
.avif)
私たちのブログへようこそ。
AIによるコード生成や「バイブ・コーディング」を活用して、コード品質基準を維持する方法
Vibe Codingは機能を迅速にリリースし、レビューの遅れを解消します。ルールごとのコード品質チェックをベンチマーク化することで、プルリクエストやリポジトリを問わず、チームに一貫した結果を提供する仕組みをご覧ください。
改ざんされた @injectivelabs/sdk-ts は、偽のテレメトリを通じてウォレットの鍵を外部へ流出させる
@injectivelabs/sdk-ts の悪意のあるリリースでは、「使用状況のテレメトリ」と表示されたコード内にウォレットキー窃取コードが隠され、さらに17のnpmパッケージに拡散されました。その仕組みと、プロジェクトを確認する方法について説明します。
AIペネトレーションテスト購入ガイド:AIペネトレーションテストベンダーの評価方法
実用的な選定基準、1,000件以上のAIペネトレーションテストに関する調査結果、および評価チェックリストを活用して、AIペネトレーションテストベンダーを評価する方法をご紹介します。
Rocket.Chat における MongoDB の ObjectId の継続的な予測
AikidoのAIペネトレーションテスターが、Rocket.Chatにこのファイルアクセス上の脆弱性を発見しました。MongoDBのObjectId()を詳しく調べたところ、悪用を可能にするランダム性の低さが明らかになりました。
phpBBのデフォルト設定における認証バイパス
当社のAIペンテスト 、phpBBの重大な認証バイパス(CVE-2026-48611)を発見しました。認証されていないリクエストを1回送信するだけで、任意のアカウントにログインできてしまいます。エクスプロイト 修正方法についてはこちらをご覧ください。
そしてもう一つ。GitHubが「緊急時の認証情報無効化」機能を提供開始
GitHub Enterpriseでは、1回の操作でアカウントのすべての認証情報を無効にできるようになりました。Trivyによる攻撃や、マイクロソフト自身が経験したdurabletaskの侵害事例は、この機能がなぜこれほど長く待たれていたのかを如実に示しています。
npmは現在、リスクの高いアカウント変更が行われた場合、影響の大きいアカウントを凍結するようになっています
npmの新しい「72時間のアカウント凍結」について、その発動条件、凍結によって制限される内容、および「trusted publishing」や「staged publishing」との連携の仕組みを解説します。
改ざんされた GitHub アクション「codfish/semantic-release-action」がCI/CD シークレット盗み出す
codfish/semantic-release-action は 2026年6月24日に侵害されました。攻撃者は、v2~v5 のタグを、CI/CD シークレット標的とした Miasma の認証情報窃取ペイロードにリダイレクトしました。以下に、発生した事象と、影響を受けているかどうかを確認する方法について説明します。
Aikido x Drydock | メンテナンス担当者がマルウェアのリリース前にそれを検知する方法
Aikido はDrydockと提携し、npmおよびPyPIのメンテナーが、リリースが公開される前にその内容を正確に確認できるようにしています。マルウェアは、公開後ではなく、公開前に検知しましょう。
5つのソケットセキュリティの代替手段とその優位性
Socketはマルウェア検出でその名を知られるようになりました。しかし、もはや検出速度だけでは不十分です。その理由をご説明します Aikido と他の4つの代替ソリューションが、サプライチェーンセキュリティ、到達可能性分析、ライセンスなどにおいてどのように比較されるかをご紹介します。
AIペネトレーションテスト購入ガイド:AIペネトレーションテストベンダーの評価方法
実用的な選定基準、1,000件以上のAIペネトレーションテストに関する調査結果、およびダウンロード可能な評価チェックリストを活用して、AIペネトレーションテストベンダーを評価する方法をご紹介します。
今すぐ、安全な環境へ。
コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。




.jpg)
