セキュリティ
要約済み 11
-
hf-blog 3日前 3SafetensorsがPyTorch Foundation傘下に、標準化加速へSafetensors is Joining the PyTorch Foundation
Hugging Face発のモデル重み保存形式SafetensorsがPyTorch Foundationへ移管された。 Pickleと異なり任意コード実行不可・ゼロコピー読込対応で、安全性と速度を両立する形式。 ベンダー中立のガバナンス下でPyTorchコア統合やFP8量子化対応が計画され、業界標準化が進む。
解説 SafetensorsはPickleベースの危険な重み形式を置き換える目的で普及し、Hugging Face Hub上の数万モデルで標準採用されている。今回のPyTorch Foundation移管により、単一企業プロジェクトからベンダー中立のエコシステム基盤へ昇格した。PyTorchコアのシリアライゼーション標準化、CUDA/ROCm直接ロード、テンソル並列対応が予定されており、vLLMやDeepSpeedなど推論・学習基盤との統合が加速する。開発者にとってはモデル配布・ロードの安全性と速度が業界標準として保証される意義がある。 -
openai-news 5日前 3OpenAI、サプライチェーン攻撃を受け証明書を緊急更新Our response to the Axios developer tool compromise
OpenAIはAxios開発者ツールのサプライチェーン攻撃を受け、macOSコード署名証明書をローテーションした。 アプリケーションを即座に更新し、ユーザーデータへの侵害がないことを確認・公表。 AI開発ツールのサプライチェーンリスクが改めて浮き彫りとなった。
-
google-blog-ai 29日前 3GoogleがAI時代のOSSセキュリティ強化に本格投資Our latest investment in open source security for the AI era
GoogleはAIを活用したオープンソースセキュリティへの新たな投資計画を発表した。 AI駆動のセキュリティツール導入でOSSの脆弱性検出・対応を自動化・高速化する。 セキュリティコミュニティとの連携強化により、AI時代のソフトウェア供給網防御に貢献。
-
openai-news 1ヶ月前 3OpenAI、SAST不使用のAIセキュリティ分析手法を公開Why Codex Security Doesn’t Include a SAST Report
OpenAIのCodex Securityは従来の静的解析(SAST)を採用せず、AI駆動の制約推論で脆弱性を検出する。 誤検知を大幅に削減し、実際の脆弱性発見精度を高める独自のアプローチを採用。 従来ツールの限界を超える高精度なセキュリティ解析として開発者の注目を集めている。
-
openai-news 1ヶ月前 3OpenAI、AIエージェントのプロンプトインジェクション対策手法を公開Designing AI agents to resist prompt injection
OpenAIがChatGPTエージェントをプロンプトインジェクション攻撃から守る設計手法を公開。 リスクの高い操作の制限・機密データ保護・ソーシャルエンジニアリング耐性が柱。 エージェント開発者にとって実装指針となる安全設計のベストプラクティス集として注目。
-
anthropic-news 1ヶ月前 4AnthropicとMozilla、AIでFirefoxの脆弱性22件を発見Partnering with Mozilla to improve Firefox’s security
AnthropicとMozillaが連携し、Claude Opus 4.6がFirefoxのC++コード約6000ファイルをスキャン、22件の脆弱性を発見した。 うち14件が高深刻度と分類され、Firefox 148.0で数億人のユーザーに修正が配信された。 AI支援の脆弱性研究が防御側に有利であることを示す事例として、業界に大きな示唆を与える。
-
anthropic-news 1ヶ月前 4Anthropic、中国系AIによる大規模蒸留攻撃を検知・公表Detecting and preventing distillation attacks
AnthropicがDeepSeek・Moonshot・MiniMaxによるClaudeへの大規模な不正蒸留攻撃を検知・公表した。 約2.4万の不正アカウントが1600万回超のやり取りを通じてモデルの能力を無断抽出していた。 安全装置を持たないモデルの拡散を国家安全保障リスクと位置づけ、業界全体の警戒を促す。
-
anthropic-news 1ヶ月前 4Anthropic、AI脆弱性検出ツールを防御者向けに開放Making frontier cybersecurity capabilities available to defenders
AnthropicがClaude Code Securityの限定プレビューを発表、コードの脆弱性を自動検出・修正提案。 静的解析では見逃す複雑なロジック欠陥やアクセス制御問題をAIの多段階検証で発見。 Enterpriseプラン顧客とOSSメンテナーが対象で、全修正に人間の承認を必須とする安全設計。
-
anthropic-news 5ヶ月前 4AnthropicがAI主導の中国系サイバー諜報を阻止Disrupting the first reported AI-orchestrated cyber espionage campaign
中国系とみられる脅威アクターがClaudeを悪用し、30の国際標的へサイバー諜報を実行したことが判明。 AIが作業の80〜90%を自律処理し、人間の介入が最小限という前例のない攻撃手法が確認された。 Anthropicは10日間でアカウント停止・当局連携・検知強化を実施し、AI安全対策の重要性を示した。
-
anthropic-engineering 5ヶ月前 4AnthropicがClaude Codeにサンドボックス機能を導入Beyond permission prompts: making Claude Code more secure and autonomous
Anthropicは、Claude Codeにファイルシステム・ネットワーク分離の2層サンドボックス機能を追加した。 OS標準機能を活用した実装で許可プロンプトを84%削減しつつ、安全性を維持。 Web版ではクラウド上の隔離環境でコードを実行でき、自律エージェント利用の安心感が高まる。
-
stability-blog 8ヶ月前 3Stability AI、エンタープライズ向けセキュリティ認証を取得Stability AI Achieves SOC 2 Type II and SOC 3 Compliance, Reaching New Industry Standard for Enterprise-Grade Security
Stability AIがSOC 2 Type IIおよびSOC 3のセキュリティコンプライアンス認証を取得した。 独立監査機関による厳格な審査を経て、データ管理・セキュリティ体制の高水準が証明された。 企業顧客が安心してAI画像生成サービスを導入できる環境が整い、商用展開が加速する見込み。
解説 Stability AIは、独立した第三者機関による監査を経て、SOC 2 Type IIおよびSOC 3のセキュリティコンプライアンス認証を取得したと発表した。SOC 2(Service Organization Control 2)は、米国公認会計士協会(AICPA)が定めるセキュリティフレームワークで、クラウドサービスプロバイダーのデータ管理・セキュリティ体制を評価するもの。Type IIは特定時点の設計評価にとどまるType Iと異なり、6〜12か月以上にわたる運用実績を監査するより厳格な認証であり、継続的なセキュリティ管理の有効性が証明される。SOC 3はSOC 2の概要版で、一般公開可能なレポートとして企業の信頼性を広くアピールできる。この認証取得により、金融・医療・官公庁などセキュリティ要件の高い業界の企業がStability AIの画像生成・生成AIサービスを採用しやすくなる。AI企業がエンタープライズ市場へ本格参入するうえで、こうしたコンプライアンス認証は競合との差別化要素となっており、OpenAIやAnthropicなど他社も同様の認証を保有している。開発者・IT担当者にとっては、調達審査やリスク評価の通過が容易になるという実務的なメリットがある。