
.avif)
私たちのブログへようこそ。
『フル・ファサム・ファイブ』:Anthropic社によるMythosクラスの一般公開の背景
IDORやビジネスロジックの欠陥を見つけるのに、Mythosなど必要なかった。AnthropicがFable 5で提供した機能と、情報セキュリティが本質的に「人的要因」の問題であり続ける理由について考察する。
npm v12は、ここ数年で最大級のセキュリティ強化を実現しました
npm v12では、インストールスクリプトがデフォルトでオプトイン方式となり、NxからRed Hatに至る1年にわたるnpmサプライチェーンの脆弱性問題を受けて、インストール時の実行経路が遮断されるようになった。
Aikido x Docker:ノイズを減らし、有益な情報を増やす
Dockerの強化済みイメージをスキャンする Aikido でDockerの強化済みイメージをスキャンし、悪用不可能なCVEに対して自動VEXフィルタリングを実行します。
至る所でコードが書かれているが、唯一変わらないのはデバイスだけだ
開発者はあらゆる場所でコーディングを行っています。AIエージェント、Slackボット、MCPサーバーの普及により、開発者の端末は最大のセキュリティ上の死角となっています。
2026年のSBOM:誰もが作成しているが、誰も活用していない
ENISAの2026年SBOM 報告書は、334の組織を対象としており、SBOMの作成と実際の活用との間に一貫したギャップが存在することが明らかになりました。以下に、特に注目すべき点をまとめます。
EDRやプロキシでは、サプライチェーンマルウェアから身を守れない理由
EDRやプロキシは、サプライチェーンマルウェアに対処するために設計されたものではありません。npm installを通じて悪意のあるコードが侵入した場合、それは通常の動作のように見えます。これが重要な理由を以下に説明します。
MDMでは開発者のマシン上で保護できないもの(およびその対処法)
多くのセキュリティチームではMDMを導入しています。しかし、npmによるインストール、VS Codeの拡張機能、AIコーディングツールなどは、MDMの管理範囲外で行われているのが問題です。ここでは、実際に保護されていない部分と、その対策について解説します。
一見正当なコードックス・リモートUIが、密かにAIトークンを盗み出している
洗練されたCodexのリモートUIであるnpmパッケージ「codexui-android」は、現在も活発に開発が進められており、毎週数千人のユーザーが利用しています。しかし、この1か月間、同パッケージはOpenAIの認証トークンを密かに盗み出していました。
認証情報窃取型マルウェアを用いたサプライチェーン攻撃が、Laravel-Langパッケージを標的としている
攻撃者は、人気のあるLaravel-Langパッケージの200以上のバージョンに認証情報窃取型マルウェアを仕込み、クラウドキー、SSHキー、ブラウザ、暗号資産ウォレットなどを標的とした攻撃を仕掛けた。
5つのソケットセキュリティの代替手段とその優位性
Socketはマルウェア検出でその名を知られるようになりました。しかし、もはや検出速度だけでは不十分です。その理由をご説明します Aikido と他の4つの代替ソリューションが、サプライチェーンセキュリティ、到達可能性分析、ライセンスなどにおいてどのように比較されるかをご紹介します。
AIペネトレーションテスト購入ガイド:AIペネトレーションテストベンダーの評価方法
実用的な選定基準、1,000件以上のAIペネトレーションテストに関する調査結果、およびダウンロード可能な評価チェックリストを活用して、AIペネトレーションテストベンダーを評価する方法をご紹介します。
今すぐ、安全な環境へ。
コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。




.jpg)
