Aikido
無料で始める
CC不要

私たちのブログへようこそ。

注目
シンプルな電子メール送信フォームを通じて、ある新興企業のクラウドがどのようにハッキングされたのか?
ハッカーがメール経由でスタートアップのクラウドにアクセスした方法
これは、あるスタートアップ企業のAmazon S3バケット、環境変数、および様々な内部APIシークレットにアクセスした攻撃者の物語です。
メールを送信するシンプルなフォームによってスタートアップのクラウドが乗っ取られた経緯
エンジニアリング
Willem Delbare
ありがとうございました!あなたの投稿は受理されました!
あれ!フォームの送信中に何か問題が発生しました。
2026年4月22日
脆弱性と脅威

npmとPyPIに存在するGPT-Proxyバックドアが、サーバーを中国のLLM中継サーバーに変えてしまう

新たに発見されたnpmおよびPyPIを標的としたマルウェアキャンペーンは、侵害されたサーバーに隠蔽されたLLMプロキシをインストールし、それらをLLMトラフィックのリレーノードとして利用している。

#マルウェア

2026年4月20日
製品および会社のお知らせ

「Endpoint Protection」のご紹介:開発者向けデバイスのセキュリティ

#お知らせ

2026年4月16日
ニュース

NIST NVDの予算削減が進む時代における信頼できるCVE情報源

#intel

2026

2026年 セキュリティと開発におけるAIの現状

当社の新しいレポートは、ヨーロッパと米国全域の 450人のセキュリティリーダー(CISOまたは同等の役職)、開発者、およびAppSecエンジニアの声を集めています。彼らは、AI生成コードがすでに問題を引き起こしていること、ツールスプロールがセキュリティを悪化させていること、そして開発者エクスペリエンスがインシデント発生率に直接関連していることを明らかにしています。ここが2025年にスピードと安全性が衝突する場所です。

もっと読む
ダークブルーのグリッド背景に、「2026 State of AI in Security & Development」と書かれたタイトルカード。

ニュースレターを購読してください。
スパムなし、保証します。

脆弱性と脅威

実世界のCVE分析、マルウェア分析、エクスプロイト、および新たなリスクに関する情報でノイズを排除します。

すべて表示

ニュース

現在、ソフトウェアのセキュリティを形作っている動向に対する私たちの見解

すべて表示

お客様のフィードバック

お客様のようなチームが、Aikidoを活用してセキュリティを簡素化し、自信を持ってリリースしているかをご覧ください。

すべて表示

製品および会社のお知らせ

Aikidoの最新情報 — 製品発表からセキュリティにおける大きな成功事例まで。

すべて表示

ガイドラインと推奨事例

より安全なコードをより迅速にリリースするための、実践的なヒント、セキュリティワークフロー、およびハウツーガイド。

すべて表示

コンプライアンス

SOC 2、ISO標準、GDPR、NISなどに関する明確で開発者向けのガイダンスにより、監査に先んじて対応できます。

すべて表示
PyPI
Aikido Zen
IDORの脆弱性
IDEセキュリティ
お知らせ
欧州サイバーセキュリティ
継続的なペンテスト
AI安全性
自己保護ソフトウェア
SSDLC
VS Code
AI ペネトレーションテスト
脅威モデリング
サイバーレジリエンス法
トリアージ中
オートトリアージ
ペンテスト
Bazel
コード品質
OWASP
NIS2
リーガルテック
フィンテック
RASP
サポート終了
SQLインジェクション
DAST
CNAPP
cspm
aspm
Infrastructure as Code (IaC)
ネットワークセキュリティ監視
ライセンススキャナー
SBOM
コンテナイメージスキャン
AppSec
脆弱性
ソフトウェア・サプライチェーンのセキュリティ
API
依存関係
継続的セキュリティ監視
DevSecOps
Vibe Coding
AI
NPM
自動修正
マルウェア
記事
オープンソース
SCA
インテル
SOC 2
ユースケース
ツール
SAST
コンプライアンス
CircleCI
Codeship
IMDSv2
クラウド
IMDSv1
SSRF
AWS
Shai-Huludが復活したのか? 脆弱性が発見されたBitwarden CLIに、自己増殖型npmワームが含まれている
Shai-Huludが復活したのか? 脆弱性が発見されたBitwarden CLIに、自己増殖型npmワームが含まれている
@bitwarden/cli v2026.4.0 に発見されたマルウェアは、SSH キー、シークレット、AI コーディングツールの認証情報を盗み出し、被害者自身の npm パッケージを通じて拡散します。その正体は、「Shai-Hulud: The Third Coming」と名乗るワームです。
@bitwarden/cli v2026.4.0 に発見されたマルウェアは、SSH キー、シークレット、AI コーディングツールの認証情報を盗み出し、被害者自身の npm パッケージを通じて拡散します。その正体は、「Shai-Hulud: The Third Coming」と名乗るワームです。
脆弱性と脅威
npmとPyPIに存在するGPT-Proxyバックドアが、サーバーを中国のLLM中継サーバーに変えてしまう
npmとPyPIに存在するGPT-Proxyバックドアが、サーバーを中国のLLM中継サーバーに変えてしまう
新たに発見されたnpmおよびPyPIを標的としたマルウェアキャンペーンは、侵害されたサーバーに隠蔽されたLLMプロキシをインストールし、それらをLLMトラフィックのリレーノードとして利用している。
新たに発見されたnpmおよびPyPIを標的としたマルウェアキャンペーンは、侵害されたサーバーに隠蔽されたLLMプロキシをインストールし、それらをLLMトラフィックのリレーノードとして利用している。
脆弱性と脅威
RoundcubeのXSSとCookieの書き換えを組み合わせることで、受信トレイへの完全なアクセス権を取得
RoundcubeのXSSとCookieの書き換えを組み合わせることで、受信トレイへの完全なアクセス権を取得
Roundcubeのドラフト添付ファイルエンドポイントに、保存型XSSの脆弱性を発見しました。この脆弱性をクッキー投げ渡し(cookie tossing)の手法と組み合わせることで、攻撃者は被害者の受信トレイに完全なアクセス権を得ることができます。以下に、エクスプロイト 仕組みと、その修正方法について説明します。
Roundcubeのドラフト添付ファイルエンドポイントに、保存型XSSの脆弱性を発見しました。この脆弱性をクッキー投げ渡し(cookie tossing)の手法と組み合わせることで、攻撃者は被害者の受信トレイに完全なアクセス権を得ることができます。ここでは、エクスプロイト 仕組みと、その修正方法について説明します。
脆弱性と脅威
「Endpoint Protection」のご紹介:開発者向けデバイスのセキュリティ
Aikido エンドポイント:開発者向けデバイスのセキュリティ | Aikido
サプライチェーン攻撃は開発者の端末を標的としている。 Aikido Aikidoは、npm、PyPI、VS Code拡張機能、ブラウザ拡張機能、AIツールにおけるすべてのインストールを監視します。
製品および会社のお知らせ
Mailcow に複数のクロスサイトスクリプティング(XSS)の脆弱性が確認されました
Mailcowに複数のXSS脆弱性が発見され、認証不要のアカウント乗っ取りも含まれる
Aikidoのペンテスト 、Mailcowに3つのXSS脆弱性を発見しました。そのうち1つは、認証されていない攻撃者が管理者アカウントを乗っ取ることを可能にするものでした。すべての問題はバージョン2026-03bで修正されています。
AikidoのAIペネトレーションテストエージェントは、広く利用されているセルフホスト型メールサーバー「Mailcow」に3つのXSS脆弱性を発見しました。最も深刻な脆弱性では、認証されていない攻撃者がAutodiscoverログにペイロードを注入することが可能であり、管理者がそのログを表示した際に実行され、アカウントの完全な乗っ取りを可能にしていました。これら3つの脆弱性はすべて、バージョン2026-03b以降で修正されています。
脆弱性と脅威
NIST NVDの予算削減が進む時代における信頼できるCVE情報源
NIST NVDの2026年変更点:セキュリティ担当者が知っておくべきこと
NISTは、ほとんどのCVEの詳細情報を更新しなくなります。変更点、影響を受ける機能、そして今後の見通しについて解説します。
ニュース
Axios CVE-2026-40175:重大なバグだが……悪用は不可能
Axios CVE-2026-40175:重大なバグだが……悪用は不可能
AxiosのCVE-2026-40175は「重大」と評価されていますが、実際のNode.js環境では実質的に悪用されることはありません。その理由は以下の通りです。
AxiosのCVE-2026-40175は「重大」と評価されていますが、実際のNode.js環境では実質的に悪用されることはありません。その理由は以下の通りです。
脆弱性と脅威
バグ報奨金制度は終わっていないが、従来のモデルは崩壊しつつある
バグ報奨金制度は終わっていないが、従来のモデルは崩壊しつつある
AIがプログラムを圧倒する中、バグ報奨金制度は限界に直面しており、より持続可能で品質重視のセキュリティモデルへの移行が迫られている。
AIがプログラムを圧倒する中、バグ報奨金制度は限界に直面しており、より持続可能で品質重視のセキュリティモデルへの移行が迫られている。
技術
GlassWormがネイティブ化:新しいZigドロッパーがマシン上のすべてのIDEに感染する
GlassWormがネイティブ化:新しいZigドロッパーがマシン上のすべてのIDEに感染する
GlassWormは、偽の拡張機能に隠されたZigベースのネイティブ・ドロッパーを展開し、VS Code、Cursor、VSCodium、その他のIDEを気付かれずに侵害します。
GlassWormは、偽の拡張機能に隠されたZigベースのネイティブ・ドロッパーを展開し、VS Code、Cursor、VSCodium、その他のIDEを気付かれずに侵害します。
脆弱性と脅威
Aikido Attack、Hoppscotchに複数のゼロデイ脆弱性を発見
Aikido 攻撃により、Hoppscotchにゼロデイ脆弱性が発見される
AikidoAikidoのAIペネトレーションテストエージェントは、Hoppscotchにアカウント乗っ取り、保存型XSS、アクセス制御の欠陥など、複数の重大な脆弱性を発見しました。これらの問題はすべて修正済みです。
Aikido Attackは、Hoppscotchに3つの高深刻度の脆弱性を特定しました。具体的には、アカウント乗っ取りにつながるオープンリダイレクト、保存型XSS、およびチーム間リクエストインジェクションを可能にするアクセス制御の不備です。
脆弱性と脅威
Mythosをめぐるサイバーセキュリティに関する悲観論は、現場で実際に見られる状況とは一致しない
「アンソロピック・ミトス」がもたらすサイバーセキュリティリスク:1,000件のAIペネトレーションテストが実際に明らかにしたこと
Anthropic社の「Mythos」モデルの流出により、AIを活用したサイバー攻撃への懸念が高まっている。我々は1,000件のAIによる侵入テストを実施した。その結果、この脅威はメディアの見出しが伝えるよりも複雑であることが示唆された。
ニュース
npm上のaxiosが侵害される:メンテナンス担当者のアカウントが乗っ取られ、RATが展開された
npm上のaxiosが侵害される:メンテナンス担当者のアカウントが乗っ取られ、RATが展開された
悪意のあるaxiosのバージョン1.14.1および0.30.4が、乗っ取られたメンテナンス担当者のアカウントを通じて公開されました。隠された依存関係により、クロスプラットフォーム型のRATが展開されます。影響を受けているかどうかを確認し、直ちに対処してください。
Axiosが侵害されました。メインメンテナンス担当者のアカウントが乗っ取られた後、悪意のあるAxiosバージョン1.14.1および0.30.4がnpmに公開されました。この悪意のある依存関係は、実行後に自己破壊するクロスプラットフォーム型RATを展開します。
脆弱性と脅威
PyPI上でTeamPCPにより人気のtelnyxパッケージが侵害
PyPI上でTeamPCPにより人気のtelnyxパッケージが侵害
大手AI企業が利用しているPyPI上の人気パッケージ「telnyx」が、TeamPCPによって侵害された
大手AI企業が利用しているPyPI上の人気パッケージ「telnyx」が、TeamPCPによって侵害された
脆弱性と脅威
Aikido × Lovable:雰囲気、修正、カップリング
Lovableは Aikido と提携し、Vibe-Codedアプリへのペネトレーションテストを実現
愛らしくて Aikido がペネトレーションテスト機能をプラットフォームに導入し、開発者が実環境での攻撃をシミュレートし、リリース前に問題を修正できるようにします。
Aikido Lovableにペネトレーションテスト機能を直接統合しました。 実際の攻撃をシミュレートしてアプリをテストし、リリース前に問題を修正しましょう。
製品および会社のお知らせ
CanisterWormが牙をむく:TeamPCPのKubernetes向けワイパーがイランを標的に
CanisterWormが牙をむく:TeamPCPのKubernetes向けワイパーがイランを標的に
CanisterWormが牙をむく:TeamPCPのKubernetes向けワイパーがイランを標的に
CanisterWormが牙をむく:TeamPCPのKubernetes向けワイパーがイランを標的に
脆弱性と脅威
TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した
TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した
TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した
TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した
脆弱性と脅威
Aikido フロスト&サリバンより、ASPMにおける「2026年カスタマーバリュー・リーダーシップ賞」を受賞
Aikido フロスト&サリバンより、ASPMにおける「2026年カスタマーバリュー・リーダーシップ賞」を受賞
フロスト&サリバンが認定 Aikido ASPM「2026年カスタマー・バリュー・リーダーシップ賞」に選出しました。本賞の選考基準から読み取れる、AppSec市場の成熟度について詳しく解説します
フロスト&サリバンが認定 Aikido ASPM「2026年カスタマー・バリュー・リーダーシップ賞」に選出しました。本賞の選考基準から読み取れる、AppSec市場の成熟度について詳しく解説します
ニュース
GlassWormは、悪意のあるChrome拡張機能の中にRATを隠している
悪質なChrome拡張機能を通じて拡散するGlassWorm RAT(キーロガー、Cookie窃取)
GlassWormは、悪意のあるChrome拡張機能を強制的にインストールし、キー入力を記録したり、Cookieを盗み出したり、SolanaベースのC2を介してデータを外部へ流出させたりする、多段階型のRATを展開する。
GlassWormは、悪意のあるChrome拡張機能を強制的にインストールし、キー入力を記録したり、Cookieを盗み出したり、SolanaベースのC2を介してデータを外部へ流出させたりする、多段階型のRATを展開する。
脆弱性と脅威
セキュリティテストとは、もはや存在しないソフトウェアを検証することである
ペネトレーションテストが追いつかない理由:セキュリティテストにおけるスピードの問題
現代のチームは、ペネトレーションテストが追いつけないほどのスピードで製品をリリースしています。セキュリティテストにおけるこの拡大するスピードのギャップ、そして従来のアプローチがなぜ遅れをとっているのかを探ります。
ある大企業のCISOは、今日のセキュリティにおいて最も重要な能力は「スピード」だと語りました。 しかし、システムの変化のスピードにテストが追いつかない場合、どうなるのでしょうか?
ガイドラインと推奨事例
fast-draft Open VSX拡張機能がBlokTrooperによって侵害される
fast-draft Open VSX拡張機能がBlokTrooper(RATおよび情報窃取型マルウェア)によって侵害される
Fast-draft Open VSX拡張機能が侵害され、GitHubでホストされたペイロードを介してBlokTrooper RATおよび情報窃取型マルウェアが展開された。複数の悪意のあるバージョンが確認されている。
人気のあるOpen VSX拡張機能が侵害され、攻撃者が制御するインフラからRATや情報窃取型マルウェアを展開するために悪用されました。 そのバージョン履歴を見ると、正常なリリースの間に悪意のあるリリースが混在していることが明らかになっています。
脆弱性と脅威
Glasswormが人気のReact Native電話番号パッケージを攻撃
Glasswormが新たなサプライチェーン攻撃で人気のReact Native電話番号パッケージを標的に
Aikido Securityの研究者は、2つの悪意あるReact Nativeパッケージから完全なペイロードチェーンを回収し、復号しました。このマルウェアの挙動と、注意すべき点について説明します。
2つの人気のあるReact Native npmパッケージが、Glasswormと疑われる攻撃者によってバックドアを仕掛けられ、多段階マルウェアの配信に利用されました。このマルウェアが何をするのか、そして何に注意すべきかについて説明します。
脆弱性と脅威
Glasswormが再び登場:数百のリポジトリを襲う見えないUnicode攻撃の新たな波
Glasswormが再来:150以上のGitHubリポジトリで発見された見えないUnicodeマルウェア
Glasswormサプライチェーン攻撃が再び発生しました。研究者たちは、150以上のGitHubリポジトリ、npmパッケージ、およびVS Code拡張機能全体で、見えないUnicode文字に隠されたマルウェアを発見しました。
Glasswormが、見えないUnicode攻撃の新たな波とともに戻ってきました。 GitHub、npm、VS Code全体でリポジトリを密かに侵害する新たなキャンペーンを追跡しています。
脆弱性と脅威
RSAC 2026の主要パーティー、サイドイベント、セキュリティミートアップ
RSAC 2026パーティー&セキュリティイベントガイド|Aikido
RSAC 2026パーティー&セキュリティイベントガイド|Aikido
ニュース
セキュリティチームはいかにAIを活用したハッカーに反撃するか
セキュリティチームはいかにAIを活用したハッカーに反撃するか
AIはハッカーの参入障壁を劇的に下げました。これは防御側にとって何を意味するのか、そして継続的なAIペンテストがどのように状況を変えるのかを説明します。
一人のハッカーとClaudeのサブスクリプションだけで、メキシコ政府機関9つがダウンしました。AIは攻撃者に大幅なパワーアップをもたらしました。セキュリティチームは新たな戦略(プレイブック)を必要としています。
脆弱性と脅威
Gitleaksの作者によるオープンソースのシークレットスキャナー、Betterleaksのご紹介
Betterleaks:より高速なシークレットスキャン向けに構築されたGitleaksの後継
Betterleaksは、Gitleaksの作者による新しいオープンソースのシークレットスキャナーです。より高速なスキャン、トークン効率検出、設定可能な検証などを備えたドロップイン代替品です。
Gitleaksの作者がその後継をリリースします。Betterleaksは、より多くの漏洩を検出し、最新の開発者ワークフローに適合するように構築された、より高速なオープンソースのシークレットスキャナーです。
製品および会社のお知らせ
AIペンテストはコンプライアンスとどのように連携しますか?
AIペンテストはコンプライアンスとどのように連携しますか?
AIペネトレーションテストは、SOC 2、ISO 27001、HIPAAにおいて認められつつあり(今後さらに増える可能性が高い)、監査人が実際に何に注目しているのか、また実際の限界はどこにあるのかについて解説します。
AI ペンテストは SOC 2、ISO 27001、HIPAA、PCI DSS で受け入れられています。監査人が実際に求めているものと、本当の限界がどこにあるかをご紹介します。
コンプライアンス
トランプ政権の2026年サイバーセキュリティ戦略:コンプライアンスから結果へ
トランプ政権の2026年サイバーセキュリティ戦略:コンプライアンスから結果へ
トランプ政権の2026年サイバーセキュリティ戦略は、コンプライアンスチェックリストからサイバー犯罪者に対する実際の結果へと焦点を移します。CISO が知っておくべきことは次のとおりです。
ニュース
継続的なペンテストに実際に必要なもの
継続的なペンテスト:その仕組みと必要なもの
継続的なペンテストはリアルタイムのセキュリティ検証を約束しますが、ほとんどの実装は不十分です。変更を認識するテストから、エクスプロイト検証、修正ループまで、継続的なペンテストに実際に必要なものは次のとおりです。
継続的なペンテストは広く議論されていますが、明確に定義されることはめったにありません。この記事では、それが何であるか、何でないか、そして実際に何が必要かを詳しく説明します。
ガイドラインと推奨事例
レアはランダムではない:シークレット におけるトークン効率の活用
レアはランダムではない:シークレット におけるトークン効率の活用
エントロピーは、一般的なシークレットや短い文字列の検出に苦労することがよくあります。ここでは、トークン効率が通常のテキストに見えない文字列をより適切に識別する方法について考察します。
エントロピーはランダム性の検出に優れています。しかし、シークレットは常にランダムであるとは限りません。それらは通常のコードやテキストには現れない単なる文字列です。私たちはBPEトークン化を使用してその違いを測定する方法を探ります。
ガイドラインと推奨事例
なぜ決定論はセキュリティにおいて依然として必要なのか
なぜ決定論はセキュリティにおいて依然として必要なのか
AIスキャンはルールが見落とすものを見つけます。決定論的スキャンは毎回それを見つけます。最高のセキュリティパイプラインが、なぜどちらか一方を選ぶのではなく、両方を活用するのか、その理由を説明します。
AIを活用したセキュリティツールは、脆弱性の発見において向上しています。しかし、決定論的なツールは、パイプライン、コンプライアンス、監査証跡が依存する一貫性を提供します。決定論的スキャンが優れている点、AIが引き継ぐべき点、そして効果的なセキュリティのために両者がどのように連携するかを見ていきます。
エンジニアリング
WAF vs. RASP vs. ADR
WAF vs. RASP vs. ADR: ランタイムアプリケーションセキュリティの仕組み
WAF、RASP、ADRは、アプリケーションを全く異なる方法で保護します。各レイヤーが実際に何を行い、どのような限界があり、どれが必要なのかを説明します。
WAF、RASP、ADR、eBPF — ランタイムアプリケーションセキュリティに関する用語を明確にします。各レイヤーが実際に何を行い、どのように重複し、どのように連携するのかを説明します
ガイド
Aikido Infiniteの紹介:新たな自己保護ソフトウェアモデル
Aikido Infinite: すべてのリリースに対応する継続的なAI ペンテスト
Aikido Infiniteは、すべてのコード変更に対してAI ペネトレーションテストを実行し、エクスプロイト可能性を検証し、パッチを生成し、コードが本番環境にデプロイされる前に修正を再テストすることで、自己保護型ソフトウェアを現実のものにします。
製品および会社のお知らせ
Storybook の開発サーバーにおける WebSockets を使用した永続的な XSS/RCE
StorybookにおけるWebSocketsを使用した永続的なXSS/RCE (CVE-2026-27148)
CVE-2026-27148は、StorybookにおけるWebSocketハイジャックの脆弱性を露呈し、サプライチェーン侵害にエスカレートする可能性があります。攻撃経路、影響、および対処法について学びましょう。
Aikido Attackは、Storybookの開発サーバーにWebSocketハイジャックの脆弱性を発見しました。これは、永続的なXSS、リモートコード実行、そして最悪の場合にはサプライチェーン侵害につながる可能性があります。攻撃者がユーザーインタラクションなしにこれをどのようにエクスプロイトできるか、また開発者がStorybookの実行中に誤ったウェブサイトを訪問するだけでこの攻撃に遭遇する可能性について解説します。
脆弱性と脅威
設計上どのようにAikidoが、AIペネトレーションテストエージェントを確実に保護するのか
AikidoがAIペンテストエージェントを保護し、スコープドリフトを防ぐ方法
Aikidoがアーキテクチャ上の分離、ランタイムスコープの強制、およびネットワークレベルの制御により、AIペンテストエージェントを保護し、本番環境への逸脱とデータ漏洩を防ぐ方法をご覧ください。
AIエージェントは探索するように設計されています。サイバーセキュリティにおいては、その探索には厳格な境界が必要です。この記事では、Aikidoがアーキテクチャ上の分離、ランタイムスコープの強制、および設計によってリスクを封じ込める多層的な制御を通じて、AIペンテストエージェントをどのように保護するかを説明します。
製品および会社のお知らせ
Hostヘッダー注入によるAstroフルリードSSRF
Astro SSRF脆弱性: SSRエラーページにおけるHostヘッダーインジェクション (CVE-2026-25545)
Aikido SecurityのAIペンテストエージェントは、AstroのSSR実装においてServer-Side Request Forgery (SSRF) の脆弱性を発見しました。プリレンダリングされたエラーページにおけるHostヘッダーインジェクションが、どのようにして内部ネットワークへの完全なアクセスを可能にしたかをご覧ください。
AikidoのAIペンテストエージェントは、AstroのNode.jsアダプターにSSRF脆弱性を発見しました。悪意のあるHost:ヘッダーを注入することで、攻撃者が内部リクエストをローカルネットワーク上の任意のURLにリダイレクトできる方法について見ていきます。
脆弱性と脅威
セキュリティを重視するよう取締役会に働きかける方法(侵害が発生して問題が表面化する前に)
セキュリティ侵害が発生する前に、取締役会にセキュリティを重視させる方法
取締役会がセキュリティに資金を投じるのは、それが重要だからではない。正当化できる意思決定に資金を投じるのだ。以下に、リスクを明確化し、曖昧さを減らし、侵害が発生して問題が表面化する前に真の支持を得る方法を示す。
ガイド
スロップスクワッティングとは何か? 既に発生しているAIパッケージ幻覚攻撃
スロップスクワッティング:既に発生しているAIパッケージ幻覚攻撃
AIモデルがnpmパッケージ名を幻視する。攻撃者が先に登録する。これがスロープスクワッティングの実態だ。エージェントスキルを通じて拡散する仕組みと、防御策を解説する。
AIモデルがパッケージ名を幻視する——そして攻撃者は誰にも気付かれる前にそれらを登録している。スロップスクワッティングはタイポスクワッティングのAI時代における進化形であり、従来の方法とは異なり、npmの既存の保護策は機能しない。実際に発生している実例を検証する——確認済みの悪意あるパッケージが依然として週数百回のダウンロードを獲得している事例から、AIエージェントのスキルファイルを通じて237のリポジトリに拡散した幻視されたパッケージ名まで。
ガイドラインと推奨事例
トップ6 Wizコード代替品
Wiz Codeの代替ツール(2026年版):6つのツールを比較し、開発者ファーストの最適な選択肢
Wiz Codeの代替ツールをお探しですか?SAST、DAST、SCA、価格、開発者エクスペリエンスの6つのツールを比較し、2026年に最適なAppSecプラットフォームを見つけましょう。
このガイドでは、Wiz CodeをAikido Security、Snyk、Checkmarx、GitHub Advanced Security、Mend、Veracodeの6つの代替製品と比較し、カバレッジ、開発者エクスペリエンス、AIを活用したトリアージ、価格の透明性、デプロイ速度に基づいて評価します。Aikido Securityは、広範なカバレッジ、85%の誤検知削減、SAST、IaC、コンテナ全体でのAI AutoFix、ネイティブDAST、そしてWizの約10分の1のコストで透明性のある価格設定を提供する開発者ファーストのプラットフォームを求めるチームにとって、最上位の選択肢となります。
ガイドラインと推奨事例
Aikidoは、Latio Techの2026年アプリケーションセキュリティレポートにおいて、プラットフォームリーダーとして評価されました。
Latio 2026レポートでAikidoがAppSecプラットフォームリーダーに選出
Aikido Securityは、Latio Techの2026年AppSecレポートにおいて、プラットフォームリーダー、AI Pentestingイノベーター、およびサプライチェーンイノベーターとして認められました。
Latio Techの2026年AppSecレポートは、AikidoをプラットフォームリーダーおよびAIイノベーターとして評価しています。このレポートが明らかにするアプリケーションセキュリティの未来をご覧ください。
ニュース
検知から予防へ:Zen実行時にIDOR脆弱性に対処する方法
検出から防止へ: Zenがランタイム時にIDORを阻止 | Aikido
IDORの脆弱性は、マルチテナントSaaSにおけるテナント間データ漏洩の最も一般的な原因の一つです。ZenがSQLクエリを分析し、出荷前に安全でないアクセスを防止することで、ランタイム時にどのようにテナント分離を強制するかをご覧ください。
IDORの脆弱性は、マルチテナントアプリケーションにおけるクロステナントのデータ漏洩の主要な原因です。この投稿では、Zenがいかに検知を超えてランタイムでテナント分離を強制し、意図しないクロステナントアクセスが出荷されるのを不可能にするかを説明します。
製品および会社のお知らせ
npmのバックドアにより、ハッカーがギャンブルの結果を乗っ取る
npmサプライチェーン攻撃によりゲームのバックエンドが乗っ取られ、ギャンブルの結果が不正操作される
標的型npmサプライチェーン攻撃により、Expressのバックドアがインストールされ、リモートSQL/ファイルアクセスが有効になり、ログの一貫性を保ちながらギャンブルの残高が書き換えられます。
本番環境でギャンブル取引を改ざんし、その後データベースの内部整合性を維持できる悪意のあるnpmパッケージが発見されました。
脆弱性と脅威
なぜOpenClawのセキュリティ強化を試みるのに無理があるのか
なぜOpenClawのセキュリティ強化を試みるのに無理があるのか
OpenClawのセキュリティ問題解説:ClawHub内のマルウェア、露出したインスタンス、そしてなぜハードニングガイドが見落とすのか。AIエージェントを安全に使用できますか?
ニュース
アップグレード影響分析のご紹介:コードに実際に影響を与えるブレイキングチェンジとは
アップグレード影響分析:破壊的変更が実際に影響を与える場合 | Aikido
Aikidoは、依存関係のアップグレードにおける破壊的変更を自動的に検出し、コードベースを分析して実際の影響を示します。これにより、チームはセキュリティ修正を安全にマージできます。
Aikidoのアップグレード影響分析は、依存関係の更新における破壊的変更を検出し、それらの変更が実際にコードに影響を与えるかどうかを示します。
製品および会社のお知らせ
Claude Opus 4.6は500の脆弱性を発見した。これはソフトウェアセキュリティにどのような変化をもたらすのか?
Claude Opus 4.6が500件の脆弱性を発見:ソフトウェアセキュリティにとっての意味
Anthropicは、Claude Opus 4.6がオープンソースで500件以上の高深刻度な脆弱性を発見したと主張しています。これが脆弱性発見、エクスプロイト可能性の検証、および本番環境のセキュリティワークフローに何を意味するのかを解説します。
報道によると、Claude Opus 4.6はオープンソースで500件以上の高深刻度な脆弱性を発見しました。この記事では、それが本番環境で実際に何を変えるのか、LLMの推論がどこで役立つのか、そしてなぜ検証と到達可能性が依然として実際のセキュリティ影響を決定するのかを検証します。
ニュース
Aikido Expansion Packsのご紹介:IDE内のより安全なデフォルト設定
Aikido Expansion Packs:IDE内のより安全なデフォルト設定
Aikido Expansion Packsは、IDE内に直接、集中的なセキュリティ制御を追加します。開発者のワークフローを変更することなく、シークレット保護、サプライチェーンマルウェアチェック、およびAIアシストによるコードセキュリティを有効にできます。
製品および会社のお知らせ
2026年国際AI安全性報告書:自律型AIシステムにとって何を意味するか
International AI Safety Report 2026:Aikido Security による分析
Aikido Security による International AI Safety Report 2026 の分析。デプロイ時の制御、検証要件、および自律型AIシステム向けの実用的な安全基準を検証します。
100名以上の専門家が国際AI安全性レポート2026に貢献し、自律型AIシステムからのリスクを文書化し、多層防御フレームワークを提案しました。AIペンテストシステムを本番環境で運用するチームとして、当社は、レポートが適切である点と、より技術的な具体性が必要な点を分析します。
ニュース
自己保護型ソフトウェア:その定義、重要性、および仕組み
自己保護ソフトウェアとは何か?現代のソフトウェアのための新しいセキュリティモデル
自己保護ソフトウェアは、システムが変化するにつれて、実際の脅威を継続的に検証し、修正するセキュリティモデルです。定期的なテストがもはやスケールしない理由を学びましょう。
自己保護ソフトウェアは、セキュリティを定期的なプロセスではなく、組み込みのシステム機能として扱います。この記事では、現代のソフトウェアがなぜ新しいセキュリティモデルを必要とするのか、そしてそれが今日どのようにして可能になったのかを説明します。
製品および会社のお知らせ
エンジニアリングチーム向けセキュアSDLC(+チェックリスト)
セキュアSDLC解説:セキュアなソフトウェア開発ライフサイクルの5つの柱
セキュアSDLCとは何か、なぜそれが重要なのか、そしてすべてのチームが必要とする5つの柱について学びます。CTOおよびエンジニアリングリーダー向けの実践的なセキュアSDLCチェックリストが含まれています。
ガイドラインと推奨事例
2026年版 AIセキュリティツール トップ10
2026年版 AIセキュリティツール ベスト10:機能、メリット、比較
2026年版の主要なAIセキュリティツールをご紹介します。現代のアプリケーションを保護するため、AIコードレビュー、脆弱性検出、ペンテスト、リスク管理のためのプラットフォームを比較します。
DevSecツールと製品比較
2026年版サイバーセキュリティツール トップ10
2026年版サイバーセキュリティツール トップ10:検出、クラウド、XDR、AppSec
2026年版サイバーセキュリティツール トップ10の実践的な内訳。エンドポイント、クラウド、ID、脆弱性管理、XDRを網羅しています。スタックとリスクプロファイルに合った適切なツールの選び方を学びましょう。
DevSecツールと製品比較
Continuous Pentestingとは?
Continuous Pentestingとは?現代のチームがエクスプロイト可能なリスクを削減する方法
Continuous pentestingは、ソフトウェアが変更されるたびに実際の攻撃経路を自動的にテストし、開発ライフサイクルの一部として問題を検証・修正します。AIおよび手動のペンテストとの比較についてご確認ください。
継続的ペンテストは、セキュリティを一度限りのテストではなく、生きているシステムとして扱います。ソフトウェアの変更に伴い、現代のチームがエクスプロイト可能なリスクを削減するためにどのようにそれを使用しているかをご覧ください。
ガイドラインと推奨事例
npxの混乱: 自らの名前を確保していなかったパッケージ
npxの混乱: 自らの名前を確保していなかったパッケージ
公式ドキュメントが開発者にnpxを推奨していた、未請求のnpmパッケージ名128件を当社が取得しました。7ヶ月後、121,000件のダウンロードがありました。これらすべてが任意のコードを実行する可能性がありました。
公式ドキュメントでは、開発者に対し`npx package-name`を実行するよう指示しています。しかし、もし誰もその名前を登録していなかったらどうなるでしょうか?私たちはそのうち128個を登録し、監視しました。7ヶ月間で121,000件のダウンロードがありました。ホリデー期間中の落ち込みは、それらがボットではなく実際の開発者であることを証明しています。
脆弱性と脅威
Aikido Package Healthのご紹介:依存関係を信頼するためのより良い方法
Aikido Package Health:オープンソースパッケージのヘルススコア
オープンソースパッケージが実際にどれほど安定しており、適切にメンテナンスされているかを確認できます。Aikido Package Healthは、開発者がより安全な依存関係を自信を持って選択するのに役立ちます。
製品および会社のお知らせ
AIペネトレーションテスト:セキュリティテストの最低安全基準
AIペンテストはいつ安全になるのか?セキュリティテストにおける最低限の安全要件
AIペンテストシステムは、ライブ環境に対して自律的に動作します。AIペンテストを安全に使用できる時期、必要な最低限の技術的セーフガード、そしてAIセキュリティテストツールを責任を持って評価する方法について学びましょう。
AIペンテストはすでに実用化されていますが、明確な安全基準はまだ確立されていません。本記事では、AIペンテストの最低限の安全基準を定義し、チームが新しいツールを評価するための具体的な基準を提供します。
ガイドラインと推奨事例
偽のClawdbot VS Code拡張機能がScreenConnect RATをインストール
偽のClawdbot VS Code拡張機能がScreenConnect RATをインストール
Clawdbotを装った悪意のあるVS Code拡張機能が、開発者のマシンにScreenConnect RATをインストールしています。
Clawdbotを装った悪意のあるVS Code拡張機能が、開発者のマシンにScreenConnect RATをインストールしています。
脆弱性と脅威
2026年版 脅威インテリジェンスツール トップ7
2026年版脅威インテリジェンスツール トップ7:ノイズを排除し、真のリスクに焦点を当てる
2026年の主要な脅威インテリジェンスツールを深く掘り下げ、それらがどのようにアラート疲れを軽減し、コンテキストを追加し、チームが現実世界のセキュリティリスクを優先順位付けするのに役立つかを比較します。
DevSecツールと製品比較
2026年版 VS Code拡張機能 トップ14
トップ14のVS Code拡張機能 (2026年版):生産性、テスト、セキュリティ、コラボレーション
2026年版VS Code拡張機能のベストプラクティスガイド。生産性、テスト、コラボレーション、セキュリティツールを網羅し、実際の開発者のワークフローを改善します。
DevSecツールと製品比較
G_Wagon: npmパッケージが100以上の暗号資産ウォレットを標的とするPython Stealerを展開
G_Wagon: npmパッケージが100以上の暗号資産ウォレットを標的とするPython Stealerを展開
npmパッケージ「ansi-universal-ui」は、100以上の暗号資産ウォレット、ブラウザの認証情報、およびクラウドキーを標的とするGWagonインフォスティーラーを配信します。私たちは、攻撃者がリアルタイムで開発を進める中で、全10バージョンを分析しました。
脆弱性と脅威
Pentest GPT: LLMがペネトレーションテストをどのように再構築しているか
Pentest GPT: AIがペネトレーションテストをどのように変革しているか
Pentest GPTがLLMを活用して攻撃推論を自動化し、実際のエクスプロイトをシミュレートし、テストを規模拡大する方法を探ります。Aikidoがすべての発見をどのように検証しているかをご覧ください。
DevSecツールと製品比較
フィッシングの動向:カスタム認証情報収集ページを配信するnpmパッケージ
フィッシングの動向:カスタム認証情報収集ページを配信するnpmパッケージ
標的型スピアフィッシングキャンペーンでは、npmパッケージとjsDelivrを無料のフィッシングインフラストラクチャとして使用し、被害者ごとにカスタマイズされた認証情報ハーベスターを提供していました。
脆弱性と脅威
悪意のあるPyPIパッケージ spellcheckpy および spellcheckerpy が Python RAT を配布
悪意のあるPyPIパッケージ spellcheckpy および spellcheckerpy が Python RAT を配布
攻撃者は、一見して分からないようにマルウェアが隠された偽のスペルチェッカーパッケージをPyPIに公開しました。本稿では、この攻撃の詳細と開発者が注意すべき点について解説します。
脆弱性と脅威
SvelteSpill: SvelteKit + Vercelにおけるキャッシュの欺瞞バグ
SvelteSpill: SvelteKit + Vercelにおける重大なキャッシュ欺瞞バグ
SvelteSpillは、VercelにデプロイされたデフォルトのSvelteKit脆弱性 キャッシュの脆弱性 です。認証済みレスポンスがキャッシュされ、ユーザー間で公開される可能性があります。脆弱性の有無を確認する方法とリスクを軽減する方法について学びましょう。
当社のAIペンテストシステムは、Vercel上のデフォルトのSvelteKitデプロイメントにおいて、高深刻度の脆弱性を発見し、再現しました。ここでは、15万行のコードにわたるクロスレイヤーの欠陥をどのように追跡したかをご紹介します。
脆弱性と脅威
エージェントスキルが幻覚的なnpxコマンドを拡散している
エージェントスキルが幻覚的なnpxコマンドを拡散している
AIエージェントのスキルが、幻覚的なnpxコマンドを伝播させ、開発者とサプライチェーンに実際のセキュリティおよび信頼性のリスクをもたらしています。
脆弱性と脅威
現代のソフトウェアにおけるオープンソースライセンスのリスクを理解する
現代のソフトウェアにおけるオープンソースライセンスのリスクを理解する
オープンソースライセンスのリスクは、依存関係とコンテナイメージに潜んでいます。それが何であるか、なぜ重要なのか、そして問題を早期に発見する方法を学びます。
オープンソースは急速に進化していますが、そのライセンスには依然としてルールがあります。この記事では、オープンソースライセンスのリスクとは何か、なぜ現代の依存関係ツリーでチームが見落とし続けるのか、そして法的な緊急事態に陥ることなくコンプライアンスを維持する方法について解説します。
ガイドラインと推奨事例
セキュリティのためのCISO向けバイブコーディングチェックリスト
CISO Vibe Coding Checklist: AIで構築されたアプリケーションの保護
AIおよびvibe-codedアプリケーションを管理するCISO向けの実用的なセキュリティチェックリストです。技術的なガードレール、AI制御、組織ポリシーを網羅しています。
AIを活用したvibeコーディングにより、誰でもソフトウェアを出荷できるようになりました。この記事では、CISOが直面しているセキュリティリスクを概説し、LovableおよびSupabaseのCISOからの情報に基づいた実用的なチェックリストを紹介します。
ガイドラインと推奨事例
「No Bullsh*t Security」から10億ドルへ:6,000万ドルのシリーズB資金調達を実施しました
Aikido Securityが評価額10億ドルで6,000万ドルを調達
Aikidoは、自己保護型ソフトウェアと継続的なペネトレーションテストのビジョンを加速させるため、10億ドルの評価額で6,000万ドルのシリーズB資金調達を発表しました。
Aikidoは、世界的にユニコーン企業としての地位を達成したサイバーセキュリティ企業の中で最も速い企業の一つとなり、ヨーロッパでは史上最速を記録しました。
製品および会社のお知らせ
n8nの重大な脆弱性により認証なしのリモートコード実行が可能に (CVE-2026-21858)
n8nの重大な脆弱性 (CVE-2026-21858) | 認証なしRCEの解説
n8nの重大な脆弱性 (CVE-2026-21858) により、セルフホスト型インスタンスで認証なしのリモートコード実行が可能になります。影響を受ける対象と対処方法を学びます。
脆弱性と脅威
CoolifyのAI駆動型ペンテスト:7つのCVEを特定
CoolifyでAI ペンテストにより特定された7つのCVE | Aikido
Coolifyに対するAI駆動型ペンテストにより、権限昇格やリモートコード実行の脆弱性を含む7つのCVEが特定されました。発見された問題は責任を持って開示され、修正されています。
Aikido
JavaScript、MSBuild、およびブロックチェーン:NeoShadow npmサプライチェーン攻撃の解剖
NeoShadow npmサプライチェーン攻撃:JavaScript、MSBuild、ブロックチェーン
NeoShadow npmサプライチェーン攻撃の詳細な技術分析。JavaScript、MSBuild、およびブロックチェーン技術がどのように組み合わされて開発者を侵害したかを詳述しています。
脆弱性と脅威
SAST vs SCA: 記述するコードと依存するコードを保護する
SAST vs SCA 解説: コードと依存関係の保護
SASTとSCAがどのように異なり、それぞれがどのようなリスクに対処し、現代のAppSecチームがコードと依存関係を保護するために両方を必要とする理由を学びます。
技術
2026年版継続的ペンテストツールのトップ6
2026年版継続的ペンテストツールのトップ6
最新のアプリケーション向けにリアルタイムのAI駆動型セキュリティテストを提供する主要な継続的ペンテストツールをご紹介します。
DevSecツールと製品比較
エンジニアリングチームとセキュリティチームがDORAの技術要件をどのように満たすことができるか
エンジニアリング&セキュリティチーム向けDORA技術要件
DORAのエンジニアリングチームおよびセキュリティチーム向けの技術要件(レジリエンス試験、リスク管理、監査対応可能な証拠を含む)を理解する。
コンプライアンス
IDORの脆弱性とは:現代のアプリケーションでなぜそれが続くのか
IDOR脆弱性の解説: 不安全な直接オブジェクト参照がなぜ依然として存在するのか
IDOR脆弱性とは何か、現代のAPIで不安全な直接オブジェクト参照がなぜ依然として存在するのか、そして従来のテストツールが実際の認証失敗の検出に苦戦する理由を学びます。
IDOR脆弱性とは何か、現代のAPIで不安全な直接オブジェクト参照がなぜ依然として存在するのか、そして従来のテストツールが実際の認証失敗の検出に苦戦する理由を学びます。
脆弱性と脅威
Shai Huludが再び攻撃 - ゴールデンパス
Shai Huludが再び攻撃 - ゴールデンパス
Shai Huludの新しい系統が野外で確認されました。
脆弱性と脅威
MongoBleed: MongoDB Zlib脆弱性 (CVE-2025-14847) およびその修正方法
MongoBleed: MongoDB Zlib脆弱性 (CVE-2025-14847)
CVE-2025-14847として追跡されているMongoBleedは、zlib圧縮を介してMongoDBで認証なしのメモリ開示を可能にします。影響と対策を参照してください。
脆弱性と脅威
Jacksonに対するタイポスクワッティング攻撃を介してMaven Centralで発見された初の高度なマルウェア
Maven Centralマルウェア:Jackson TyposquattingがCobalt Strikeペイロードを配信
Maven Centralで初の高度なマルウェアキャンペーンを発見しました。これは、タイポスクワッティングされたJacksonパッケージがSpring Bootの自動実行を介して多段階ペイロードとCobalt Strikeビーコンを配信するものでした。
脆弱性と脅威
フォークの覚醒:GitHubの目に見えないネットワークがパッケージセキュリティを破壊する理由
フォークの覚醒:GitHubの目に見えないネットワークがパッケージセキュリティを破壊する理由
フォークされたコミットによって攻撃者が依存関係を偽装できるGitHubのセキュリティ上の欠陥について詳細に解説します。コミットSHAの問題と、パッケージマネージャーがAPIレベルの保護を必要とする理由を理解しましょう。
脆弱性と脅威
IDEでのSASTが無料に: 開発が実際に発生する場所へSASTを移行
IDEでの無料SASTスキャン
リアルタイムのフィードバックとプロジェクト全体の可視性を提供し、IDEで直接無料のSASTスキャンを実行できます。Aikidoと同じSASTルールとエンジンを使用し、サポートされる検出結果にはオプションのAutoFixを利用可能です。
製品および会社のお知らせ
AIペンテストの実践:ライブデモのTL;DV要約
Aikido AI ペンテスト: ライブデモのまとめとFAQ
AikidoのAIペンテストライブデモの要約です。自律型エージェントがどのように実際のアプリケーションをテストし、検出結果を検証し、レポートを生成し、再テストを可能にするかをご覧ください。
ガイド
クラウドセキュリティのトップ7脆弱性
クラウドセキュリティのトップ7脆弱性とその対策
現代の環境に影響を与えるクラウドセキュリティの主要な7つの脆弱性を発見してください。攻撃者がIMDS、Kubernetes、設定ミスなどをどのようにエクスプロイトするかを学び、クラウドインフラストラクチャを効果的に保護するための戦略を探ります。
ガイドラインと推奨事例
英国のサイバーセキュリティ・レジリエンス法案に準拠する方法:現代のエンジニアリングチームのための実践ガイド
英国サイバーセキュリティ・レジリエンス法案への準拠 | セキュリティガイド
セキュアバイデザインの実践からSBOMの透明性、サプライチェーンセキュリティ、継続的なコンプライアンスまで、英国サイバーセキュリティ・レジリエンス法案の要件を満たす方法を学びましょう。
コンプライアンス
React & Next.js DoSの脆弱性 (CVE-2025-55184): React2Shell後に修正すべき点
React & Next.js DoSの脆弱性 (CVE-2025-55184) の解説
CVE-2025-55184は、React2Shellに関連するReact Server ComponentsのDoS脆弱性です。誰が影響を受け、どのように機能し、そして完全にパッチを適用する方法を学びましょう。
脆弱性と脅威
主要なソフトウェアサプライチェーンの脆弱性の解説
ソフトウェアサプライチェーンのセキュリティ脆弱性
悪意のあるパッケージから依存関係の混乱攻撃まで、最大のソフトウェアサプライチェーンセキュリティ脆弱性について理解を深めます。
ガイドラインと推奨事例
最新のWebアプリケーションにおけるJavaScriptセキュリティ脆弱性トップ10
JavaScriptのセキュリティ脆弱性 | 主要なリスク
フロントエンドおよびバックエンドアプリケーションに影響を与える最も頻繁なJavaScriptのセキュリティ脆弱性について、実世界の攻撃ベクトルを含めて解説します。
ガイドラインと推奨事例
開発者が避けるべきPythonのセキュリティ脆弱性トップ10
Pythonのセキュリティ脆弱性 | 主要な課題
最も一般的なPythonのセキュリティ脆弱性、安全でないパターン、および依存関係に関連するリスクの実践的な概要。
ガイドラインと推奨事例
最新のアプリケーションで発見されたコードセキュリティ脆弱性トップ10
コードのセキュリティ脆弱性 | 一般的なリスク
開発者が導入する最も一般的なコードセキュリティ脆弱性、それらがなぜ発生するのか、そしてチームがそれらをより早期に発見する方法について探ります。
ガイドラインと推奨事例
Kubernetesセキュリティ脆弱性と設定ミス トップ9
Kubernetesセキュリティ脆弱性 | 主要なリスク
最も重要なKubernetesセキュリティ脆弱性、一般的な設定ミス、そしてクラスターがデフォルトで公開されていることが多い理由について学びます。
ガイドラインと推奨事例
すべてのチームが知っておくべきWebアプリケーションセキュリティのトップ10脆弱性
Webアプリケーションのセキュリティ脆弱性 | 主要なリスク
最も一般的なWebアプリケーションのセキュリティ脆弱性、実際の例、そして現代のチームが早期にリスクを軽減する方法をご紹介します。
ガイドラインと推奨事例
OWASP Top 10 for Agentic Applications (2026):開発者とセキュリティチームが知っておくべきこと
OWASP Top 10 for Agentic Applications (2026):AIエージェントのセキュリティリスクに関する完全ガイド
OWASP Top 10 for Agentic Applicationsを習得します。主要なAIエージェントのセキュリティリスク、実例、および環境を強化する方法を理解しましょう。
ガイドラインと推奨事例
DAST vs ペンテスト vs AI ペンテスト: なぜDASTが現代のペンテストに取って代われないのか
DAST vs ペンテスト vs AIペンテスト: 主な違いを解説
DAST、手動ペネトレーションテスト、AI ペンテストを比較します。それぞれの方法がどこで機能し、DASTの限界はどこにあるのか、そしてAI ペンテストが最新のアプリケーションのより深く継続的なテストをどのように可能にするかをご覧ください。
DevSecツールと製品比較
シークレット検出:漏洩した認証情報を発見し防止するための実践ガイド
シークレット検出ガイド:漏洩の発見と防止
シークレット検出の仕組み、何がシークレットと見なされるか(APIキー、トークン、認証情報)、チームがそれらをどこで漏洩させるか、そしてgit、CI、本番環境での漏洩を防ぐ方法を学びましょう。
ガイドラインと推奨事例
CSPM(およびCNAPP)とは?クラウドセキュリティポスチャ管理を解説
CSPM vs CNAPP: クラウドポスチャを解説
CSPMとCNAPPを分かりやすく解説します: そのカバー範囲、クラウドリスクをどのように軽減するか、注目すべき主要機能、そしてチームが実際にどのように導入しているか。
ガイドラインと推奨事例
最新のソフトウェアサプライチェーンにおけるマルウェアの検出と防止
ソフトウェアサプライチェーンマルウェアの防止(ガイド)
サプライチェーンマルウェアが現代のコードベースにどのように侵入するか(タイポスクワッティング、依存関係の混乱、悪意のあるアップデート)、そしてCI/CDの早い段階でそれを阻止する防御策を探ります。
ガイドラインと推奨事例
IaCセキュリティスキャンとは何ですか?Terraform、Kubernetes、クラウドの誤設定について解説
TerraformおよびKubernetes向けIaCセキュリティスキャン
IaCセキュリティスキャンの理解:Terraform/Kubernetesにおけるクラウドの誤設定の検出方法、優先すべき事項、およびデプロイ前にリスクのある変更を防ぐ方法。
ガイドラインと推奨事例
究極のSASTガイド:静的アプリケーションセキュリティテストとは何か?
究極のSASTガイド:静的アプリケーションセキュリティテスト
実践的なSAST解説:静的アプリケーションセキュリティテストがどのように機能するか、どのような問題を発見するか、一般的な落とし穴、そして開発者をノイズで圧倒することなく導入する方法。
ガイドラインと推奨事例
サプライチェーンセキュリティ:ソフトウェアコンポジション解析(SCA)ツールの究極ガイド
サプライチェーンセキュリティガイド:最適なSCAツール
SCAツールが何を行い、何を検出するのか(脆弱な依存関係、ライセンス、マルウェアなど)、そしてスタックに適したソフトウェア構成分析ソリューションの選び方について学びましょう。
ガイドラインと推奨事例
深刻なReact & Next.js RCEの脆弱性 (CVE-2025-55182): 今すぐ修正すべき点
深刻なReact & Next.js RCEの脆弱性 CVE-2025-55182 修正ガイド
CVE-2025-55182および関連するNext.js RCEがReact Server Componentsにどのように影響するかを学びます。影響、影響を受けるバージョン、および修正方法を確認してください。Aikidoは現在、両方の問題を検出します。
脆弱性と脅威
PromptPwnd: AIエージェントを使用したGitHub Actionsにおけるプロンプトインジェクションの脆弱性
GitHub Actions内でのプロンプトインジェクション:サプライチェーン攻撃の新たなフロンティア
AIを活用したGitHub Actionsは、新たなプロンプトインジェクションのサプライチェーン脆弱性を露呈します。
脆弱性と脅威
Shai Hulud 2.0:未知の脅威が浮き彫りにする攻撃者の意図
Shai Hulud 2.0:未知の脅威が攻撃者の最終目標について何を明らかにするか
Shai Hulud 2.0マルウェアに関する新たな調査によると、ユーザー名「UnknownWonderer1」は攻撃者の最終目標についてより多くの情報を示唆しています。
脆弱性と脅威
SCA Everywhere: IDE内でオープンソースの依存関係をスキャンし修正
IDEでのSCA: AutoFixで脆弱な依存関係をスキャンし修正
インエディタスキャンとAutoFixにより、完全なSCAワークフローをIDEに統合します。開発ワークフローを離れることなく、脆弱なパッケージを検出し、CVEを確認し、安全なアップグレードを適用します。
製品および会社のお知らせ
ありがとうございました!あなたの投稿は受理されました!
あれ!フォームの送信中に何か問題が発生しました。
2026年4月23日
脆弱性と脅威

Shai-Huludが復活したのか? 脆弱性が発見されたBitwarden CLIに、自己増殖型npmワームが含まれている

@bitwarden/cli v2026.4.0 に発見されたマルウェアは、SSH キー、シークレット、AI コーディングツールの認証情報を盗み出し、被害者自身の npm パッケージを通じて拡散します。その正体は、「Shai-Hulud: The Third Coming」と名乗るワームです。

タグ/

#マルウェア

2026年4月17日
脆弱性と脅威

Mailcow に複数のクロスサイトスクリプティング(XSS)の脆弱性が確認されました

AikidoのAIペネトレーションテストエージェントは、広く利用されているセルフホスト型メールサーバー「Mailcow」に3つのXSS脆弱性を発見しました。最も深刻な脆弱性では、認証されていない攻撃者がAutodiscoverログにペイロードを注入することが可能であり、管理者がそのログを表示した際に実行され、アカウントの完全な乗っ取りを可能にしていました。これら3つの脆弱性はすべて、バージョン2026-03b以降で修正されています。

タグ/

#脆弱性

#オープンソース

2026年4月14日
脆弱性と脅威

Axios CVE-2026-40175:重大なバグだが……悪用は不可能

AxiosのCVE-2026-40175は「重大」と評価されていますが、実際のNode.js環境では実質的に悪用されることはありません。その理由は以下の通りです。

タグ/
アイテムが見つかりませんでした。
2026年4月13日
技術

バグ報奨金制度は終わっていないが、従来のモデルは崩壊しつつある

AIがプログラムを圧倒する中、バグ報奨金制度は限界に直面しており、より持続可能で品質重視のセキュリティモデルへの移行が迫られている。

タグ/

#AI

#AI ペネトレーションテスト

#ツール

#脆弱性

2026年4月8日
脆弱性と脅威

Aikido Attack、Hoppscotchに複数のゼロデイ脆弱性を発見

Aikido Attackは、Hoppscotchに3つの高深刻度の脆弱性を特定しました。具体的には、アカウント乗っ取りにつながるオープンリダイレクト、保存型XSS、およびチーム間リクエストインジェクションを可能にするアクセス制御の不備です。

タグ/

#マルウェア

#AI ペネトレーションテスト

#オープンソース

2026年3月18日
脆弱性と脅威

fast-draft Open VSX拡張機能がBlokTrooperによって侵害される

人気のあるOpen VSX拡張機能が侵害され、攻撃者が制御するインフラからRATや情報窃取型マルウェアを展開するために悪用されました。 そのバージョン履歴を見ると、正常なリリースの間に悪意のあるリリースが混在していることが明らかになっています。

タグ/

#マルウェア

#オープンソース

2026年3月16日
脆弱性と脅威

Glasswormが人気のReact Native電話番号パッケージを攻撃

2つの人気のあるReact Native npmパッケージが、Glasswormと疑われる攻撃者によってバックドアを仕掛けられ、多段階マルウェアの配信に利用されました。このマルウェアが何をするのか、そして何に注意すべきかについて説明します。

タグ/

#マルウェア

#NPM

2026年3月12日
脆弱性と脅威

セキュリティチームはいかにAIを活用したハッカーに反撃するか

一人のハッカーとClaudeのサブスクリプションだけで、メキシコ政府機関9つがダウンしました。AIは攻撃者に大幅なパワーアップをもたらしました。セキュリティチームは新たな戦略(プレイブック)を必要としています。

タグ/

#AI

#継続的ペンテスト

#自己保護ソフトウェア

2026年3月9日
ニュース

トランプ政権の2026年サイバーセキュリティ戦略:コンプライアンスから結果へ

タグ/

#コンプライアンス

2026年3月9日
コンプライアンス

AIペンテストはコンプライアンスとどのように連携しますか?

AI ペンテストは SOC 2、ISO 27001、HIPAA、PCI DSS で受け入れられています。監査人が実際に求めているものと、本当の限界がどこにあるかをご紹介します。

タグ/

#AI ペネトレーションテスト

#ペンテスト

2026年3月3日
脆弱性と脅威

Storybook の開発サーバーにおける WebSockets を使用した永続的な XSS/RCE

Aikido Attackは、Storybookの開発サーバーにWebSocketハイジャックの脆弱性を発見しました。これは、永続的なXSS、リモートコード実行、そして最悪の場合にはサプライチェーン侵害につながる可能性があります。攻撃者がユーザーインタラクションなしにこれをどのようにエクスプロイトできるか、また開発者がStorybookの実行中に誤ったウェブサイトを訪問するだけでこの攻撃に遭遇する可能性について解説します。

タグ/

#脆弱性

#オープンソース

#ペンテスト

2026年3月3日
エンジニアリング

なぜ決定論はセキュリティにおいて依然として必要なのか

AIを活用したセキュリティツールは、脆弱性の発見において向上しています。しかし、決定論的なツールは、パイプライン、コンプライアンス、監査証跡が依存する一貫性を提供します。決定論的スキャンが優れている点、AIが引き継ぐべき点、そして効果的なセキュリティのために両者がどのように連携するかを見ていきます。

タグ/

#SAST

#ツール

製品および会社のお知らせ
すべて表示
すべて表示
2026年3月24日
製品および会社のお知らせ

Aikido × Lovable:雰囲気、修正、カップリング

愛らしくて Aikido がペネトレーションテスト機能をプラットフォームに導入し、開発者が実環境での攻撃をシミュレートし、リリース前に問題を修正できるようにします。

#
お知らせ
#
AI ペネトレーションテスト
2026年3月12日
製品および会社のお知らせ

Gitleaksの作者によるオープンソースのシークレットスキャナー、Betterleaksのご紹介

Betterleaksは、Gitleaksの作者による新しいオープンソースのシークレットスキャナーです。より高速なスキャン、トークン効率検出、設定可能な検証などを備えたドロップイン代替品です。

2026年2月26日
製品および会社のお知らせ

Aikido Infiniteの紹介:新たな自己保護ソフトウェアモデル

Aikido Infiniteは、すべてのコード変更に対してAI ペネトレーションテストを実行し、エクスプロイト可能性を検証し、パッチを生成し、コードが本番環境にデプロイされる前に修正を再テストすることで、自己保護型ソフトウェアを現実のものにします。

#
AI ペネトレーションテスト
#
お知らせ
#
自己保護ソフトウェア
脆弱性と脅威
すべて表示
すべて表示
2026年4月23日
脆弱性と脅威

Shai-Huludが復活したのか? 脆弱性が発見されたBitwarden CLIに、自己増殖型npmワームが含まれている

@bitwarden/cli v2026.4.0 に発見されたマルウェアは、SSH キー、シークレット、AI コーディングツールの認証情報を盗み出し、被害者自身の npm パッケージを通じて拡散します。その正体は、「Shai-Hulud: The Third Coming」と名乗るワームです。

#
マルウェア
2026年4月22日
脆弱性と脅威

npmとPyPIに存在するGPT-Proxyバックドアが、サーバーを中国のLLM中継サーバーに変えてしまう

新たに発見されたnpmおよびPyPIを標的としたマルウェアキャンペーンは、侵害されたサーバーに隠蔽されたLLMプロキシをインストールし、それらをLLMトラフィックのリレーノードとして利用している。

#
マルウェア
2026年4月8日
脆弱性と脅威

GlassWormがネイティブ化:新しいZigドロッパーがマシン上のすべてのIDEに感染する

GlassWormは、偽の拡張機能に隠されたZigベースのネイティブ・ドロッパーを展開し、VS Code、Cursor、VSCodium、その他のIDEを気付かれずに侵害します。

#
マルウェア
DevSecツールと製品比較
すべて表示
すべて表示
2025年8月19日
DevSecツールと製品比較

2026年版 トップ12 動的アプリケーションセキュリティテスト (DAST) ツール

2026年における最適な12の動的アプリケーションセキュリティテスト (DAST) ツールを見つけましょう。機能、長所、短所、統合機能を比較し、DevSecOpsパイプラインに適したDASTソリューションを選びましょう。

#
ツール
#
DAST
2025年7月18日
DevSecツールと製品比較

2026年版 コンテナスキャンツール トップ13

2026年における最適なコンテナスキャンツール13選をご紹介します。機能、長所、短所、連携機能を比較し、DevSecOpsパイプラインに最適なソリューションを選択してください。

#
ツール
#
コンテナイメージスキャン
2025年7月17日
DevSecツールと製品比較

2026年版Software Composition Analysis (SCA) ツール トップ10

SCAツールは、オープンソースセキュリティにおける最善の防御策です。本記事では、2026年版のオープンソース依存関係スキャナー トップ10を解説します。

#
ツール
#
SCA
ガイドラインと推奨事例
すべて表示
すべて表示
2026年3月19日
ガイドラインと推奨事例

セキュリティテストとは、もはや存在しないソフトウェアを検証することである

現代のチームは、ペネトレーションテストが追いつけないほどのスピードで製品をリリースしています。セキュリティテストにおけるこの拡大するスピードのギャップ、そして従来のアプローチがなぜ遅れをとっているのかを探ります。

#
AI ペネトレーションテスト
#
継続的なペンテスト
#
ペンテスト
2026年3月6日
ガイドラインと推奨事例

継続的なペンテストに実際に必要なもの

継続的なペンテストはリアルタイムのセキュリティ検証を約束しますが、ほとんどの実装は不十分です。変更を認識するテストから、エクスプロイト検証、修正ループまで、継続的なペンテストに実際に必要なものは次のとおりです。

2026年3月3日
ガイドラインと推奨事例

レアはランダムではない:シークレット におけるトークン効率の活用

エントロピーは、一般的なシークレットや短い文字列の検出に苦労することがよくあります。ここでは、トークン効率が通常のテキストに見えない文字列をより適切に識別する方法について考察します。

#
AppSec

今すぐ、安全な環境へ。

コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。

スキャンを開始
CC不要
デモを予約する
クレジットカードは不要です。 | スキャン結果は32秒で表示されます。