Prompt

Trivy VS Code 拡張が改ざんされ、ローカル AI エージェントが認証情報を窃取 — hackerbot-claw の全貌 セキュリティ研究者のyousukezan氏が、Aqua Security の脆弱性スキャナー「Trivy」の VS Code 拡張が改ざんされ、開発者のローカル AI コーディングツールを悪用して認証情報を窃取するサプライチェーン攻撃を紹介しています。 Aqua Trivy VS Code拡張が改ざんされ、AIコーディング支援ツールを悪用する異例のサプライチェーン攻撃が発覚した。正規機能を装いながら裏で認証情報を収集する手口で、被害はGitHubリポジトリの乗っ取りにも及んだ。 — yousukezan この事件の異例な点は、従来のマルウェアやバックドアではなく、開発者のマシンに既にインストールされている AI コーディングツールを武器として利用したことです。Claude、Codex、Gemini、GitHub Copilot CLI、Kiro CLI を最大権限で呼び出し、自然言語プロンプトで機密情報を探索させるという、AI 時代に固有の新しい攻撃ベクターです。 事件の全体像 この攻撃は、hackerbot-claw と名乗る自律型 AI ボットによる大規模キャンペーンの一部です。2026年2月21日〜28日の間に、Microsoft、DataDog、CNCF プロジェクトなど少なくとも7つの主要リポジトリが標的となりました。 影響を受けたリポジトリ リポジトリ Stars 攻撃手法 結果 aquasecurity/trivy 25k+ pull_request_target 悪用 PAT 窃取、リポジトリ乗っ取り avelino/awesome-go 140k+ Go init() 関数にペイロード注入 GITHUB_TOKEN 窃取 microsoft/ai-discovery-agent - ブランチ名コマンドインジェクション RCE 達成 DataDog/datadog-iac-scanner - ファイル名ベースのインジェクション RCE 達成（9時間で修正） ambient-code/platform - CLAUDE.md プロンプトインジェクション Claude が検出・拒否 project-akri/akri (CNCF) - curl | bash 直接インジェクション RCE 達成 RustPython/RustPython 20k+ Base64 ブランチインジェクション 攻撃試行 hackerbot-claw の正体 hackerbot-claw は GitHub 上で自らを「autonomous security research agent powered by claude-opus-4-5」と名乗り、暗号通貨の寄付を募っています。README には9クラス・47サブパターンの「脆弱性パターンインデックス」を持ち、47,391リポジトリをスキャン済みと記載されています。 ...

「AIが覚醒する魔法の言葉」は本当に効くのか — プロンプトエンジニアリングの実態と公式ガイドの教え @fit_youtubead 氏のポストが、Claude と ChatGPT で使える「魔法のプロンプト」を紹介し、大きな反響を呼んでいます。 「最高の専門家として、思考プロセスを分解し、初心者にも再現できる形で5ステップで出力してください」 これだけ。なぜ強いのか？理由は3つ。 役割を与える → AIの精度が跳ね上がる 思考を分解させる → 中身が薄くならない 再現性を指定する → 実用的で使えるアウトプットになる 確かに、雑な指示よりも構造化された指示の方が良い結果を得られるのは事実です。しかし「魔法の言葉」と呼ぶには、いくつか知っておくべきことがあります。本記事では、ツイートで紹介された3つのテクニックを、Anthropic と OpenAI の公式ガイドおよび研究論文に照らし合わせて検証します。 テクニック1: 役割を与える（ロールプロンプティング） 「最高の専門家として」のように、AI に特定の役割やペルソナを与えるテクニックです。 公式ガイドの見解 Anthropic はプロンプトエンジニアリングのベストプラクティスで、ロールプロンプティングを推奨テクニックの1つとして挙げています。「法律アドバイザー」「データアナリスト」「カスタマーサポート担当」のように、具体的な文脈に合わせてモデルの声とふるまいを調整する手法です。 OpenAI も公式ガイドでシステムプロンプトによる役割設定を推奨しています。 研究が示す実態 ところが、学術的な研究を見ると、ロールプロンプティングの効果は「場合による」というのが正確な答えです。 研究 結果 対象モデル Better Zero-Shot Reasoning with Role-Play Prompting AQuA データセットで精度が53.5%→63.8%に向上（+10.3pt） GPT-3.5 ExpertPrompting 詳細な専門家ペルソナが単純なペルソナを大幅に上回る 複数モデル When “A Helpful Assistant” Is Not Really Helpful 追加のペルソナは性能を向上させない 4モデルファミリー Persona is a Double-edged Sword GPT-4ではペルソナの有無で差は最小限 GPT-4 PromptHub の検証記事は、これらの研究を総合して以下のように結論づけています。 創作的なタスク（文体の調整、トーンの統一）では効果がある 精度ベースのタスク（分類、計算、ファクトチェック）では、新しいモデルほど効果が薄い 「天才ペルソナが愚か者ペルソナより劣る」という矛盾した結果も報告されている つまり、「専門家として」と付けるだけで「精度が跳ね上がる」わけではありません。効果があるのは、役割指定によってモデルの出力スタイルや視点が適切に制約されるケースです。 ...

「上位 1% の Claude Skills 構築方法」を技術的に読み解く — スキルの構造・設計パターン・組織展開 @sales_muscle 氏が X で投稿した、Claude Skills の構築ガイドが反響を呼んでいます。 上位1%のClaude Skills構築方法 投稿では、AI 活用の基準が「プロンプトのうまさ」から「AI にスキル（専門能力）を組み込み、組織の資産にできるか」へ移行したと主張しています。本記事では、この投稿の内容を Claude Code の公式ドキュメントと照らし合わせ、スキルの技術的な構造と実践的な設計パターンを掘り下げます。 Claude Skills とは何か プロンプトからスキルへの進化 投稿の核心は「指示（プロンプト）からスキルへ」という転換です。これは技術的に正確な指摘です。 従来の AI 活用: ユーザー → プロンプトを毎回書く → AI が回答 問題: 知識がチャットセッションに閉じる、再現性がない スキルベースの AI 活用: ユーザー → /skill-name で呼び出す → AI がスキルの手順に従って実行 利点: 再現性あり、共有可能、自動呼び出し対応 Claude Code 公式ドキュメントによると、スキルは「SKILL.md ファイルに指示を書き、Claude のツールキットに追加する」仕組みです。Claude は関連するタスクで自動的にスキルを読み込むか、/skill-name で直接呼び出せます。 スキルの技術的な定義 スキルは単なるプロンプトテンプレートではなく、以下の要素を持つ構造化されたモジュールです。 要素 役割 YAML フロントマター 名前、説明、呼び出し制御、許可ツールなどのメタデータ Markdown 本文 Claude が従う具体的な手順・ルール サポートファイル テンプレート、例、スクリプトなどの補助リソース 文字列置換 $ARGUMENTS、$0、${CLAUDE_SESSION_ID} などの動的値 スキルは Agent Skills オープン標準に準拠しており、Claude Code 固有の機能ではなく、複数の AI ツールで動作する標準仕様です。 ...

2 人で 100 人に勝つ — AI を「自分の分身」に変える実務活用の 6 つの原則 @taichi_we（長谷川氏 / Levela CTO）が「有益、AIの本質」とコメントして共有した、@sales_muscle（OneBiz / Levela）の投稿が注目を集めています。 ブックマーク 100 超、閲覧 3.5 万という反応は、「少人数で AI を使いこなし、大企業に匹敵する生産性を出す」というテーマへの関心の高さを示しています。本記事では、投稿で紹介された 6 つの原則を掘り下げつつ、2026 年の AI 活用の現実と照らし合わせます。 原則 1: 汎用 AI が専用 AI より優秀な理由 投稿の最初のポイントは、業務特化の SaaS ツールより Claude のような汎用 AI の方が優れているという主張です。 これは一見、直感に反します。専用ツールの方が精度が高いのでは? しかし、少人数チームの文脈では論理が逆転します。 専用 AI の限界: 業務ごとにツールが分断される（営業は A、経理は B、マーケは C） ツール間の連携が手動で発生する 各ツールの学習コストが積み重なる 「自分の判断基準」を各ツールに教え込む手間が N 倍になる 汎用 AI の強み: 1 つのインターフェースで全業務を横断できる 自分の思考プロセスを一度教えれば、全業務に適用される コンテキストが途切れない 少人数チームにとって最も貴重なのは「コンテキストスイッチのコスト」です。5 つの専用ツールを使い分けるより、1 つの汎用 AI に自分の判断基準を教え込む方が、トータルの生産性は高くなります。 原則 2: AI にスキルを覚えさせる — 思考プロセスの外部化 投稿の核心は「AI に自分のスキルを教え込む」ことです。これは単なるプロンプトエンジニアリングではなく、自分の思考プロセスの構造化と外部化を意味します。 ...

AI が書いた CLAUDE.md は逆効果 — 「コンテキストファイルの自動生成は精度を下げる」という研究 @at_sushi_（門脇敦司）氏が X で投稿した、AI 生成のプロンプトファイルに関する記事が注目を集めています。 CLAUDE.md のようなプロンプトファイルを AI に生成させると「逆に精度が下がる」という研究です。AI 文書は冗長で、AI 自身を混乱させます。では、どうすればいいのか？ というと、「本当に重要な情報だけを、開発者が書く」というのが現在の正解です 元記事は Zenn の解説記事で、ETH Zurich と LogicStar.ai の研究チーム（Gloaguen et al.）による論文「Evaluating AGENTS.md: Are Repository-Level Context Files Helpful for Coding Agents?」を日本語で紹介しています。本記事では、この研究の実験データを詳しく読み解き、CLAUDE.md / AGENTS.md の書き方への実践的な示唆を整理します。 研究の概要 — 何を検証したのか 背景 CLAUDE.md、AGENTS.md、CURSORRULES — これらの「コンテキストファイル」は、AI コーディングエージェントにリポジトリの慣習や制約を伝えるための指示書です。Anthropic、OpenAI、Cursor はいずれもこれらのファイルの作成を強く推奨しています。 しかし、「コンテキストファイルは本当にエージェントの性能を向上させるのか?」 という基本的な問いに対して、厳密な検証はこれまで行われていませんでした。 実験設計 ETH Zurich の研究チームは、3 つの条件で比較実験を実施しました。 条件 内容 なし（None） コンテキストファイルなし（ベースライン） LLM 生成 エージェント開発者の推奨に従い LLM に自動生成させたファイル 人間作成 開発者がリポジトリにコミットしたファイル 評価対象モデル: Claude Code（Sonnet 4.5）、Codex（GPT-5.2 / GPT-5.1 mini）、Qwen Code（Qwen3-30b-coder） ...

Claude Code / MCP を安全に使うための実践ガイド — settings.json の多層防御と deny の落とし穴 セキュリティ研究者のyousukezan氏（バグバウンティプログラムでランク1位受賞歴あり）が紹介した Zenn 記事「Claude Code / MCP を安全に使うための実践ガイド」が注目を集めています。165いいね、161ブックマークという反響は、Claude Code のセキュリティ設定に対する実務者の強い関心を示しています。 本記事では元記事の内容を掘り下げつつ、公式ドキュメントや GitHub Issues の情報を加えて、実務で本当に機能するセキュリティ設定を整理します。 背景 — 8桁後半の被害事例 この記事が書かれた背景には、AI コーディングツール経由で Google Ads の MCC が乗っ取られ、8桁後半の被害が発生した事例があります。報告された4つの攻撃ベクターは全て Claude Code / MCP の利用シーンで再現可能です。 攻撃ベクター Claude Code での該当リスク 間接プロンプトインジェクション Webページに埋め込まれた隠し指示をAIが実行 プロンプトサプライチェーン攻撃 外部から取得した CLAUDE.md / settings.json / .mcp.json の改ざん MCP権限悪用（Tool Poisoning） 許可済みMCPツールの悪意ある利用 クレデンシャルリーク トークンやAPIキーのログ・git履歴への残存 最も重要な3つの設定 元記事が推奨する最小限の設定は3つです。 1. bypassPermissions モードの無効化 1 2 3 4 5 { "permissions": { "disableBypassPermissionsMode": "disable" } } --dangerously-skip-permissions フラグは全ての承認プロンプトをスキップします。公式ドキュメントによると、このモードではClaude がファイルの削除、破壊的なコマンドの実行、不可逆な変更を承認なしで行えます。disableBypassPermissionsMode: "disable" で組織全体でこのモードを禁止できます。 ...

Claude Code サンドボックス完全解説 — chroot ではない、カーネルレベル隔離の仕組みと実践設定 「Claude Code のサンドボックスって、要するに chroot でしょ？」という誤解をよく耳にします。答えは明確にノーです。Claude Code のサンドボックスは chroot とは次元の異なるカーネルレベルの隔離機構で、ファイルシステムとネットワークの2層を OS プリミティブで強制します。 Anthropic のエンジニアリングブログによると、サンドボックスにより承認プロンプトが84%削減されました。セキュリティと生産性を両立する仕組みの全貌を、技術的な背景から実践設定まで解説します。 chroot との決定的な違い まず「chroot で十分か」という疑問に答えます。結論から言えば、chroot はセキュリティ対策として設計されていません。 隔離技術の比較 Practical CTF の解説を基に、主要な隔離技術を比較します。 技術 制限対象 脱出の容易さ 設計目的 chroot ファイルシステムのパス解決のみ 容易（root 権限で即脱出） 組織的なツール（セキュリティ目的ではない） seccomp システムコール 中程度（許可リストの漏れを突く） セキュリティ機構 namespaces プロセス、ネットワーク、マウント 困難（適切設定時） コンテナ隔離 Seatbelt ファイル、ネットワーク、IPC、プロセス 困難（カーネルレベル強制） アプリケーション隔離 chroot の脱出方法 chroot がセキュリティ対策に不十分な理由を具体的に示します。 カレントディレクトリ攻撃: chroot 実行時にカレントディレクトリが jail 外にあれば、相対パスで脱出可能 二重 chroot: 別の chroot を実行して前の制限を上書き ファイルディスクリプタ: jail 外で開かれた fd を経由してアクセス openat syscall: ディレクトリ fd を使って jail 外のファイルを操作 つまり chroot は「ルートディレクトリの表示を変えるだけ」であり、ネットワーク制限もシステムコール制限もありません。AI エージェントのサンドボックスとしては全く不十分です。 ...

MCP サーバーを増やしてもコンテキストを食わせない — Claude Code の Tool Search でトークン消費を95%削減 @djrio_vr 氏のポストが、Claude Code の MCP Tool Search 機能を紹介し、大きな反響を呼んでいます（いいね 418、ブックマーク 522）。 Claude Codeで登録してるMCPサーバが増えてくるとコンテキストがかなり食われてたけど、Tool Searchという必要な時だけ動的ロードするオプションをONにしたらめちゃくちゃコンテキスト節約になった！ 環境変数 ENABLE_TOOL_SEARCH=true と設定するだけ MCP サーバーを複数接続していると、会話を始める前からコンテキストウィンドウの大部分が消費されてしまう問題は、多くの Claude Code ユーザーが直面していました。本記事では、この問題の構造と Tool Search による解決策を技術的に解説します。 MCP ツール定義がコンテキストを圧迫する構造 なぜ MCP サーバーを増やすとコンテキストが減るのか Claude Code に MCP サーバーを接続すると、各サーバーが提供する全てのツール定義がコンテキストウィンドウに読み込まれます。ツール定義には、ツール名、説明文、JSON スキーマ（パラメータの型・制約・説明）が含まれており、1つのツールだけでも数百トークンを消費します。 [MCP サーバー接続時のコンテキスト構造] システムプロンプト ～数千トークン ├── Claude Code の指示 ├── CLAUDE.md の内容 └── ユーザー設定 ツール定義 ★ ここが問題 ├── 組み込みツール（Read, Edit, Bash 等） ├── MCP サーバー A のツール × 10個 ├── MCP サーバー B のツール × 15個 ├── MCP サーバー C のツール × 20個 └── ... 会話履歴 ← 残りがここに使われる ├── ユーザーのメッセージ └── Claude の応答 具体的な数値 GitHub Issue #3036 では、約20個の MCP サーバーを接続した環境で、開始時点からコンテキスト使用率が8〜18%に達し、わずか5プロンプトで100%に到達する現象が報告されています。 ...

AIコーディングツール導入でMCC乗っ取り被害 — Antigravity・Claude Codeの脆弱性とシャドーAI対策 広告運用の現場に衝撃が走っています。広告の裏側(@hassii_ad)氏のポストによると、ある代理店がAIコンサルの支援で Claude Code と Google Antigravity を導入した結果、Google Ads の MCC（マネージャークライアントセンター）アカウントが乗っ取られ、被害額は8桁後半に達したとのことです。 知り合いの代理店がとあるAI導入したらMCCが乗っ取られて桁違いの損害でてて震えた。こういうのこれから増えそうですね。 — 広告の裏側(@hassii_ad) 2026年2月17日 この事態を受けて、まな(@ADHDHSP249834)氏は「AIコンサルがClaude CodeとAntigravityの導入を進めたんですかね？その時点で大問題です」と指摘しています。 基本は3大LLMとCopilot程度に止めるべきです。またシャドーAI対策を進めていなかったことも想定されますね。セキュリティ対策をせずに、ローカルファイルにアクセスできるAIツールを導入するのはNGです！ — まな(@ADHDHSP249834) MCC乗っ取りの推定原因 @hassii_ad 氏は乗っ取りの原因として4つの可能性を挙げています。 原因 概要 悪意あるWebサイト指示 プロンプトインジェクションによりAIの動作を乗っ取る 配布プロンプトへの悪意ある指示混入 AIコンサルまたは社員が使用したプロンプトに仕込まれた攻撃 MCPツールの悪用 Model Context Protocol ツールを経由した不正操作 トークン流出 自動化過程でAPIトークンや認証情報が漏洩 特に深刻なのは、MCCが正規の権限で操作された場合、通常の操作と区別がつかず「補償は絶望的」という点です。Google Ads の MCC アカウントは複数の広告アカウントを一元管理する仕組みのため、一度乗っ取られると被害が連鎖的に広がります。 Google Ads のセーフガードはなぜ機能しなかったのか Google Ads には予算制限やセキュリティ機能が存在しますが、正規権限で操作された場合にはほとんど機能しません。 既存のセーフガード一覧 機能 内容 乗っ取り時に有効か 日予算の上限 1日の費用は日予算の2倍まで 攻撃者が日予算自体を変更可能 月間費用上限 月間費用は日予算 x 30.4 まで 同上 アカウント予算 アカウント全体の費用上限を設定可能。上限到達で全広告停止 攻撃者が上限を変更・解除可能 異常な予算変更の確認 大幅な予算変更時（例: $100→$1,000）に確認ダイアログ表示 UI操作のみ。API経由なら確認なし 不審なアクティビティの検知 Google が異常を検知すると一時的な日次支出制限を適用 「正規権限」の操作は異常と判定されにくい 自動ルール 一定額到達でキャンペーンを一時停止するルール設定が可能 攻撃者がルール自体を削除可能 セーフガードが無力化される理由 今回の事件の核心は、攻撃者が MCC の正規の管理者権限を取得している点です。 ...

Claude Code スキルで AI ワークフローを自動化する — Ralph Loop + YAML 宣言的定義の実践 kenfdev さん（@kenfdev）が、Claude Code のスキル機能を活用した AI エージェントのワークフロー自動化について、実践的な技術記事を公開しています。 Claude Code のスキルを中心に、AIエージェントのワークフローを自動化してみた話を書きました。 bash の while ループで claude -p を繰り返す Ralph Loop と、YAML でワークフロー定義を組み合わせて、plan → implement → review → finalize を自律的に回す仕組みです。 TAKTほどの精度には及ばないのですが、それなりに自分のワークフローでは活用できています。 — kenfdev (@kenfdev) 記事の核は「Ralph Loop」と「YAML ワークフロー定義」という 2 つの技術を Claude Code スキルで統合し、plan → implement → review → finalize を自律的に回す仕組みです。 Ralph Loop とは何か 起源 Ralph Loop（正式には Ralph Wiggum Loop）は、Geoffrey Huntley が考案した AI 開発自動化パターンです。名前はシンプソンズのキャラクターに由来しますが、仕組み自体は極めてシンプルです。 基本構造 1 2 3 4 5 6 7 while true; do result=$(claude -p "プロンプト") # 完了判定 if [[ "$result" == *"COMPLETE"* ]]; then break fi done bash の while ループで claude -p（ヘッドレスモード）を繰り返し呼び出す、たったこれだけです。-p フラグは Claude Code を非対話モードで実行し、結果を標準出力に返します。 ...