セキュリティ OpenClawに相次ぐ認可バイパス脆弱性 ― CVE-2026-33579でペアリング権限からインスタンス全権掌握、多数の公開インスタンスが危険
本稿では、AIエージェントフレームワークOpenClawの権限昇格脆弱性CVE-2026-33579について、攻撃チェーンと実務上のリスクを解説する。本脆弱性はGitHub Security Advisory(GHSA)で2026年3月29...
サプライチェーン攻撃
セキュリティ セキュリティ Trivyサプライチェーン攻撃の全容 ── 脆弱性スキャナ自体が攻撃ベクターに変わった4週間
Aqua Securityが開発するオープンソース脆弱性スキャナ「Trivy」が、2月末から3月22日にかけて多段階のサプライチェーン攻撃を受けました。GitHub Actionsのバージョンタグ汚染、Docker Hubへの侵害イメージ配...
セキュリティ 盗んだGitHubトークンでPythonリポジトリ240超にforce-push――「ForceMemo」キャンペーンの手口
盗んだGitHubトークンでPythonリポジトリ240超にforce-push――「ForceMemo」キャンペーンの手口本稿では、サプライチェーンセキュリティ企業StepSecurityが発見し追跡している「ForceMemo」キャンペ...
セキュリティ Glassworm再来:不可視Unicodeを使ったサプライチェーン攻撃がGitHub・npm・VS Codeの151超リポジトリに拡大
Glassworm再来:不可視Unicodeを使ったサプライチェーン攻撃がGitHub・npm・VS Codeの151超リポジトリに拡大セキュリティ企業Aikido Securityが2026年3月13日に公開した調査レポートについて解説し...
セキュリティ npm侵害から72時間でAWS管理者権限へ——Google報告が示したUNC6426の攻撃経路
概要本稿では、npmパッケージ「Nx」のサプライチェーン侵害を起点として、わずか72時間で被害組織のAWS環境の管理者権限を奪取した攻撃事例について解説します。GoogleのCloud Threat Horizons Report H1 2...
セキュリティ GitHubのIssueタイトル一行からCline CLIの不正版が約4,000回ダウンロードされた「Clinejection」― プロンプトインジェクションがサプライチェーン攻撃に転化するまで
本稿では、AIコーディングツールClineのCI/CDパイプラインがプロンプトインジェクションを起点に侵害され、不正版パッケージが約4,000回ダウンロードされてOpenClawが無断でインストールされうる状態となった「Clinejecti...