AIセキュリティの新地形
Mythos以後の四象限 — OWASP、Shai-Hulud、React2Shell、CopyFail、攻防の天秤
| 今号の要旨
2025年9月のShai-Hulud初出から、2026年4月のCopyFail、5月のDirty Fragまで、わずか8ヶ月で攻撃の標的が「アプリ層」から「フレームワーク層・OS層・供給網そのもの」へと一段下がった。 同じ8ヶ月で攻撃側にもAIが降りてきた。DarktraceはNext.jsの脆弱性をAI生成マルウェアで突く事例を観測し、Theori社はLinux kernelの脆弱性をAI浸透テストツールXintで発見した。 防御側もAIで応戦を始めた。AnthropicのMythos Previewは一般公開せずProject Glasswingで限定配布。OpenAIはTrusted Access for Cyber (TAC)で身元検証ベースの提供に踏み切った。 本号では、これらの動きを四象限フレーム (AI / DATA / LOCAL / ARTIFACT)で横串に整理し、CxOがいま意思決定すべき四つの論点を提示する。 |
01 地図を先に持つ — 四象限フレーム
「Claude Codeは安全か?」「LLMは業務で使ってよいか?」というCxO会議での問いは、単一の答えを許さない。そもそも問いが、独立した四つのリスク面を混ぜているからだ。OWASP・NIST・MITRE等の業界標準を一旦横に置き、実務目線で再整理すると、少なくとも以下の四象限に分かれる。
| # | 文脈 | 一語で言うと / 担当領域 |
| 01 | AI Surface | AI固有 — プロンプトインジェクション、エージェントの暴走、幻覚 |
| 02 | Data Boundary | データ越境 — 法務・契約・規程の問題、技術ではなくガバナンス |
| 03 | Local Agent | 実行権限 — ファイルシステム・bash・MCPの権限管理 |
| 04 | Artifact | 成果物 — SBOM、SDLC、依存パッケージ、生成コードの脆弱性 |
本号で扱うニュース群は、ほぼ全てがこの四象限のどこかに着地する。OWASP LLM Top 10は④と①の整理に、Shai-Huludは④に、React2Shellは④×①に、CopyFailは③に、MythosとTACは①と②に効く。地図を先に持てば、それぞれが「同じ話」ではないと見える。
02 OWASP Top 10 for LLM Applications 2025 を経営目線で読む
業界標準のLLMセキュリティモデルは2025年版で項目が大幅刷新された。CxOが10項目を覚える必要はない。だが、どの項目がどの文脈に効くかを把握すれば、自社のどこが薄いかが見える。
| ID | 項目 | 実務的に言うと | 文脈 |
| LLM01 | Prompt Injection | 入力経由でLLMの振る舞いを書き換える。直接 / 間接 (RAG・MCPツール返却値経由) | ① AI |
| LLM02 | Sensitive Info Disclosure | PII・機密・知財がモデル経由で漏れ出す | ② DATA / ④ ART |
| LLM03 | Supply Chain | 汚染されたモデル・LoRA・依存パッケージの取り込み | ④ ART |
| LLM04 | Data & Model Poisoning | 学習・FT段階でのバックドア注入、スリーパー化 | ① AI / ④ ART |
| LLM05 | Improper Output Handling | LLM出力を検証せず実行 → XSS・SQLi・RCEへ連鎖 | ① AI / ④ ART |
| LLM06 | Excessive Agency | エージェントに過剰な権限・自律性を渡したことによる被害 | ① AI / ③ LOC |
| LLM07 | System Prompt Leakage | 秘密をシステムプロンプトに置く設計欠陥 | ① AI / ② DATA |
| LLM08 | Vector & Embedding Weaknesses | RAG・ベクトルDBへの汚染、埋め込み逆変換 | ① AI / ② DATA |
| LLM09 | Misinformation | 幻覚 + 過信。意思決定品質の腐食、法的責任も問われ得る | ① AI |
| LLM10 | Unbounded Consumption | DoS・Denial of Wallet・モデル盗用 | ② DATA |
出典: OWASP Top 10 for LLM Applications 2025 (genai.owasp.org/llm-top-10/)。なお2025年12月にはOWASPからTop 10 for Agentic Applications 2026も公開され、Goal Hijacking・Tool Misuse・Identity Abuse・Memory Poisoning・Cascading Failures・Rogue Agentsといった「エージェント特有」の項目が独立してきている。Claude Code / MCPを実運用する企業は、こちらも視野に入れる必要がある。
03 ④ ARTIFACT が汚染される — npm供給網ワーム Shai-Hulud
2025年9月、Palo Alto Networks Unit 42が発表したShai-Huludは、npmエコシステム史上初の自己増殖型ワームだ。ある開発者のnpmアカウントが侵害され、その人がメンテするパッケージにマルウェアが注入される。被害者の端末で実行されると、GitHub APIトークン、AWS/Azure/GCPの認証情報、SSH鍵、TruffleHogによる秘密の網羅検索結果を収集し、その開発者がメンテする他の全パッケージへも自動的に伝播する。
時系列で見る三波
| 時期 | 呼称 | 主要な変化 |
| 2025年9月 | Shai-Hulud (初波) | 500+ npmパッケージ侵害。postinstallフック経由。盗んだ秘密を被害者のGitHubに公開リポジトリ「Shai-Hulud」として晒す手口。 |
| 2025年11月 | Shai-Hulud 2.0 / “The Second Coming” | 700+ パッケージ、27,000+ GitHubリポジトリ、約14,000秘密が487組織から漏出。preinstallフック化により、インストール失敗時にも実行。Bunランタイム経由で検知回避。 |
| 2025年12月 | Mini Shai-Hulud (Microsoft命名) | 初のnpm + PyPI同時攻撃。Zapier、PostHog、Postmanのメンテナアカウントが侵害。.claude/ディレクトリへの永続化ファイル設置も観測。 |
CxO目線での意味
Shai-Hulud以前、供給網リスクは「無名パッケージへの汚染」「タイポスクワット」「幻覚パッケージ」が主軸だった。Shai-Hulud以後は、chalk・debug級の週次数十億DLパッケージがフィッシング一発で汚染される。Unit 42はマルウェアスクリプトのコメントと絵文字の特徴からLLMで生成された痕跡を指摘している。攻撃自動化に加え、攻撃コード生成の自動化までが手の届く範囲に来た。
Claude Codeを使う企業にとっての含意は二段ある。第一に、生成コードに含まれる依存パッケージは、それが既知の有名パッケージであっても安全とは限らない (LLM03 Supply Chain)。第二に、preinstall実行は「npm install を打った瞬間」に発火する。Devcontainer / VM隔離 (文脈③) + lockfile厳守 + private registry proxyを「儀礼」ではなくCI/CDの強制ゲートにする必要がある。
04 ④ × ① ART × AI — React2Shell とAI生成マルウェア
2025年12月3日に公開されたCVE-2025-55182 (通称 React2Shell, CVSS 10.0)は、React Server Components およびNext.js等のフレームワークに存在する、事前認証なしのリモートコード実行脆弱性。「インターネットの第一層」(Vercel CTO発言)に直撃する。
CloudflareはWAFで2025年12月3日から11日の8日間で5億8千万件以上の悪用試行を観測した。GreyNoiseはこれまでに810万件以上の試行を報告している。Shadowserverによれば2025年末時点で約9万台のNext.jsインスタンスが脆弱なまま残存していた (うち米国68,400・ドイツ4,300・フランス2,800)。
AI生成マルウェアの登場
2026年2月、Darktraceは自社のCloudypotsハニーポット網で「AI生成マルウェアによるReact2Shell悪用」を観測した。GPTZeroによる解析で、ペイロードの76%がAI生成と判定。攻撃者は安全アライン済みLLMを「教育目的」と偽って脱獄させ、Next.js Server Componentのpayload構造を熟知しないまま、動く悪用コードを得ている。
Darktraceはこれを「攻撃者側のvibe coding」と呼んでいる。Cisco Talosの後続レポートでは、被害サーバからOpenAI・Anthropic等のAI APIキー、Stripe、AWS、Azure、GitHubトークン、SSH秘密鍵までが系統的に窃取されていた。AIプラットフォームキーが他のキーと並んで標的になっているのは象徴的だ。
CxO目線での意味
Claude Codeで生成された「動くコード」は、Vercelが運営する超有名プラットフォームのコアにすら、こうした穴があり得ることを前提に審査されるべきだ。LLM05 (Improper Output Handling) と LLM09 (Misinformation) は、AI出力を「動くか」ではなく「監査できるか」で受け入れる文化を要求している。同時に、攻撃者がAIを持つ前提では、自社の公開エンドポイントの最大想定攻撃量は数桁単位で上振れする。WAF・エグレス制御・SBOM突合の自動化は、もはや「あれば良い」段階ではない。
05 ③ LOCAL の足元が揺れる — CopyFail と Dirty Frag
2026年4月29日、韓国Theori社が発表したCopyFail (CVE-2026-31431, CVSS 7.8)は、2017年以降のほぼ全てのLinux kernelに影響するローカル権限昇格脆弱性。AF_ALG暗号インタフェースの論理欠陥により、無権限ユーザがpage cacheに4バイトの制御された書き込みを行い、/usr/bin/suなどの特権バイナリをin-memoryで書き換えて root を取れる。
Theori社はこの脆弱性を自社のAI浸透テストプラットフォーム「Xint」で発見したと明言している。「AIが攻撃を手伝う」ニュースは多いが、AIで発見された脆弱性が現実のCVEとして流通する局面はここから本格化する。さらに5月8日には、CopyFail類似のpage cache操作をパッチ前公開する形で「Dirty Frag」が出現。Linux kernelメンテナがemergency killswitch導入を真剣に検討する事態となっている。
CxO目線での意味
文脈③ LOCAL の前提は、これまで「ホストOSは信頼できる隔離層」だった。Devcontainer / VM / コンテナ隔離は、ホスト側Linux kernelの整合性を暗黙の信頼基盤としている。CopyFail / Dirty Fragはその基盤に4バイトの穴を空けた。
したがってClaude Code (および類似のローカルエージェント) の隔離設計は、(a) コンテナ + ホストの両方を最新パッチ運用、(b) 開発機にローカル管理者権限を持たない開発者プロファイル運用、(c) シークレットはvault注入に限定し、ローカルファイル直書きを禁止、の三点を改めて点検すべきタイミングに来ている。
06 攻防の天秤が変わる — Mythos / Glasswing と Trusted Access for Cyber
攻撃者がAIで武装する時代に、防御者だけが旧来のツールで戦うわけにはいかない。2026年初頭から、AI大手二社がそれぞれ「防御側へのAI能力配分」をどう設計するかについて、明確な戦略を打ち出した。
Anthropic — Claude Mythos Preview と Project Glasswing
2026年4月7日、Anthropicは新型モデル Claude Mythos Preview を発表した。Mythosの特徴は、コーディング能力の延長として「ゼロデイ脆弱性の自律的発見と悪用」が可能な点にある。Anthropicの自社テストでは、OpenBSDで27年間検出されなかった脆弱性を $20,000未満・1,000回未満の自律実行で発見。全ての主要OS・全ての主要ブラウザに対し、合計数千件の高深刻度ゼロデイを発見した。
Anthropicは「危険すぎて一般公開しない」と判断。Project Glasswing として、AWS / Apple / Cisco / CrowdStrike / Google / JPMorganChase / Linux Foundation / Microsoft / NVIDIA / Palo Alto Networks の10社をローンチパートナーとし、その他40+の重要インフラ運営組織にもアクセスを開放。$100M分のモデル利用クレジットと$4Mのオープンソースセキュリティ団体への寄付を約束した。
OpenAI — Trusted Access for Cyber (TAC)
OpenAIの戦略は形が違う。2026年2月5日に発表された Trusted Access for Cyber (TAC) は、本人確認 (KYC) を通った個人・組織にのみ、サイバーセキュリティ用途で高機能モデルへのアクセスを開放する枠組み。「誰に許可するかを恣意的に決めない」ことを原則とし、客観基準とフィッシング耐性のある認証 (Advanced Account Security) を要件とする。2026年6月1日以降、TACに参加する個人は強制的にフィッシング耐性認証が必須となる。
OpenAIは併せて$10M分のAPIクレジットをサイバー防御加速のためにコミット。GPT-5.3-Codex、続くGPT-5.5-Cyberなど、防御特化のモデルラインも拡張している。
二社の戦略を並べて見ると
| 観点 | Anthropic (Mythos / Glasswing) | OpenAI (TAC / GPT-5.5-Cyber) |
| 配布モデル | 一般公開せず、選定パートナー + 申請組織のみ | 本人確認を通った個人と組織まで自動開放 |
| 信頼の根拠 | パートナー契約 + 機密保持 + 用途審査 | KYC + フィッシング耐性認証 + 用途宣言 |
| 経済的コミット | $100M クレジット + $4M OSS寄付 | $10M API クレジット |
| 基本姿勢 | 能力非対称性を防御側へ意図的に偏らせる | 能力アクセスを「責任あるなら開く」 |
| 共通の前提 | 同じモデルが攻防両面に効くため、 配布自体がガバナンス対象 |
同左 |
両社に共通するのは、「強いモデルを誰に渡すか」自体がセキュリティの一次変数になったという認識だ。文脈② DATA に新しい層が一つ増えたと考えるべきで、企業のAIベンダー選定時にも「TACやGlasswing相当の枠組みに参加できるか」が契約要件として議題に上がる時代に入る。
07 Cloudflareの実証 — モデル単体では足りない
2026年5月18日、CloudflareはProject Glasswing経由でMythos Previewを自社の50以上のリポジトリにかけた検証結果を公開した。結論は二つ。第一に、Mythosは個別のバグ発見だけでなく「複数の低深刻度プリミティブをチェインして実用可能なエクスプロイトを構築する」能力を示した。第二に、それでもなお単一のコーディングエージェントとして使うだけでは粒度が合わない。
Cloudflareが採った解は、Mythosを「脆弱性発見ハーネス (vulnerability discovery harness)」の中に置く設計だ。
| ステージ | 役割 |
| Reconnaissance | 対象コードベースのアーキテクチャと攻撃面をマップする |
| Hunting | 特定バグクラスごとに数十の狭いhunterエージェントを並列実行 |
| Validation | 独立したvalidationエージェントが「発見を反証する」方向で検証 |
| Gap-filling / Dedup / Tracing | 検出漏れ・重複・再現性確認 |
| Feedback / Reporting | トリアージキューへの構造化データ投入 |
Cloudflare CISOのGrant Bourzikasは、「AIサイバーセキュリティは強力なモデルを持つことではない。モデルの周りに、タスクを適切にスコープし、誤検知を減らし、発見を独立検証し、出力を構造化された問い合わせ可能なセキュリティデータに変換できるシステムを作ることだ」と総括している。
またCloudflareは興味深い観察も報告している。同じコードに対してMythosが、.gitフォルダがあると脆弱性研究を拒否し、.gitフォルダを削除すると同じ研究を引き受けた、というケースだ。コード自体は1バイトも変わっていない。モデルの確率的性質と微妙な文脈手がかりの組み合わせが、結果に再現性のないバラツキを生む。Cloudflareはこれを根拠に「将来の公開にあたっては追加のセーフガード層が必須」と結論している。
08 OSSの非対称性 — パッチがエクスプロイトの設計図になる
06と§07で見た「攻撃側がAIで武装する → 防御側もAIで対抗する」という構図は、それ自体が均衡を保てる前提に立っている。だがその均衡を考える前に、もう一段下のレイヤーに横たわる構造的非対称を直視しておく必要がある。OSSにおけるパッチ・diff・PRの可視性そのものが、AI時代において攻撃側を有利にする方向に作用しているという事実だ。
N-day の構造 — パッチ自体が攻撃の地図になる
OSSプロジェクトでは、脆弱性が修正されるとき、パッチはコミットやPull Requestとして公開リポジトリに記録される。Coordinated Disclosure(調整された開示)が機能していれば、公開時点でメンテナはリリース版を準備し終え、ユーザーが速やかにアップデートできる状態にある — 建前としては。
現実はこうだ。大規模プロジェクトでは、修正コミットがリリースの数日〜数週間前にmainブランチへマージされる。CVE採番やリリースノートに記載されるよりはるかに早く、diffは公開状態にある。「修正前」と「修正後」を比較すれば、どこに何の脆弱性があったかが明示的に分かる。これをリバースエンジニアリングすれば、その時点で世界中の未パッチ環境に対するゼロデイが完成する。これは「N-day vulnerability」「Patch Gap」と呼ばれる古典的問題で、研究者の間では長く議論されてきた。
適用までの時間差も大きい。Shadowserverによれば、CVE-2025-55182 (React2Shell) の公開1ヶ月後でも約9万台のNext.jsインスタンスが未パッチで残存していた。パッチが公開されても、ユーザー環境に到達するまでのリードタイムが長ければ、攻撃窓は開きっぱなしになる。
AIで非対称が深まる — diff→PoC化の民主化
「diffを読んでエクスプロイトを書く」作業は、これまで高度な技能を要する活動だった。対象ライブラリへの深い理解、PoC開発のための時間、悪用条件を満たすペイロード設計の経験。これらが揃わなければ、パッチが公開されてもN-day化は容易ではなかった。
これが、コーディングエージェントの登場で根本的に非対称になった。攻撃者が「このPRをエクスプロイト化せよ」とAIに渡せば、数十分から数時間でPoCコードが返ってくる。Mythos級のモデルは、複数の低深刻度バグをチェインして実用可能なエクスプロイトを構築する能力すら示している。パッチがリリースされた瞬間からAIがdiffを自動監視し、エクスプロイト化を並列で試みる仕組みは技術的にすでに可能だ。
Bruce Schneierが引用するデータでは、脆弱性発見からエクスプロイト化までの中央値は2018年の771日から2024年には1桁時間にまで縮んだ。2025年には過半数のエクスプロイトが公開前に武器化されている。Mythos / GPT-5.5-Cyber級が攻撃側にも流通し始めれば、この曲線はさらに急峻になる。
「多くの目」が攻撃側にも降りた
OSSのオープン性そのものは、長く防御側の強みとされてきた。「多くの目があればバグは浅い」(Linusの法則)、外部監査の可能性、再現可能性。これらの原則は依然として正しい。
だがAIコーディングエージェントの登場で、その「多くの目」が攻撃者側にも非対称に降りてきた。攻撃者は人手でコードレビューする必要がない。GitHubのPRストリームをAIで自動監視し、セキュリティ関連のコミットを抽出し、悪用化を並列実行できる。
防御側がパッチを「適用する」ためには、(a)パッチを認知し、(b)テストし、(c)変更管理を通し、(d)展開する。組織のSDLCを経由する。攻撃側のAIには、こうした摩擦が一切ない。同じパッチに対して、攻撃側のリードタイムが防御側のそれを構造的に上回る。
CopyFailとDirty Fragの並びはその象徴だ。Theoriは2026年3月23日にLinux kernel security teamへ報告、4月29日に公開した。だがDirty Fragは「責任ある開示スケジュールが破られる形で」5月8日にパッチ前公開され、Linux kernelメンテナはemergency killswitchの導入を真剣に議論する事態に追い込まれた。Coordinated Disclosure という業界の社会契約そのものが、AI時代の速度に耐えられない可能性が見えてきた、ということだ。
防御側に残されている戦略
この非対称性は、Mythos / TACのような「強いモデルを攻撃側に渡さない」戦略でも完全には消えない。パッチdiffの読解と悪用化は、フロンティアモデルでなくともオープンウェイトのLLMで十分な精度に到達しつつある。攻撃側は時間とコストの制約がない (クレジット消費しても標的が大きければ回収できる)。OSSのオープン性そのものを閉じることはできないし、すべきでもない。
したがって防御側に残されている戦略は限定的だが、明確だ。
- N-day窓を時間単位で閉じる — パッチ適用のリードタイムを「四半期」から「日次」、できれば「時間」に圧縮する。重要システムほどパッチ可能性をアーキテクチャに織り込む (依存を少なく、隔離を厚く、ロールバック可能に)
- SBOMをクエリ可能な状態にする — 「うちのスタックに今リリースされたCVEが該当するか」を15分以内に答えられる体制。Log4Shellの教訓を「次のReact2Shell」に適用できるか
- 防御側AIの自動化 — Cloudflareのharness型を社内SOCに持ち込み、CVE開示と同時にコードベース全体の影響範囲とパッチ適用優先度を自動算出する
- 開示前PRの監視も自動化 — 自社が依存する重要OSSプロジェクトについては、CVE採番を待たずに「セキュリティ修正らしいコミット」を機械監視する。攻撃者がやっていることを防御側もやる
09 四象限で見たとき、いま何が変わったか
2025年初頭時点の Claude Code セキュリティ地形と、2026年5月時点を比べると、四象限すべてで前提条件が更新されている。
| 文脈 | 2025年初頭 | 2026年5月時点 |
| ① AI | プロンプトインジェクション、幻覚、エージェントの暴走が主な懸念 | 上記に加え「攻撃者AIが量産する悪用コード」への防御が必須軸に。Mythos / TACのようなアクセス制御自体が新たな統制レイヤ |
| ② DATA | Enterprise契約・ZDR・データ分類で線を引く | 上記に加え、AIベンダー側の「身元検証ベース提供 (TAC)」「限定配布 (Glasswing)」への参加可否が契約要件化 |
| ③ LOCAL | Devcontainer / VM隔離、エグレスallowlist、MCP審査 | 上記に加え、CopyFail / Dirty Fragでホスト側kernelの整合性も常時パッチ対象。AI生成マルウェアによるローカル攻撃面の拡大 |
| ④ ART | SAST / SCA / Secret scan / SBOM | 上記を「儀礼」から「四半期KPI」へ。Shai-Hulud / preinstall実行を前提とした隔離 + private registry proxy + lockfile強制 |
もう一段抽象化すると、AI攻防のスピードが「脆弱性開示からエクスプロイトまで」を時間単位に圧縮した。なぜそれが構造的に「攻撃側に有利」になるかは、次節で論じる。
10 CxOへの提言、四箇条
提言 1 — 自社の四象限のうち、どこが薄いかを言語化する
「セキュリティを強化する」は会議で合意できても、何も動かない。AI / DATA / LOCAL / ART のうち、いま自社で(a)責任者が指名されていない (b)KPIが設定されていない (c)四半期で見直されていない、はどこか。ここを四半期決算と同じ粒度で経営会議のスタンディング項目に置く。
提言 2 — SBOM・署名・Lockfile強制を「儀礼」から「四半期KPI」へ
Shai-Hulud以後、SBOMがない組織は次のLog4Shell級が来た朝に止血できない。CycloneDX / SPDX生成、SLSA署名、npm ci相当のlockfile厳密適用は、AppSec部門の自主性ではなく、SREやSecOpsで強制ゲート化する。AI生成PRには独立レビュアー必須化、co-authored-by: claude のような明示的ラベリングで重点レビュー対象化を併せる。
提言 3 — AIモデル選定でTrusted Access系の有無を契約要件に
「どのAIを使うか」は技術選定だが、「どのAIに渡すデータを誰が見られるか」「攻撃者側がそのモデルを持てるか」はガバナンス選定だ。Mythos / Glasswing / TACの動向は、ベンダー側にも「責任ある配布」を強制し始めている。自社のRFPで「Trusted Access for Cyber 相当の枠組みに参加しているか」「ハイリスク機能の本人確認方式は何か」を標準項目化する。
提言 4 — 攻撃側のスピードに合わせ、防御側もAIを組み込む
Cloudflareの harness 設計が示すのは、「強いモデルを買えば終わり」ではなく「モデルの周りにシステムを組む」ことだ。社内SOCに対して(a)コードベース監査の自動回帰、(b)依存パッケージの常時監視、(c)CVE開示後15分以内に影響範囲を特定できるSBOMクエリ、の3つをまず整備対象に置く。これはMythos以後の時代、運用上の最低ラインになっていく。
11 クロージング — どの面の話かを先に決める
「Claude Codeは安全か」「AIエージェントを業務で使ってよいか」「自社のコードベースをAIに食わせてよいか」。これらの問いは、依然として一語で答えてはいけない。
四つの面のどこで何を守るかを、先に決める。
Mythos以後、攻撃者と防御者の双方がAIで武装する時代において、その問いは加速度的に重くなっている。だが構造としては変わらない。AI固有のリスク・データ越境・ローカル権限・成果物の脆弱性。この四つの面に対して、それぞれの担当・統制・許容ラインを言語化する。それが、CxOが組織に対して負う最初の責務だ。
OPERATING PRINCIPLE / 00
「Claude Codeは安全か?」に一語で答えてはいけない。
どの面の話かを、先に決める。
REF 主要参照
- OWASP Top 10 for LLM Applications 2025 — genai.owasp.org/llm-top-10/
- OWASP Top 10 for Agentic Applications 2026 (2025年12月公開)
- Shai-Hulud / Shai-Hulud 2.0 — Palo Alto Networks Unit 42 / Microsoft Defender / Check Point / Zscaler ThreatLabz / JFrog / Sonatype / Trend Micro / CISA (2025年9月〜2025年12月)
- CVE-2025-55182 React2Shell — Vercel / Microsoft Security / Cloudflare / Darktrace / Cisco Talos / GreyNoise / VulnCheck (2025年12月〜2026年4月)
- CVE-2026-31431 CopyFail — Theori / Xint Code / Microsoft Security / Wiz / Kaspersky Securelist / Ubuntu (2026年4月)
- Dirty Frag — Microsoft Security / The Register (2026年5月)
- Project Glasswing / Claude Mythos Preview — Anthropic (2026年4月7日)
- Project Glasswing 実証レポート — Cloudflare blog (2026年5月18日)
- Trusted Access for Cyber (TAC) — OpenAI (2026年2月5日 / 5月拡張)
記事をシェア: