Oue for Work

@grok マッキンゼーから正式見解でてますか？

オリジナルは、the register で、CodeWall という会社の報告。 theregister.com/2026/03/09/mck…

コンサル大手マッキンゼー、社内AIに「脆弱性」　英新興が侵入し指摘 nikkei.com/article/DGXZQO…

コードにおいて #ClaudeCodeSecurity で見つけられない脆弱性を #CPR が見つけたことから思うことは「未知は弱い」。 リサーチャーがAI駆使することが、まだ必要かな。 #CPR、Anthropic社の「Claude Code」で判明した重大な脆弱性リスクに関する調査結果を公開 prtimes.jp/main/html/rd/p…

スポンサー記事で自らの過去を「平和ボケ」「ずさん」というところが、カッコいい！ newspicks.com/news/15943866/

生成AIツールを悪用し、2026年1月11日から2月18日にかけて55カ国に所在する600台のFortiGateデバイスに対し、大量の認証情報悪用攻撃を実施しました。攻撃者はVeeamサーバを標的とし、、、 community.checkpoint.com/t5/Japanese-%E…

⚠️ 2026年1月から活動中のBooking.comを模したフィッシングキャンペーンを特定しました。このキャンペーンは、3段階の連鎖でホテルのパートナーと宿泊客を標的としていました。

CPR Blog 詳細 - Caught in the Hook: RCE and API Token Exfiltration Through Claude Code Project Files | CVE-2025-59536 | CVE-2026-21852 research.checkpoint.com/2026/rce-and-a…

Claude Codeに、３つの脆弱性を発見！？ 💣️ 1. Claude Hooksによるサイレントコマンド実行 2. MCP ユーザー同意バイパス 3. 信頼確認前のAPIキー盗難 blog.checkpoint.com/research/check… セキュリティ企業研究機関 #CPR の脆弱性を発見するスキルは凄いじゃないか！

日本マイクロソフトに公取が立入り😱😱😱

うおー Claude Code Security、アクセス申し込まねば！(1) 価格、(2) モデルの Safety の程度差、(3) ハーネスの詳細 (graybox 要素の有無とか) が知りたいですね。 以下とりとめのない雑感です: *** agentic にコード走査して複雑な脆弱性見つける、は一年前くらいからみんなやっている。何ならコード無し (ブラックボックス) で叩く系もこぞって取り組まれている。我々の Takumi もその一つ。ブラックボックスなら xbow とか hacktron もその例。 で、こういうのを作っている全員 (?) が感じているはずの問題とは、Precision 向上の難しさ。実環境に対する Exploit を実際に書くとか、部分的にコード実行するとか、そういうのを以て false positive の低減に努めている。この意味で (3) の詳細が最も気になるところです。 *** あと、recall に関しても、説明可能な形でこれを上げるには難しさが残っている。 極論「エージェントが見て回りますが、どこを見るかは 保証 できません」だと評価漏れが出るし、脆弱性評価の手続としては説明可能性が低い。確実にあるコードの部分×ある観点の組を評価した、と言いやすいハーネスだと嬉しい。この文脈でも (3) が気になりますね。 ちなみに Takumi ホワイトボックス側ハーネスもこのへんの向上をせねばならないと感じていて、今の構造 (以下) から少し変更を予定してます。 shisho.dev/docs/ja/t/arch… (結局 precision 上げるためには実 Exploit 能力の伸長、ブラックボックス側のエンジン改善が必要と睨み、しばらくここの優先順位が下がってしまってましたが) *** AWS Security Agent も、Claude Code の すでに世に出ている /security-review コマンドも、ある種バグバウンティ的な探し方をするに留まっているように思います。それでもこれらや Xbow、Takumi によって、「AIで脆弱性見つけられます！」の実証が、社会的にも十分なされたと思う。 なので、ここからは実用可能な precision になるか、第三者への説明が可能な評価手続に仕上がるか、みたいなリアルな関心事に時代が移っていくのだと思います。「XXXでスキャン回して直したので、十分」と思える状態になるか、というところです。 Takumi でもこの辺に長らく意識を向けていて (ブラックボックスエンジンでは特に。これからはホワイトボックスシナリオでも)、今後いくつかの良いお知らせができると思います。ただ脆弱性見つけるだけじゃなくて、これで十分施策として価値がある、人間への依頼は不要だな、と思える水準に仕上げていくぞ〜〜ということです。 *** ただそれでも、ここってビジネス的には能力は収斂していき、最終デリバリー勝負になる (マーケティングと営業が強いところが常に強い)、という構造は変わらないです。セキュリティに限らずどのソフトウェアビジネスも近い構造を帯びているわけですが。 なので Takumiの診断以外 (かつ我々が今中央集権的になすべき系) のケイパ拡充を進めていて、再来週頭のProduct Security Square でいくつかお披露目予定だったりします。これもお楽しみに！

Claud Code Security は、セキュリティツールというのもあるが、QAツールな感じがする。 anthropic.com/news/claude-co…

発見事項は、アナリストに届く前に複数段階の検証プロセスを経ます。Claudeは各結果を再検証し、それぞれの発見事項の正否を検証し、誤検知を除外します。 検証済みの検出結果はClaude Code Securityダッシュボードに表示され、チームは確認し、提案されたパッチを検査し、修正を承認できます。

Claude Code Security は、人間のセキュリティ研究者と同じようにコードを読み取り、推論します。つまり、コンポーネントがどのように相互作用するかを理解し、アプリケーション内でデータがどのように移動するかを追跡し、ルールベースのツールが見逃す複雑な脆弱性を検出します。

▼仕組み 自動セキュリティテストの形態である静的分析は、コードを既知の脆弱性パターンと照合します。パスワードの漏洩や古い暗号化といった問題は検出されますが、ビジネスロジックの欠陥やアクセス制御の不備といった、脆弱性を見逃してしまうことがあります。 anthropic.com/news/claude-co…

@masahirochaen 私もAIのプロとして意見を言わせてもらうと、 open clawなどAIエージェントの登場で むしろセキュリティの脅威は増してるんですけどね😂 チャエンさんのopen clawのセミナー応援してます！ セキュリティについてもレクチャー頂けるとありがたいです

SaaSの次はセキュリティ。Anthropicの新ツールでセキュリティ株が一斉に下落… 「Claude Code Security」AIがコードベース全体を人間のセキュリティ研究者のように読み解き、脆弱性の検出からパッチ提案まで一気通貫で行うツールだ。 従来の静的解析ツールはルールベースで、既知のパターンしか検出できない。ビジネスロジックの欠陥やアクセス制御の不備といった、実際に攻撃者が狙う脆弱性はこれまで人間の専門家に頼るしかなかった。 Anthropicが最新モデルOpus 4.6で内部テストを行ったところ、OSSの本番コードから500件超の脆弱性を検出。数十年間、専門家のレビューを通過し続けてきたバグだ。 「攻撃者より先にAIで脆弱性を潰す」——OpenAIのAardvark、GoogleのCodeMenderに続き、AI大手3社がセキュリティ市場に本格参入した構図。 発表当日、CrowdStrike -8%、Cloudflare -8.1%、Okta -9.2%。市場の反応が、このツールのインパクトを端的に示している。

サンプルデータを見ると、SCAMMERの可能性が高いですね residential_address 兵庫県姫路市東延末 大阪府四條畷市岡山 京都府京都市上京区 東京都新宿区西新宿 福岡県福岡市中央区 広島県広島市中区 大阪府守口市京阪本通 愛知県名古屋市東区 千葉県千葉市中央区

This is Claude Sonnet 4.6: our most capable Sonnet model yet. It’s a full upgrade across coding, computer use, long-context reasoning, agent planning, knowledge work, and design. It also features a 1M token context window in beta.

第３回会合（令和８年２月９日）の資料も目を通しておく必要がありそうですね サイバーセキュリティ人材フレームワークに関する検討会 cyber.go.jp/council/csjinz… 資料４　サイバーセキュリティ人材フレームワーク及び手引き書（案）の進捗状況について （pdf） cyber.go.jp/pdf/council/cs…