CVE MCP Server Turns Claude Into a Fully Capable Security Analyst With 27 Tools Across 21 APIs A new open-source project called CVE MCP Server is redefining how security teams triage vulnerabilities, transforming Anthropic’s Claude AI into a fully capable security analyst by giving it direct, correlated access to 27 intelligence tools spanning 21 external APIs all through a single natural-language

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

2026年4月に社内セミナーで発表したAIセキュリティ・安全性分野の資料です。 国内外の生成AIセキュリティの最新動向、およびNTTドコモビジネスで提供中のサービスである「chakoshi」を紹介しています。

AIセキュリティプラットフォーム「MODEL SAFE」を開発する株式会社MONO BRAIN（本社：東京都渋谷区、代表取締役：加藤 真規）は、企業で利用されるAIツールにおいて実際に発生したインシデントを分析した最新レポート「AIツール活用におけるセキュリティ事故 8選（2026年4月版）」を公開しました。 ■ 背景：AIツールの普及が「新たな攻撃面」を生み出している M365 CopilotやChatGPT、GitHub CopilotなどのAIツールは、業務効率を飛躍的に向上させる一方で、従来のセキュリティ設計では想定されていなかった新たな攻撃経路を生み出しています。 本レポートで分析した事例では、単なる脆弱性ではなく、 外部連携（OAuth / API） 権限設計の不備 プロンプトインジェクション といった「設計・運用レベルの問題」が、重大な事故に直結していることが明らかになりまし

この記事は約5分で読めます。 筆者プロフィール: ソフトウェアエンジニア。「知った気にならない。いつまでも学び続ける」を信条に、業務と個人開発の両輪で技術を磨いています。AI 駆動開発で複数の個人開発アプリを構築・運用中。 👉 ポートフォリオ: 筆者ホームページ Claude Code を使い始めたけど、毎回同じ指示を書いていませんか？ CLAUDE.md・Skills・Hooks・Agents の 5 段階で「育てる」ことで、人間の作業は「指示と確認だけ」になります。この記事では、実際のファイル構成とコードを添えて、その全過程をお見せします。 「AI にコードを書かせている」と「AI と開発している」は違う Claude Code を導入した当初、私は毎回こんなプロンプトを書いていました。

2026-03-06: 🚀 VibeVoice ASR is now part of a Transformers release! You can now use our speech recognition model directly through the Hugging Face Transformers library for seamless integration into your projects. 2026-01-21: 📣 We open-sourced VibeVoice-ASR, a unified speech-to-text model designed to handle 60-minute long-form audio in a single pass, generating structured transcriptions containing

【Harness Engineering入門】AIエージェントを制御するアプローチの登壇資料となります。 https://findy.connpass.com/event/388471/

追記: セキュリティ監査の仕事がAIに代替されるということを言いたいわけではありません。監査でのチェックに含める項目など、セキュリティがやっていることの全般的な枠組みに変革を余儀なくされるということを書いています。ぜひ最後までお読みいただき、奇譚なき意見をください。 2026年4月、AnthropicはClaude Mythos Previewを公開した。このモデルは数千件のゼロデイを自律的に発見したと報告され、Mozilla Firefox 150はこのモデルで発見された271件の脆弱性を一括パッチした。一方でAI自動ペンテスト企業XBOWはHackerOneのリーダーボードを席巻している。セキュリティ業界は数年以内に、「コードの脆弱性を見つける」という課題をほぼ自動化可能な問題に変えるだろう。しかし、この事実はセキュリティ業界にとって勝利ではない。むしろ、いま売られているセキュリティ商

はじめに この記事は、先日Rehab for JAPANのエンジニア月次定例で話した内容の外向け版です。社内向けに用意したスライドをもとに、要旨をあらためて整理し直しました。 テーマは「これからのITエンジニア」。AIコーディングが実務で使えるものになってきた今、エンジニアの仕事は「コードを書く人」から「AIとプロダクトを動かし、成果に責任を持つ人」へと、少しずつ移り始めているのではないか、という話です。 話しながら、自分自身にも同じ問いを投げかけているような感覚がありました。「このままの働き方でいいのか」を、個人と組織の両方に置いてみた、という位置付けに近いと思います。似たような迷いのなかにいるエンジニアやテックリード、EM、CTOの方に、少しでも参考になればと思い公開することにしました。やや長めですが、気が向いたタイミングで読んでもらえればと思います。 AIコーディングは、もう「補助」

社内のチームメンバー(クラウド事業本部コンサルティング部)向けに 「 Claude Code を安全に使おう勉強会 」を開催しました。 Claude Code をセキュアに使う上での、 基本的な考え方や権限/サンドボックス機能の紹介、簡単なデモを実施しました。 DevelopersIO向けに調整したスライドを掲載します。 以下勉強会で連携した設定サンプルです。 Claude Code を安全に使おう勉強会: 補足資料 - Gist スライドの内容:テキスト情報を以降に記載します。参考になれば幸いです。 イントロ 勉強会の目的やアジェンダ、スコープについて話します。 勉強会の目的 Claude Code (に限らず、AIエージェント) はとても便利です。 しかしリスクもあり、暴走もします。 この勉強会では、 Claude Codeが適切な範囲で適切に動けるような、 ガードレールの敷き方 を学

はじめに ここ最近、Xのおすすめに表示される投稿を見ていると、Claude Codeのノウハウを非エンジニア向けにまとめた記事をよく目にするようになりました。非エンジニアの方からも「Yesを連打するのが少し怖いが、これは大丈夫なのか」という相談を受けることが増えてきたので、Anthropic公式ドキュメントの記載を根拠にしつつ、個人でも組織でもすぐ使える「セキュリティ設定の完全網羅版」としてまとめてみました。 みんなに愛されたClaude Code Claude Codeの初期リリースは2025年2月24日で、当初はエンジニア・プログラマーの間で話題になっていました。ただ、この時点ではセキュリティ面への懸念から、業務プロジェクトへ本格的に導入する動きは限定的な印象でした。 かなり広まったのは、同年5月にリリースされたClaude 4（Opus 4 / Sonnet 4）のタイミングだと思っ

1. はじめに 2. npmサプライチェーン攻撃の系譜 2-1. サプライチェーン攻撃とは 2-2. 代表的な攻撃手法 悪意あるパッケージの新規公開 タイポスクワッティング ディペンデンシーコンフュージョン 既存パッケージの改ざん 2-3. 取り込まれた後の動作 2-4. 起こり得る被害 3. スロップスクワッティングとは 4. 日頃の対策 4-1. インストール前にパッケージ情報を確認する 4-2. ライフサイクルスクリプトの実行を無効化する 4-3. すぐに新しいバージョンにアップグレードしない 4-4. lockfile とバージョン固定 4-5. 継続的に依存関係を監視する 4-6. 認証情報を必要最小限に 4-7. AI活用時の追加の注意 5. 発覚した場合の対応 6. まとめ 参考 1. はじめに こんにちは！株式会社ｉｉｍｏｎでエンジニアをしている遠藤です。 AIが実在しない

サイバーセキュリティチェックリストは、多くの組織で整備されています。企業内でセキュリティ対策を一定の水準に保つために業種横断的かつ多様な製品・システム・サービスに適用可能なチェックリストを整備しようとすると、チェック項目として確認すべき対象範囲や責任範囲が自然と広くなります。また参照先のガイドライン更新や開発現場等からの要求に応じたチェック項目の増加、それに伴ってチェック観点が曖昧になりやすい状態となる可能性があります。その結果、チェックリストを埋めることが目的となってしまい、本来の目的に対して十分に機能しなくなることで形骸化するケースも少なくありません。 特にSaaSのようなクラウドサービス、ソフトウェア製品、IoT機器など多様な提供形態が混在する環境では、どのチェック項目をどこまで適用すべきか、また誰の責任範囲なのかが不明確になりやすく、チェックリストの実効性が低下しやすくなります。

AI の技術記事は食傷気味なんですが、さすがにこれは効くと思ったパターンを見つけたので紹介します。 tl;dr プロンプト (skill / slash command) を書いた直後は「これで伝わるはず！」と思うのに、別のセッションで使うと暗黙知が不足していて、再現性がなくなる 思い込みは当人に修正できないバイアスなので、別の AI に実際にやらせて詰まった箇所をレポートさせる これを繰り返す。プロンプトが段階的に洗練される (TDD のテストと同じ位置づけ) 実際に手元 8 個の skill で試して、初稿 50 点が (AI 主観で) 80〜90 点まで上がった。ただし、モデルを変えての評価してないので、過剰に適応している可能性はある。 自分が書いたプロンプトを評価していますか? 自分は大学時代に暗黙知の研究をしていたのだが、世の人々は主観バイアスを過小評価している。また、AIは人間

Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO

Claude Codeで実際に起きたセキュリティ事故7選と防止策 「Claude Code は便利だけど、なんとなく怖い」——この感覚は正しいです。強力なツールは強力な事故を起こします。実際に開発現場で起きがちなケースを7つ取り上げ、原因と防止策を解説します。 事例1: .env ファイルをGitHubにプッシュ 「CI に環境変数を渡したいので .env もコミットして」という指示で、Claude Code が素直に git add .env && git commit を実行。数分でクローラーが APIキーを検出。 防止策: .gitignore に追加 + Hookでコミット前チェック // .claude/settings.json { "hooks": { "PreToolUse": [ { "matcher": "Bash(git add*)", "hooks": [{ "ty

先日、zennの記事にて紹介したセキュリティアラートに関する分析を担うAIエージェント Warren のハーネスエンジニアリングについて社内で共有したところ、思いの外盛り上がったので記事にしてみました。一般的な生成AIエージェントの話だけでなくセキュリティ分析に特化した話も織り交ぜていますが、何かのご参考になれば幸いです。 今回対象となるWarrenは各サービス・監視装置から受け取ったアラートを分析するための生成AIエージェントになります 前提：ハーネスエンジニアリングとは 一般的な定義 ハーネスエンジニアリングという言葉は、2026年2月のMitchell Hashimoto氏の記事を契機に広まりました。Mitchell氏はこれを「エージェントが一度したミスを、次からは繰り返さないように仕組み化すること」と定義しており、具体的にはプロンプトの修正と手順のツール化の2つを示しています。 た