「Ghostcommit」、画像にプロンプトインジェクションを隠しAIエージェントを欺いて機密情報を窃取
研究者らは、AIコードレビューアーが決して開かないPNG画像の中に悪意ある指示を隠すことで、リポジトリの機密情報を盗み出すプルリクエストを作成しました。 レビューアーはこの変更を問題なく通過させます。その後、コーディングエージェントがこの画像を読み込み、リポジトリの.envファイルを開き、すべてのキーを一見無害な数値
研究者らは、AIコードレビューアーが決して開かないPNG画像の中に悪意ある指示を隠すことで、リポジトリの機密情報を盗み出すプルリクエストを作成しました。 レビューアーはこの変更を問題なく通過させます。その後、コーディングエージェントがこの画像を読み込み、リポジトリの.envファイルを開き、すべてのキーを一見無害な数値
Anthropicは、Claude Codeターミナルツール向けに専用のセキュリティガイダンスプラグインを公開した。これによりリアルタイムかつセッション内での脆弱性検出と修正が可能となり、コードがプルリクエストに到達する前にセキュリティをシフトレフトできる。 このプラグインは現在、すべてのClaudeプランの全ユーザ
Anthropicは、AIが生成したコードをセッション内で継続的にレビューし、プルリクエストやCIパイプラインに到達する前にセキュリティ脆弱性を検出・修正する無料のClaude Codeターミナルプラグイン「security-guidance」を公開しました。 多層防御戦略における軽量かつ強力なレイヤーとして設計され