サプライチェーン攻撃

AI(企業向け)

AIエージェントの「逆シリアライゼーション攻撃」対策ガイド【2026年版】——pickle・joblib・モデルファイル経由の任意コード実行と、Safetensors移行・CI/CDスキャン・サンドボックス分離による3層防御設計

Hugging Faceで公開されている学習済みモデルをダウンロードし、torch.load()やjoblib.load()でロードした瞬間に、攻撃者のシェルが起動する——。これはフィクションではなく、2025年2月にReverse En...
2026.04.20
AI(企業向け)
AI(企業向け)

AIエージェントの「バックドア・モデル」検知ガイド【2026年版】——Hugging Face・Ollama Library・ClawHubから取得したオープンモデルに仕込まれた「スリーパーエージェント」の検出手法とモデル検証パイプライン構築

ChatGPT、Claude、Geminiといったクラウド型AIの利用が進む一方、「機密情報を外部に送らない」「コストを抑える」「独自ドメインに特化させる」といった理由から、Hugging Face Hub・Ollama Library・...
2026.04.17
AI(企業向け)
AI(企業向け)

OWASP「Agentic Skills Top 10」完全解説——AIエージェントの”行動層”を守るセキュリティガイド【2026年版】

はじめに——AIエージェントの「スキル」が狙われている Claude Code、Cursor、OpenClaw——2026年に入り、AIエージェントが自律的にタスクを実行する「エージェンティックAI」の導入が急拡大しています。これら...
2026.04.11
AI(企業向け)
AI(企業向け)

AIエージェントの「サプライチェーン攻撃」実例と防御ガイド【2026年版】——ClawHub悪意あるスキル1,184件・TeamPCPによるTrivy/Checkmarx/LiteLLM連鎖侵害・Claude Code RCE脆弱性から学ぶ「信頼していたツールが汚染される」リスクと中小企業の防御策

はじめに——「信頼していたツールが汚染される」時代が来た 「脆弱性スキャナを入れているから大丈夫」「公式マーケットプレイスから入れたツールだから安全」——2026年3月、そんな常識が根底から覆される事件が立て続けに発生しました。 ...
2026.03.26
AI(企業向け)
AI入門

AIエージェントの「シャドーツール接続」リスク管理ガイド【2026年版】——従業員が勝手にMCPサーバー・Zapier・Make・ブラウザ拡張を繋いだとき何が起きるか

はじめに——「シャドーAI」の次に来る、もっと厄介な問題 「従業員が勝手にChatGPTを使っている」——このいわゆるシャドーAI問題は、すでに多くの企業で認識されています(シャドーAI対策ガイドで詳しく解説しています)。 し...
2026.03.23
AI入門
AI(企業向け)

MCPサーバーセキュリティ完全ガイド【2026年版】ツールポイズニング・CVE事例・CoSAI白書に基づく実践的安全設定

はじめに——「便利だから繋ぐ」が最大のリスクになる時代 MCPサーバー(Model Context Protocol)は、AIエージェントとデータソースやツールをつなぐ「AIの標準インターフェース」として急速に普及しています。Cla...
2026.03.03
AI(企業向け)
AI(企業向け)

AIサプライチェーン攻撃入門——「使っているAIツール自体が汚染されている」リスクと中小企業の対策【2026年3月版】

はじめに——「使っているAIツール、本当に安全ですか?」 「プロンプトインジェクション」「フィッシング」——AIセキュリティの話題では、これらの攻撃手法がよく取り上げられます。しかし2026年、もうひとつ知っておくべき重大なリスクが...
2026.03.03
AI(企業向け)
タイトルとURLをコピーしました