解析(SCA)ツールの究極ガイド
サプライチェーンセキュリティガイド:最適なSCAツール
SCAツールが何を行い、何を検出するのか(脆弱な依存関係、ライセンス、マルウェアなど)、そしてスタックに適したソフトウェア構成分析ソリューションの選び方について学びましょう。
ガイドラインと推奨事例
深刻なReact & Next.js RCEの脆弱性 (CVE-2025-55182): 今すぐ修正すべき点
深刻なReact & Next.js RCEの脆弱性 CVE-2025-55182 修正ガイド
CVE-2025-55182および関連するNext.js RCEがReact Server Componentsにどのように影響するかを学びます。影響、影響を受けるバージョン、および修正方法を確認してください。Aikidoは現在、両方の問題を検出します。
脆弱性と脅威
PromptPwnd: AIエージェントを使用したGitHub Actionsにおけるプロンプトインジェクションの脆弱性
GitHub Actions内でのプロンプトインジェクション:サプライチェーン攻撃の新たなフロンティア
AIを活用したGitHub Actionsは、新たなプロンプトインジェクションのサプライチェーン脆弱性を露呈します。
脆弱性と脅威
Shai Hulud 2.0:未知の脅威が浮き彫りにする攻撃者の意図
Shai Hulud 2.0:未知の脅威が攻撃者の最終目標について何を明らかにするか
Shai Hulud 2.0マルウェアに関する新たな調査によると、ユーザー名「UnknownWonderer1」は攻撃者の最終目標についてより多くの情報を示唆しています。
脆弱性と脅威
SCA Everywhere: IDE内でオープンソースの依存関係をスキャンし修正
IDEでのSCA: AutoFixで脆弱な依存関係をスキャンし修正
インエディタスキャンとAutoFixにより、完全なSCAワークフローをIDEに統合します。開発ワークフローを離れることなく、脆弱なパッケージを検出し、CVEを確認し、安全なアップグレードを適用します。
製品および会社のお知らせ
Safe Chainは、インストール前にパッケージの最小期間を適用するようになりました。
SafeChainは、より安全なインストールのために、24時間の最小パッケージ期間を義務付けるようになりました。
Safe Chainは、攻撃者が新しいリリースを侵入経路として利用するのを阻止するため、最低24時間のパッケージ経過時間を義務付けるようになりました。マルウェアを早期にブロックし、安全なバージョンにフォールバックします。
製品および会社のお知らせ
クラウドセキュリティツールの解説: 主要な機能と評価のヒント
クラウドセキュリティツール:機能と選び方
クラウドセキュリティツールの必須機能をご紹介します。そしてプロバイダーを比較する方法を学び、クラウド環境を保護しましょう。
ガイドラインと推奨事例
ASPMツール:主要機能とベンダー評価方法
ASPMツール:機能と評価ガイド
アプリケーションセキュリティポスチャ管理ツールの概要、その主要な機能、および適切なASPMプラットフォームを選択するための基準を把握します。
ガイドラインと推奨事例
DASTツール:機能、能力、評価方法
DASTツール:主要機能と購入ガイド
DASTツールの仕組み、最も重要な機能、そして動的テストソリューションを選択する際に考慮すべき評価基準について解説します。
ガイドラインと推奨事例
SASTツール:主要機能と最適なSASTソリューションの選び方
SASTツール:機能と評価ガイド
静的アプリケーションセキュリティテストツールの主要な機能と、ワークフローに最適なSASTソリューションを選択する際のポイントを学びましょう。
ガイドラインと推奨事例
主要なJavascriptセキュリティツール
WebおよびNode.jsアプリケーションのための最適なJavaScriptセキュリティツール
npmパッケージのスキャン、脆弱性の検出、フロントエンドおよびNode.jsアプリケーションの保護を行う主要なJavaScriptセキュリティツールを比較します。
DevSecツールと製品比較
主要なPythonセキュリティツール
安全なPython開発のための主要なPythonセキュリティツール
パッケージをスキャンし、コードをリントし、脆弱性を発見し、一般的な攻撃からPythonアプリケーションを保護するための最高のPythonセキュリティツールをご覧ください。
DevSecツールと製品比較
リポジトリとコード保護のための主要なGitHubセキュリティツール
安全なリポジトリのための最適なGitHubセキュリティツール
コード、シークレット、依存関係のスキャン、リポジトリの保護、安全な開発プラクティスの徹底に役立つ主要なGitHubセキュリティツールを発見しましょう。
DevSecツールと製品比較
自動監査準備のための主要なSOC 2コンプライアンスツール
監査を簡素化するための主要なSOC 2コンプライアンスツール
急成長中のチーム向けに、証拠収集を効率化し、コントロールをマッピングし、監査を簡素化する主要なSOC 2コンプライアンスツールを探ります。
DevSecツールと製品比較
Google Cloudを保護するためのトップGCPセキュリティツール
Google Cloud保護のための最適なGCPセキュリティツール
継続的な監視とアラートにより、Google CloudのID、ネットワーク、ワークロード、データを保護するための最高のGCPセキュリティツールを見つけてください。
DevSecツールと製品比較
2026年のトップ6マルチクラウドセキュリティツール
AWS、Azure、GCP向けの主要なマルチクラウドセキュリティツール
AWS、Azure、GCP全体で統合された可視性、ポリシー適用、脅威検出を提供するトップのマルチクラウドセキュリティツールをご紹介します。
DevSecツールと製品比較
主要なランタイムセキュリティツール
クラウドネイティブワークロードのための最適なランタイムセキュリティツール
稼働中のコンテナ、Kubernetesクラスター、クラウドワークロードにおける脅威をリアルタイムで検出するための最適なランタイムセキュリティツールについて学びます。
DevSecツールと製品比較
2026年版CI/CD トップ7
セキュアなソフトウェアデリバリーのための主要なCI/CDセキュリティツール
ビルドパイプラインを保護し、アーティファクトに署名し、ソフトウェアデリバリープロセス全体でポリシーを適用する主要なCI/CDセキュリティツールについて解説します。
DevSecツールと製品比較
トップDockerセキュリティツール
コンテナとイメージ向けベストDockerセキュリティツール
コンテナイメージのスキャン、コンテナの監視、コンテナ化された環境でのポリシー適用を行うための主要なDockerセキュリティツールをご覧ください。
DevSecツールと製品比較
主要なセキュリティ監視ツール
リアルタイムの脅威検出のための主要なセキュリティ監視ツール
リアルタイムで脅威を検出するために、SIEM、ログ分析、オブザーバビリティプラットフォームを含む主要なセキュリティ監視ツールを探ります。
DevSecツールと製品比較
安全なソフトウェア開発のためのトップコードセキュリティツール
2025年版開発者向けトップコードセキュリティツール
SAST、SCA、シークレットスキャンなどの主要なコードセキュリティツールを活用し、リポジトリを保護し、サプライチェーン攻撃を防ぎましょう。
DevSecツールと製品比較
主要なソフトウェアセキュリティテストツール
SDLC全体における最適なソフトウェアセキュリティテストツール
SDLC全体を通じてソースコード、API、アプリケーションをスキャンし、リスクを軽減するための最適なソフトウェアセキュリティテストツールを比較します。
DevSecツールと製品比較
ありがとうございました!あなたの投稿は受理されました!
あれ!フォームの送信中に何か問題が発生しました。
2026年3月16日
脆弱性と脅威

Glasswormが人気のReact Native電話番号パッケージを攻撃

2つの人気のあるReact Native npmパッケージが、Glasswormと疑われる攻撃者によってバックドアを仕掛けられ、多段階マルウェアの配信に利用されました。このマルウェアが何をするのか、そして何に注意すべきかについて説明します。

タグ/

#マルウェア

#NPM

2026年3月12日
脆弱性と脅威

セキュリティチームはいかにAIを活用したハッカーに反撃するか

一人のハッカーとClaudeのサブスクリプションだけで、メキシコ政府機関9つがダウンしました。AIは攻撃者に大幅なパワーアップをもたらしました。セキュリティチームは新たな戦略(プレイブック)を必要としています。

タグ/

#AI

#継続的ペンテスト

#自己保護ソフトウェア

2026年3月9日
ニュース

トランプ政権の2026年サイバーセキュリティ戦略:コンプライアンスから結果へ

タグ/

#コンプライアンス

2026年3月9日
コンプライアンス

AIペンテストはコンプライアンスとどのように連携しますか?

AI ペンテストは SOC 2、ISO 27001、HIPAA、PCI DSS で受け入れられています。監査人が実際に求めているものと、本当の限界がどこにあるかをご紹介します。

タグ/

#AI ペネトレーションテスト

#ペンテスト

2026年3月3日
脆弱性と脅威

Storybook の開発サーバーにおける WebSockets を使用した永続的な XSS/RCE

Aikido Attackは、Storybookの開発サーバーにWebSocketハイジャックの脆弱性を発見しました。これは、永続的なXSS、リモートコード実行、そして最悪の場合にはサプライチェーン侵害につながる可能性があります。攻撃者がユーザーインタラクションなしにこれをどのようにエクスプロイトできるか、また開発者がStorybookの実行中に誤ったウェブサイトを訪問するだけでこの攻撃に遭遇する可能性について解説します。

タグ/

#脆弱性

#オープンソース

#ペンテスト

2026年3月3日
エンジニアリング

なぜ決定論はセキュリティにおいて依然として必要なのか

AIを活用したセキュリティツールは、脆弱性の発見において向上しています。しかし、決定論的なツールは、パイプライン、コンプライアンス、監査証跡が依存する一貫性を提供します。決定論的スキャンが優れている点、AIが引き継ぐべき点、そして効果的なセキュリティのために両者がどのように連携するかを見ていきます。

タグ/

#SAST

#ツール

2026年2月23日
ガイド

セキュリティを重視するよう取締役会に働きかける方法(侵害が発生して問題が表面化する前に)

タグ/

#記事

2026年2月20日
ガイドラインと推奨事例

スロップスクワッティングとは何か? 既に発生しているAIパッケージ幻覚攻撃

AIモデルがパッケージ名を幻視する——そして攻撃者は誰にも気付かれる前にそれらを登録している。スロップスクワッティングはタイポスクワッティングのAI時代における進化形であり、従来の方法とは異なり、npmの既存の保護策は機能しない。実際に発生している実例を検証する——確認済みの悪意あるパッケージが依然として週数百回のダウンロードを獲得している事例から、AIエージェントのスキルファイルを通じて237のリポジトリに拡散した幻視されたパッケージ名まで。

タグ/

#脆弱性

#依存関係

#NPM

2026年2月13日
ニュース

なぜOpenClawのセキュリティ強化を試みるのに無理があるのか

タグ/

#AI安全性

2026年2月10日
製品および会社のお知らせ

Aikido Expansion Packsのご紹介:IDE内のより安全なデフォルト設定

タグ/

#IDEセキュリティ

2026年2月9日
ニュース

2026年国際AI安全性報告書:自律型AIシステムにとって何を意味するか

100名以上の専門家が国際AI安全性レポート2026に貢献し、自律型AIシステムからのリスクを文書化し、多層防御フレームワークを提案しました。AIペンテストシステムを本番環境で運用するチームとして、当社は、レポートが適切である点と、より技術的な具体性が必要な点を分析します。

タグ/
アイテムが見つかりませんでした。
2026年2月5日
製品および会社のお知らせ

AikidoとComp AIを用いた継続的なコンプライアンスの構築

タグ/

#コンプライアンス

製品および会社のお知らせ
すべて表示
すべて表示
2026年3月12日
製品および会社のお知らせ

Gitleaksの作者によるオープンソースのシークレットスキャナー、Betterleaksのご紹介

Betterleaksは、Gitleaksの作者による新しいオープンソースのシークレットスキャナーです。より高速なスキャン、トークン効率検出、設定可能な検証などを備えたドロップイン代替品です。

2026年2月24日
製品および会社のお知らせ

設計上どのようにAikidoが、AIペネトレーションテストエージェントを確実に保護するのか

Aikidoがアーキテクチャ上の分離、ランタイムスコープの強制、およびネットワークレベルの制御により、AIペンテストエージェントを保護し、本番環境への逸脱とデータ漏洩を防ぐ方法をご覧ください。

#
AI ペネトレーションテスト
#
AI安全性
#
AI
2026年2月16日
製品および会社のお知らせ

検知から予防へ:Zen実行時にIDOR脆弱性に対処する方法

IDORの脆弱性は、マルチテナントSaaSにおけるテナント間データ漏洩の最も一般的な原因の一つです。ZenがSQLクエリを分析し、出荷前に安全でないアクセスを防止することで、ランタイム時にどのようにテナント分離を強制するかをご覧ください。

#
RASP
脆弱性と脅威
すべて表示
すべて表示
2026年3月18日
脆弱性と脅威

GlassWormは、悪意のあるChrome拡張機能の中にRATを隠している

GlassWormは、悪意のあるChrome拡張機能を強制的にインストールし、キー入力を記録したり、Cookieを盗み出したり、SolanaベースのC2を介してデータを外部へ流出させたりする、多段階型のRATを展開する。

#
マルウェア
2026年3月18日
脆弱性と脅威

fast-draft Open VSX拡張機能がBlokTrooperによって侵害される

Fast-draft Open VSX拡張機能が侵害され、GitHubでホストされたペイロードを介してBlokTrooper RATおよび情報窃取型マルウェアが展開された。複数の悪意のあるバージョンが確認されている。

#
マルウェア
#
オープンソース
2026年3月13日
脆弱性と脅威

Glasswormが再び登場:数百のリポジトリを襲う見えないUnicode攻撃の新たな波

Glasswormサプライチェーン攻撃が再び発生しました。研究者たちは、150以上のGitHubリポジトリ、npmパッケージ、およびVS Code拡張機能全体で、見えないUnicode文字に隠されたマルウェアを発見しました。

#
NPM
DevSecツールと製品比較
すべて表示
すべて表示
2025年8月19日
DevSecツールと製品比較

2026年版 トップ12 動的アプリケーションセキュリティテスト (DAST) ツール

2026年における最適な12の動的アプリケーションセキュリティテスト (DAST) ツールを見つけましょう。機能、長所、短所、統合機能を比較し、DevSecOpsパイプラインに適したDASTソリューションを選びましょう。

#
ツール
#
DAST
2025年7月18日
DevSecツールと製品比較

2026年版 コンテナスキャンツール トップ13

2026年における最適なコンテナスキャンツール13選をご紹介します。機能、長所、短所、連携機能を比較し、DevSecOpsパイプラインに最適なソリューションを選択してください。

#
ツール
#
コンテナイメージスキャン
2025年7月17日
DevSecツールと製品比較

2026年版Software Composition Analysis (SCA) ツール トップ10

SCAツールは、オープンソースセキュリティにおける最善の防御策です。本記事では、2026年版のオープンソース依存関係スキャナー トップ10を解説します。

#
ツール
#
SCA
ガイドラインと推奨事例
すべて表示
すべて表示
2026年3月6日
ガイドラインと推奨事例

継続的なペンテストに実際に必要なもの

継続的なペンテストはリアルタイムのセキュリティ検証を約束しますが、ほとんどの実装は不十分です。変更を認識するテストから、エクスプロイト検証、修正ループまで、継続的なペンテストに実際に必要なものは次のとおりです。

2026年3月3日
ガイドラインと推奨事例

レアはランダムではない:シークレット におけるトークン効率の活用

エントロピーは、一般的なシークレットや短い文字列の検出に苦労することがよくあります。ここでは、トークン効率が通常のテキストに見えない文字列をより適切に識別する方法について考察します。

#
AppSec
2026年1月16日
ガイドラインと推奨事例

セキュリティのためのCISO向けバイブコーディングチェックリスト

AIおよびvibe-codedアプリケーションを管理するCISO向けの実用的なセキュリティチェックリストです。技術的なガードレール、AI制御、組織ポリシーを網羅しています。

#
Vibe Coding

今すぐ、安全な環境へ。

コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。

スキャンを開始
CC不要
デモを予約する
クレジットカードは不要です | スキャン結果は32秒で表示されます。