ニュース 3日前更新
Crawl4AIに無認証で乗っ取りの脆弱性 CVE-2026-57572、0.9.0へ即更新を
セキュリティAIインフラ
AIにWebページを読み込ませる人気ツール『Crawl4AI』に、ログインなしでサーバーを乗っ取られる重大な欠陥が見つかりました。深刻度はCVSS 9.8。自分のサーバーで動かすDocker版で、利用者を確認する『合鍵』が製品に固定で埋め込まれており、誰でも管理者になりすませます。修正版0.8.7が出ており、自分で運用している場合は早急な更新が必要です。
2026.06.2212 views
ニュース
AI構築ツール『Flowise』に危険度10.0の脆弱性4件、CVE-2025-71338は修正版なし——更新と隔離を
開発セキュリティAI
コードを書かずにAIを作れる人気ツールFlowiseに、危険度が最高値10.0を含む新たな重大脆弱性4件が見つかりました。最も危険なCVE-2025-71338は、認証なしで細工したファイル名を送るだけでサーバーに任意のファイルを書き込み、再起動時に乗っ取れる欠陥で、現時点で修正版がありません。3.0.6で直る2件と、修正版がない2件の対処を、影響範囲の早見表とあわせて整理します。
2026.06.2118 views
ラボ
Claude CodeとCodex、未知の脆弱性を直せたのは17回中1回
セキュリティAI開発
AIがまだ知らない新しい脆弱性をわざと仕込んだコードを、Claude CodeとCodexに17回直させました。ネットを遮断して答えを引けなくすると、本物の急所を塞げたのは17回中1回だけ。場所を教えても直せず、テストは緑なのに穴は残る。AIにコードの安全を任せる前に知っておきたい結果です。
2026.06.1920 views
ニュース
AIとデータを結ぶmcp-pinotに認証なし侵入の穴 CVE-2026-49257、即更新を
AI開発セキュリティ
AIアシスタントと分析用データベースをつなぐ部品『mcp-pinot』が、初期設定のまま誰でも外部から接続できる状態になっていました。CVE-2026-49257、危険度は最高の10.0満点。攻撃者は認証なしでデータベースの中身を読み書きでき、丸ごと乗っ取られる恐れがあります。AIと外部システムをつなぐ『MCPサーバー』で認証なしの穴が相次いでおり、対象のv3.0.1以前はv3.1.0へ即更新を。
2026.06.1910 views
ニュース
AIエージェント『AutoGPT』に脆弱性 CVE-2026-55237、0.6.62へ更新を
開発セキュリティAI
世界中で使われる有名なAIエージェント作成ツール『AutoGPT』に、細工されたリンクをクリックさせるだけでアカウントを乗っ取られかねない脆弱性が見つかりました。2026年6月18日公開のCVE-2026-55237で危険度は10点満点中8.8。自分でAutoGPTを設置して使っている人が対象で、最新版0.6.62への更新で塞げます。
2026.06.1914 views
ニュース
AIモデルの危険コード検査ツール「picklescan」に検出回避の脆弱性8件 CVE-2026-3490ほか、v1.0.4へ即更新を
セキュリティAI
AIモデルに仕込まれた危険なコードを見つける検査ツール「picklescan」に、検査をすり抜けられる脆弱性が8件見つかりました。最も深刻なCVE-2026-3490は10点満点の10.0。picklescanが安全と表示したモデルでも、読み込んだ瞬間にパソコンやサーバーを乗っ取られる恐れがあります。Hugging Faceなどの裏側でも使われており影響は広範です。対策と最新版v1.0.4への更新、より安全なモデル形式までまとめました。
2026.06.1825 views
ニュース
Spring AIにログインなしでデータベース不正操作の脆弱性 CVE-2026-47835
開発セキュリティAI
Javaで生成AIアプリを作るフレームワーク『Spring AI』のベクトルDB連携に、危険度8.6の脆弱性(CVE-2026-47835)。特殊文字を使うとログインなしでElasticsearchなどに不正なクエリを実行され、情報流出の恐れがあります。修正版1.0.9/1.1.8が公開済みで、開発者は即更新を。
2026.06.1619 views
ニュース
FoxitのAI PDFツールに脆弱性 CVE-2026-12057、不正PDFで乗っ取りの恐れ
セキュリティAI海外企業
FoxitのオンラインAI PDFツール『Foxit AI』に乗っ取りにつながる脆弱性(CVE-2026-12057、危険度8.6)。細工されたPDFを読み込ませると、PDF内に隠した命令が外部のプログラムを呼び出し遠隔操作される恐れがあります。Foxitは6月15日に修正を適用済みで、悪用報告は今のところありません。
2026.06.1514 views
ラボ
NEHOPS(ネホップス)とは?NECのホテル基幹システムと2026年刷新を解説
インフラAI国内企業
NEHOPS(ネホップス)は、NECが提供するホテルの基幹業務システムです。予約・フロント・会計を一つにまとめ、クラウド型では国内で約7割のシェアを占めます。NEHOPSとは何か、約1,000施設の導入規模、2026年度の全面刷新「NEHOPS+」で何が変わるのかまで、わかりやすく解説します。
2026.06.1554 views
ニュース
「Claude Fable 5」公開3日で全世界停止、米政府が止めた理由
訴訟・規制海外企業AI
Anthropicが6月9日に公開した最強AI「Claude Fable 5」とMythos 5が、3日後の6月12日に全世界で使えなくなりました。米商務省が国家安全保障を理由に外国籍への提供停止を指令。日本の利用者・企業も対象です。
2026.06.1360 views
ニュース
vm2に乗っ取りの脆弱性8件、v3.11.4へ更新を CVE-2026-47131
開発AIセキュリティ
他人が書いたコードを安全に動かすNode.jsの定番部品「vm2」に、サーバーを乗っ取れる脆弱性が8件見つかりました。うち3件は危険度が最高の10.0です。修正版はvm2 3.11.4。ただしvm2は開発終了済みで、根本対策はisolated-vmなど別方式への移行です。npm ls vm2で依存を確認してください。
2026.06.1315 views
コラム
価格.comの30年コードをAIが建て替える。選ばれなかった技術の話
開発AI国内企業
価格.comが約960万行・752リポジトリの30年もののコードを、AIエージェント71体で全面刷新している。DBは現行維持、言語はPython+FastAPI。採用技術には同意しつつ、同点だった候補はなぜ選ばれなかったのか、AIに任せすぎたとき何が起きるのかを現場目線で考えた。
2026.06.10347 views