Linuxカーネルにおいて、ローカルの一般ユーザーがroot権限(管理者権限)を取得できる重大な脆弱性「DirtyClone」(CVE-2026-43503、CVSSスコア 8.8)が発見されました。JFrogのセキュリティ研究チームが実証コード(PoC)を公開しています。
攻撃の実行にはループバックIPsecトンネルを構成するために CAPNETADMIN 権限が必要ですが、DebianやFedoraなど、初期設定で「特権のないユーザー名前空間(unprivileged user namespaces)」が有効な環境では、一般ユーザーが新しい名前空間内でこの権限を容易に取得できてしまいます。
AIコーディングエージェント(Claude Code、Cursor、Codex、Kiroなど)が、AWS環境上で安全かつ効率的にアプリケーションの構築、デプロイ、管理を行えるようにするためのAWS公式ツールキットです。
2025年から「AWS Labs」として公開されていたMCPサーバーやプラグインなどの後継にあたる正式なプロジェクトであり、主に以下のコンポーネント(MCPサーバー、スキル、プラグイン)を提供しています。
pentest-ai(ptai)は、AI(LLM)を活用してペネトレーションテスト(侵入テスト)を自動化する、オープンソースのオフェンシブ・セキュリティ(攻撃型セキュリティ)ツールです。 1つのコマンドを実行するだけで、情報収集(Recon)、自動ログイン、OWASP Top 10の脆弱性の探索、複数ステップの攻撃経路(アタックチェーン)の構築、そして実証コード(PoC)の生成からレポート作成までを自律的に行います。
Scraplingは、単一のリクエストから大規模なクローリング(情報収集)までを一手に担う、Python製の強力で適応型(Adaptive)なWebスクレイピング・フレームワークです。
従来のスクレイピングツールの課題(Webサイトの構造変更によるエラー、Bot対策によるブロックなど)を解決するために、Webスクレイパー(開発者)の手によって構築されました。
Anthropic社のターミナル用AIコーディングアシスタント 「Claude Code」 を最大限に使いこなすためのベストプラクティス、実践的なTips、ワークフロー集です。
単なる設定ファイルのテンプレート配布ではなく、Claude Code開発者のBoris Cherny氏の発言(X/Twitterなど)やコミュニティ、DevRelチームから集められた「Claudeに正しく、効率的にコードを書かせるための知識」が膨大なリンク付きで体系化されています。GitHubで数万スターを獲得している非常に人気の高いリソースです。
キャッチコピーは 「From vibe coding to agentic engineering(雰囲気コーディングからエージェント工学へ)」。感性に頼った対話から、再現性の高い自律的な開発手法への移行を推奨しています。
SPECA(Specification-to-Checklist Agentic Auditing Framework)は、自然言語で書かれた仕様書(仕様)に基づいてプログラムのバグやセキュリティ脆弱性を発見する、AIエージェントによる自動監査フレームワークです。
従来のコード駆動型の監査(既知のバグパターンをコードから探す手法)とは異なり、「仕様書からセキュリティ要件や普遍的な性質(インバリアント)を抽出し、プログラムの実装がそれを満たしているかを証明・検証する」というアプローチを取る点が特徴です。仕様レベルの違反を検知できるため、開発の初期段階で仕様の矛盾やバグを発見することができます。
イーサリアム財団(Ethereum Foundation)の研究助成金(グラント)にも採択されています。
スマートフォン向け認証アプリ「Microsoft Authenticator」において、サインイン用のアクセストークンが外部に漏洩する深刻な脆弱性(CVE-2026-41615)が確認されました。
- 脆弱性の内容: 攻撃者が正規のリクエストに見せかけた操作をユーザーに行わせ、ユーザーがそれを承認してしまうと、アプリが取得した業務アカウントのアクセストークンが外部に送信されるおそれがあります。その際、許可されるアクセス内容はユーザーに通知されません。
- 危険度: 共通脆弱性評価システム(CVSSv3.1)のベーススコアは「9.6」で、重要度は4段階中最高の「クリティカル(Critical)」と評価されています。
- 現状: アドバイザリ公開時点(2026年5月14日)では、この脆弱性の公表や悪用は確認されておらず、マイクロソフトは悪用の可能性を低いと見ています。
自律型AIエージェントである「Claude Code」を組織・社内で安全に導入するにあたり、機密情報の漏洩や危険な操作といったセキュリティリスクを防ぐための5つのガードレール設定を、著者のチームでの運用経験を交えて解説したものです。
- .claudeignore で機密ファイルを除外
- CLAUDE.md に「絶対やってはいけないこと」を明記
- Hooks で危険な操作を強制ブロック
- 本番環境変数は別管理
- Skills で「承認フロー」を組み込む
Claude Codeは強力なツールである一方、「自由」と「安全」を両立させる設計が不可欠です。この記事で紹介されている合計15分程度で完了する5つの設定を導入することで、個人の判断ミスによるセキュリティ事故を9割減らすことができると結ばれています。
大企業のような高価なセキュリティシステム(SOCやSIEMなど)の導入が難しい「専任情シスがいない20人規模の町工場」を想定し、自分たちで現実的に運用・復旧できるランサムウェア対策基盤の構築方法を解説した記事です。
「全部を業者任せにしない」ことを前提に、地味ながらも効果的な「MFA」「VLAN分離」「堅牢なバックアップ」を自分たちで理解して小さく始め、運用に乗せることが重要であると結ばれています。
ご提示いただいたURLは、プロダクトやキャリアに関する著名なポッドキャスト『Lenny's Podcast』に、Anthropic社で「Claude Code」の開発責任者を務めるボリス・チェルニー(Boris Cherny)氏が出演した際のエピソード(約83分間のインタビュー映像)です。
この動画は単なる「エンジニア向けの技術的な話」にとどまらず、「AI時代において、人間がどのように指示を出し、どのように主導権を持って意思決定(あるいは違和感の察知)を行うべきか」という、全ビジネスパーソンに通ずる本質的な仕事論・AI活用論が語られている内容となっています。
「hallmark」は、Claude Code、Cursor、CodexといったAIコーディングアシスタント向けの「Anti-AI-slop(AIっぽいつまらないデザインの防止)」を掲げたデザイン用スキル(プロンプト・ルールセット)です。
AIが生成するウェブUIにありがちな「どこかで見たようなテンプレート感」や「典型的なデザインの癖(AI-slop)」を排除し、人間のプロが作ったような洗練されたユニークなWebサイトを構築するために設計されています。
技術書などのPDF、EPUB、Word(DOCX)文書、または社内ドキュメントのフォルダやファイルを、AIエージェント(GitHub Copilot CLI、Claude Code、Ampなど)が読み込める「エージェント用のスキル(SKILL.md形式)」に変換するツールです。
技術書などの長い文書をそのままAIのコンテキスト(チャット画面)に丸ごと投げ入れると、膨大なトークンを消費しコストが高くなります。このツールを使うことで、書籍を「構造化された知識(スキル)」として落とし込み、AIが必要な章や用語だけをオンデマンドで読み込めるようにします。これにより、トークン消費量を24倍〜51倍削減し、AIのハルシネーション(嘘の回答)を防ぐことができます。
GitHubリポジトリ headroomlabs-ai/headroom は、AIエージェントやLLM(大規模言語モデル)に送信する、あるいはLLMから出力されるトークン量を削減(圧縮)するためのコンテキスト圧縮レイヤー(ツール)です。
- 大幅なトークン削減: ツール出力、ログ、RAG(検索拡張生成)のチャンク、ファイル、会話履歴などを、LLMに到達する前に60%〜95%圧縮します。
- 精度の維持: トークン数を劇的に減らしつつも、LLMから得られる回答の質や精度(ベンチマーク結果)はほぼ落としません。
- コスト削減と高速化: 入力トークンだけでなく、出力トークン(不要な前置きやコードの再出力など)も抑制できるため、APIコストを大幅に削減し、レスポンスを高速化します。
プログラミング言語「Zig」の作者であるアンドリュー・ケリー(Andrew Kelley)氏へのロングインタビュー動画(JetBrains公開)の内容を日本語で分かりやすく整理・解説したものです。
流行の「早く製品を出して後から直す」というビジネスライクな手法(Worse is better)やAIの安易な導入、資本主義的な拡大路線とは一線を画し、「少ないもので多くを達成する」「ユーザー体験と技術の質に徹底的にこだわる」という、アンドリュー氏の確固たる職人肌の哲学が詰まったインタビュー内容となっています。
AIの進化(Claudeなど)により、コードの脆弱性を大量に「発見(スキャン)」することが容易になりました。しかし、発見後の「本当に深刻な脆弱性かどうかの判定(トリアージ)」「再現コードの作成」「修正パッチの適用と検証」といった運用プロセスが人間側のボトルネックになっています。 このリポジトリは、発見からトリアージ、修正パッチの作成・検証までの一連のサイクルをAIエージェントに自律的に行わせるためのパイプライン(仕組み)を提供しています。
「AIにただ脆弱性を見つけさせるだけでなく、脅威予測から発見・トリアージ・修正・安全な実行検証までを一気通貫で自律的に行わせるための、セキュリティエンジニア・開発者向けの高度なAI活用フレームワーク」です。
高速なPythonパッケージ管理ツール「uv」を展開するAstral社が、新たなセキュリティ機能である「uv audit」と「マルウェア検知(Malware checks)」のプレビュー版をリリースしたことを発表するものです。
脆弱性やマルウェアのスキャンを外部ツールに頼るのではなく、パッケージマネージャー(uv)本体に深く統合することで、開発体験を損なわずに強力なセキュリティを確保することを目指しています。
AI事業者ガイドラインによると、AIガバナンスとは「AIの利活用によるリスクを受容可能な水準で管理しつつ、そこからもたらされる正のインパクト(便益)を最大化すること」を目的とした、技術的・組織的・社会的システムの設計および運用を指します。
セキュリティ対策やログ監視(ガードレール)だけでなく、ガイドラインの整備、インシデント対応フローの設計、社内のリテラシー向上など、多層的なアプローチを体系的に行うことが「安全かつ継続的に使える状態」を実現するために不可欠です。
AIの普及によって開発が便利になった一方、2026年現在はAIを狙ったサイバー攻撃が深刻化しています。記事では、初心者のエンジニアが絶対に避けるべき「AI時代の3つのセキュリティ地雷(リスク)」について解説しています。
- プロンプトインジェクション(AIの洗脳)
- データ汚染(ポイズニング)
- ローカルLLMの「シャドーAI」化
2026年現在、Obsidianのユーザー数は150万人を突破。AI時代において、Obsidianの「ローカルファースト」かつ「Markdownベース」という特徴が、個人用のAI駆動型ナレッジシステム(セカンドブレイン)を構築する上で最も理想的な基盤として評価されています。
Obsidianは、AIに自分のこれまでの知識や文脈を学習させ、強力なAIアシスタントを生み出すための最高のツールです。開発者やリサーチャー、ライターなど、個人のナレッジワーカーにとって2026年現在、最大の競争優位性をもたらす仕組みとなっています。
AIエージェント「Claude Code」とノート管理アプリ「Obsidian」を連携させて、自分だけの「第二の脳(LLM Wiki / 外部記憶システム)」を構築する方法について解説したものです。
手動での管理が不要な「AIが自らメンテナンスする記憶システム」を構築することで、AIを単なる検索エンジンから「自分の仕事を深く理解している優秀な同僚」へと進化させる手法を提案しています。
ターミナルで動作するAI開発アシスタント「Claude Code」において、AIの挙動や指示(プロンプト)を最適にコントロール(操縦)するための7つのカスタマイズ手法を解説した記事です。
単にAIへの指示をすべて一つのファイル(CLAUDE.mdなど)に詰め込むのではなく、「いつコンテキスト(記憶)に読み込まれるか」「セッション中ずっと維持されるか」「どれくらいの強制力を持つか」という軸で適切に使い分けることで、トークン消費(コスト)を抑えつつ、より確実で高度な自動化を実現できると述べています。
世界中のFortinet(フォーティネット)製ファイアウォール(主にFortiGate)から、約75,000件(正確には73,932件)の認証情報(クレデンシャル)が漏洩した大規模なキャンペーン「FortiBleed」について解説しています。
セキュリティ研究者のVolodymyr “Bob” Diachenko氏が、攻撃者グループのサーバー設定ミス(ディレクトリ公開状態)を発見したことで、この大規模な作戦の全貌が明らかになりました。流出したデータセットには、世界194カ国、21,632個のドメインにおよぶファイアウォールのURLと認証情報が含まれており、Samsung、Oracle、Foxconn、Siemens、Toyotaなどの大企業や、政府機関、NATO関連の防衛請負業者も含まれています。
元OpenAIの研究者であるアンドレイ・カルパシー(Andrej Karpathy)氏が公開したGitHub Gistで、タイトルは「LLM Wiki」(LLMを活用した個人知識ベースの構築パターン)です。
人間が個人Wikiの運用を断念する最大の理由は「相互リンクの更新や整理などの維持管理の負担」です。LLMは飽きることなく、一瞬で多数のファイルを正確に更新できるため、管理コストをほぼゼロにできます。
AIエージェント(Claude Code、GitHub Copilot、Cursor、Aiderなど)に高度なサイバーセキュリティの専門知識(スキル)を授けるための、AIネイティブな知識ベース(ナレッジベース)です。
単なるスクリプトやチェックリストの集まりではなく、AIが即座に理解し、シニアアナリストと同等のワークフローを実行できるように構造化されたオープンソースのスキルライブラリです。