#security

あるソフトウェアエンジニアがDJIロボット掃除機のカスタムコントローラーアプリ開発中、AIコーディングアシスタントを使ったリバースエンジニアリングの過程で、24カ国約7,000台のデバイスのカメラ映像、マイク音声、フロアマップに誤ってアクセスできるバックエンドのセキュリティバグを発見しました。

Anthropicが2月20日に発表したClaude Code Securityは、AIがコードベースを人間の研究者のように読み解き脆弱性を検出するツールだ。オープンソースコードで500件超の長期未発見バグを発見し、発表当日にサイバーセキュリティ株が急落した。

SecurityScorecardのSTRIKEチームが、OpenClaw AIエージェントインスタンス40,214個が認証なしで公開インターネットに露出していることを発見。1万2,000以上がリモートコード実行の脆弱性を持ち、侵害されると完全なシステムアクセスを攻撃者に渡すことになります。

AnthropicはClaude Opus 4.6を活用し、コードベースのセキュリティ脆弱性を自動検出するツール「Claude Code Security」を2月20日に公開。本番オープンソースで数十年見逃されてきた500件超の脆弱性を発見し、CrowdStrikeやOktaなどの株価が最大9%以上急落した。

Hacker Newsで注目されたChromeの安定版更新。GoogleはCVE-2026-2441（High、CSS use-after-free）を修正し、実際の悪用を認識していると公表した。

DockerによるNanoClaw実行ガイドがHacker Newsで102ポイントを獲得し、エージェントをホストから分離して運用する実践的な手順として注目されました。特に、ファイルシステム分離とプロキシ経由のAPIキー管理が焦点です。

OpenAIはprompt injection由来の情報流出リスクに対応するため、ChatGPTに新しいセキュリティ機能を追加した。まずはEnterprise/Eduなどの組織向けプランでLockdown Modeを提供し、高リスク機能にはElevated Riskラベルを付与する。

研究者がDiscordの年齢認証プロバイダーK-IDのバイパス方法を公開した。実際の生体認証データなしに合法的に見えるメタデータを生成してシステムを騙すことができる。