ei0124

セキュリティエンジニア松井 @ryotaromosao とChungの技術ブログを公開しました！ SDKに存在する脆弱性や、アプリケーション開発者のミスにより引き起こされる、署名付きURLにおけるパストラバーサルのリスクと対策について解説しています。 ぜひご覧ください！ blog.flatt.tech/entry/signed_u…

セキュリティエンジニア 森 @ei01241 の技術ブログを公開しました！ パストラバーサルと言えばサーバーサイドの脆弱性と認識されることが多い一方、本記事ではSPAにおける「クライアントサイドパストラバーサル」にフォーカスしてそのリスクと対策について解説しています。 blog.flatt.tech/entry/client_s…

セキュリティリサーチャー RyotaK @ryotkak の技術ブログを公開しました。 今回、任意コマンドの実行に繋げられるClaude Codeの安全機構のバイパス手法を8つ発見し・報告しました。 脆弱性(CVE-2025-66032)が修正されたv1.0.93以降へのアップデートを推奨します。 flatt.tech/research/posts…

🎉Takumi 新機能リリース🎉 Dependabot Pull Requestの自動AIトリアージ機能をリリースしました！もう、重要な脆弱性アラートは埋もれません。 Takumiの強みである「コードベース解析」の結果とセキュリティアップデートの内容を照らし合わせ、緊急対応が必要な時のみ知らせてくれます。

📣GMO Flatt Security「エンジニア応援プログラム for バイブコーダー」開始！📣 プログラム第二弾はAIを活用して個人でプロダクト開発をしている方を対象に、オンライン講座やツールの提供を通してセキュリティ支援を行います。 詳しくはプレスリリースをご覧ください。 prtimes.jp/main/html/rd/p…

2025年度サマーインターンの第3期が終了しました！これにて全日程が無事終わり、計13名の学生の方にAIを活用した脆弱性診断やリサーチの経験を積んでいただきました。 適切な脆弱性報告に関してもレクチャーさせていただき、すでにCVEが採番された方も。皆さんの今後の活躍も楽しみにしております！

2025年度サマーインターンの第2期が無事終了しました！ 北海道・関東・近畿・九州と全国から学生が集い、絆を深めながら業務体験とTakumiを用いた脆弱性リサーチに取り組みました。 これからも同世代の仲間として切磋琢磨していきましょう！

セキュリティエンジニア @i_am_canalun @ryotaromosao @ma_nu_l @fujitargz のブログを公開しました！ この8月に会社の研修制度を利用して参加したBlack Hat USA / DEF CON / BSides Las Vegasの注目セッションやCTF、お土産に関して紹介しています。 ぜひご覧ください！ blog.flatt.tech/entry/lasvegas…

2025年度サマーインターンの第1期が無事終了しました！ 高校1年生から学部3年生まで5名の学生の方が集い、業務体験だけでなくAIエージェントTakumiとともにOSSの脆弱性リサーチを行うという濃密な5日間をメンターと共に過ごしました。 今回学んだことを活かして、ぜひ今後も活躍してください！

セキュリティ診断AIエージェント「Takumi」がWeb脆弱性の動的検査(ブラックボックス診断)に対応しました。すでにWeb Security Academyの75%を解くことに成功しています。 これまで静的検査だけでも高い検出精度を示してきたTakumiがさらに深く検証し、実用性が向上します。 flatt.tech/takumi/feature…

セキュリティエンジニア小武のブログを公開しました！ Passkey(Discoverable Credential)と、Non Discoverable Credentialsの認証フローが混在していたことが原因でアカウントの乗っ取りが可能だった脆弱性 CVE-2025-26788 を詳細に解説しています。 ぜひご覧ください！ blog.flatt.tech/entry/passkey_…

New blog out! Think XSS is a thing of the past with today's Web frameworks? Think again! Our new article by @i_am_canalun breaks down why this vulnerability persists and offers insights on how to stay secure. Read it here! flatt.tech/research/posts…

セキュリティエンジニア canalun @i_am_canalun のブログを公開しました！ 「XSSなんて現代は発生しないのでは？」そんな声を聞くことは珍しくありませんが、実態としてはいまだにトップクラスに深刻度と発生頻度が高い脆弱性です。 その原因を網羅的に解き明かします🔍 blog.flatt.tech/entry/still_xss

セキュリティエンジニア小武の技術ブログを公開しました！ セキュリティを目的の一つとして導入が進んでいるPasskeyも、実装ミスがあると重大なリスクに繋がりかねません。 実装ミスを防ぐため開発者が意識すべき点を網羅的に解説しています。ぜひご覧ください！ blog.flatt.tech/entry/passkey_…

セキュリティエンジニアcanalun @i_am_canalun のブログを公開しました！ Devinが書いたコードの分析を通じて、どのような脆弱性が生まれうるのか、どうすれば防ぐことができるのか、AIの進化に伴いどうなっていくのか――AIコード生成とセキュリティの未来を占います。 blog.flatt.tech/entry/ai_code_…

セキュリティエンジニアAzara @a_zara_n のブログを公開しました！ 主にMCPの利用者にまつわるセキュリティ観点に焦点を当てた前編に続き、後編となる本記事では攻撃者視点から脅威や攻撃手法を整理し、対策について論じます。 ぜひご覧ください！ blog.flatt.tech/entry/mcp_secu…

セキュリティエンジニア藤田 @fujitargz のブログを公開しました！ RAG(検索拡張生成)を用いるLLMアプリの実装時のセキュリティ観点についてわかりやすく解説しています。 後半ではRAGに固有の概念であるvector storeに焦点を当て、ライブラリごとの差分も掘り下げます。 blog.flatt.tech/entry/rag_secu…

セキュリティエンジニア滝上 @ma_nu_l のブログを公開しました！ LLMの入出力を監視・制御してくれるLLMガードレールは脅威の緩和・低減に有用な一方、根本的対策は別観点で整理する必要があります。 そのようなLLMガードレールの活用法と役割を詳しく解説します！ blog.flatt.tech/entry/llm_guar…

コーポレートエンジニア @hamayanhamayan のブログを公開しました！ 「生成AI活用は推進したいものの、どのようにセキュリティの線引きをするべきか判断が難しい」という方は多いと思います。 弊社内での意思決定のため筆者自身が調査した内容をもとに、徹底解説します！ blog.flatt.tech/entry/corp_ai_…

セキュリティエンジニア森岡 @scgajge12 のブログを公開しました！ Amazon Bedrockを利用して生成AIアプリケーションを開発する時のセキュリティリスクと対策について、一般的な観点からAWS固有のものまで具体的に解説しています。 ぜひご覧ください！ blog.flatt.tech/entry/bedrock_…