ニュース 2日前更新
AI部品Guardrails AIに毒入りパッケージ混入 CVE-2026-45758、TeamPCP連続攻撃の新標的
AIセキュリティ
LLMの入出力を検証する人気OSS部品Guardrails AIのPyPI配布物に、認証情報を盗む毒入り版0.10.1が混入しました。CVE-2026-45758でCVSSは9.6。攻撃グループTeamPCPがTanStackやMistral AIなど170超のパッケージに400以上の毒入り版をばらまいた連続サプライチェーン攻撃の一部で、標的がAI開発に拡大。安全な版と確認・対処手順をまとめます。
2026.06.069 min3 views
ニュース 5日前更新
AmazonのAI開発ツールKiroに脆弱性 CVE-2026-10591、開くだけでコード実行
開発AIセキュリティ
AmazonのAI開発ツールKiroに脆弱性CVE-2026-10591が公表。AIのファイル書き込み機能が.vscode/tasks.jsonに書き込め、フォルダを開くと攻撃者のコマンドが自動実行されます。プロンプトインジェクションが起点。CVSS8.8、修正版0.11へ更新を。
2026.06.038 min22 views
ニュース 5日前更新
Langroidに脆弱性 CVE-2026-25879、AIが書いたSQLでデータベース乗っ取り
開発セキュリティAI
LangroidのSQLChatAgentが、AI生成のSQLを無検査で実行する欠陥CVE-2026-25879(CVSS9.8)。プロンプト注入からDBサーバーのRCEに至ります。v0.63.0への更新と、権限を絞る対策を整理します。
2026.06.028 min21 views
ニュース
`trust_remote_code=False` が効かない、vLLM 3連目のRCE CVE-2026-4944
AIセキュリティ開発
明示的に --trust-remote-code=False を指定しても vLLM 内部のハードコードでサイレントに無効化されます。Nemotron-VL系・Kimi-K2.5系の悪意あるHuggingFaceリポジトリ経由でRCE。修正は0.18.0。3連目のバイパス。
2026.05.299 min10 views
ニュース
Zedに4連のRCE、悪意あるリポジトリを開くだけで開発者マシン奪取、CVE-2026-44461〜44466、0.229.0で修正
AIセキュリティ開発
Rust製AI協調エディタZedに4連のRCEが公開(CVE-2026-44461/44463/44465/44466、いずれもCVSS 8.6)。悪意あるリポジトリのcloneとZedでのフォルダオープン、リモートSSH/WSL接続、AIエージェントの正規表現許可リストすり抜けの4経路。0.229.0へ即更新を。
2026.05.299 min17 views
ニュース
「国会議員マップ」とは、建設職人がClaude活用で個人開発した政治可視化サイト
開発AI
建設会社経営の中島真之助氏がClaude 4.5 Haikuと国会会議録APIを組み合わせて個人開発した「国会議員マップ」が2026年5月27日にバズ、26分のサーバーダウンを経てXフォロワー2.1万人に到達。郵便番号で選挙区議員の発言・採決が見える仕組みと、個人×生成AIの新しい開発スタックを解説する。
2026.05.297 min11 views
ニュース 3日前更新
Jupyter Serverに偽サイト誘導の脆弱性 CVE-2025-61669、2.18.0へ更新を
AIセキュリティ開発
研究者・データ分析者が使う『Jupyter Server』2.17.0以下に偽サイト誘導の脆弱性 CVE-2025-61669(CVSS 6.1)。ログイン画面のURL細工で外部の偽サイトへ飛ばされ、フィッシングの踏み台にされます。JupyterLab・Notebook 7も内部のJupyter Server経由で影響。修正版2.18.0へ更新を。
2026.05.286 min26 views
ニュース
Budibaseに5件の重大脆弱性 CVE-2026-46425他、v3.39.0へ即更新を
セキュリティ開発AI
OSSローコード基盤『Budibase』v3.38.0以下に5件の重大脆弱性が同時開示(CVE-2026-46425/48150/45716/45717/48153、CVSS 9.9〜8.5)。SCIM認可欠落・グローバル管理者権限昇格・SSRF等、いずれもv3.39.0で修正済。
2026.05.288 min22 views
ニュース
TanStack→Nx Console連鎖攻撃 CVE-2026-45321/48027、npm 84版汚染がVS Code拡張へ
AI開発セキュリティ
2026年5月、npm『TanStack』42パッケージ84版が攻撃者に汚染(CVE-2026-45321)。流出したGitHub認証情報を使って5月18日にVS Code拡張『Nx Console』v18.95.0も悪意ある版で配信(CVE-2026-48027)。連鎖型サプライチェーン攻撃、両者ともCISA KEV登録済み。
2026.05.289 min26 views
ニュース
Langflowに重大脆弱性 CVE-2026-7524、tarリンク悪用でJWT流出からRCEへ
セキュリティAI開発
Langflow OSSにCVSS9.8の重大脆弱性CVE-2026-7524。IBMが2026年5月27日に開示。tar内のシンボリックリンクからJWT秘密鍵流出を経て遠隔コード実行まで連鎖する経路が確認された。v1.0.0〜v1.9.1が影響、v1.9.2以降への即更新を。
2026.05.287 min22 views
コラム
ChatGPTに相談した娘の話が、エンジニアの心に刺さる理由
AIプライバシー
阿部慎之助監督逮捕の報道で「娘がChatGPTに相談して児童相談所に通報した」という流れが明らかになりました。事実はわかりません。でも一点だけ、エンジニアとしてはっきり書けることがあります。OpenAIが2025年に進めた「AIに判断させず公的機関へ繋ぐ」設計が、繋がれた先の制度と合成された結果の話です。
2026.05.2612 min40 views
ニュース
【緊急】SGLangに脆弱性4件、悪意あるAIモデルでサーバ乗っ取りの恐れ
インフラAIセキュリティ
AI推論サーバSGLangに重大脆弱性4件。CVSS9.8で認証不要、悪意あるGGUFモデルファイルや特定APIエンドポイント経由でサーバを乗っ取られる恐れ。3件は2026年5月26日時点で未パッチ。JVNが注意喚起。
2026.05.269 min28 views
