自分のコードをAIに攻撃させたら"守り"が全部ザルだった

faviconZenn
https://zenn.dev/smartvain/articles/ai-attacked-my-code-security-mostly-placebo
🔒 96
💬 35
先着人気新着➡️
himanahitodesukunセキリュリティはそこそこ意識してると言いつつ、データの所有権が適当とのお笑いコンテンツが出てきて話が入ってこない
2026/02/09 09:27

himanahitodesukun

セキリュリティはそこそこ意識してると言いつつ、データの所有権が適当とのお笑いコンテンツが出てきて話が入ってこない
2026/02/09 09:27🔗 リンク
n_y_a_n_t_aセキュリティ実装がともすれば実装する側の独りよがりになりがちというというのは分かっていたことではあってそのためのペネトレーションだが、それすらガチの攻撃者には及ばない時代だね
2026/02/09 09:49

n_y_a_n_t_a

セキュリティ実装がともすれば実装する側の独りよがりになりがちというというのは分かっていたことではあってそのためのペネトレーションだが、それすらガチの攻撃者には及ばない時代だね
2026/02/09 09:49🔗 リンク
nguyen-oiIDORはマジで「分かっちゃいるけど忘れる」の典型。人間が飽きる全件チェックをAIが黙々とやってくれるのは普通に有用だな
2026/02/09 09:53★★

nguyen-oi

IDORはマジで「分かっちゃいるけど忘れる」の典型。人間が飽きる全件チェックをAIが黙々とやってくれるのは普通に有用だな
2026/02/09 09:53🔗 リンク★★
shiketanotsunaそこそこ意識しているがこのレベルなら人類にはセキュリティは無理でしょ
2026/02/09 10:21

shiketanotsuna

そこそこ意識しているがこのレベルなら人類にはセキュリティは無理でしょ
2026/02/09 10:21🔗 リンク
enikumaxこれはとても良い反省。偉い。
2026/02/09 10:42★★★★★★

enikumax

これはとても良い反省。偉い。
2026/02/09 10:42🔗 リンク★★★★★★
Futaro99コレでやってるつもりと言われましても…/とは言え程度の差なんだろうな
2026/02/09 10:50

Futaro99

コレでやってるつもりと言われましても…/とは言え程度の差なんだろうな
2026/02/09 10:50🔗 リンク
lainof流石に個人開発の話だよね??企業で開発してるならこの人だけじゃなく、レビューやテストした人のレベルもヤバい。
2026/02/09 11:17

lainof

流石に個人開発の話だよね??企業で開発してるならこの人だけじゃなく、レビューやテストした人のレベルもヤバい。
2026/02/09 11:17🔗 リンク
beejagaこのレベルだとAI関係なく、単に認証と認可の違いとかセキュリティの基本を分かってなかっただけの素人でした、としか読めないので、最新の攻撃に耐えられなかったとかエモな感じが欲しい
2026/02/09 11:18★★★★

beejaga

このレベルだとAI関係なく、単に認証と認可の違いとかセキュリティの基本を分かってなかっただけの素人でした、としか読めないので、最新の攻撃に耐えられなかったとかエモな感じが欲しい
2026/02/09 11:18🔗 リンク★★★★
hogeaegxaAIエージェントに自分のサービス攻撃させよう!っていう結論自体は、これからはむしろ公開前の最低ラインになると思うのでいいと思う/shannonのリンク先404だけどKeygraphHQな奴に移動したのかね
2026/02/09 12:09★★★★★★★

hogeaegxa

AIエージェントに自分のサービス攻撃させよう!っていう結論自体は、これからはむしろ公開前の最低ラインになると思うのでいいと思う/shannonのリンク先404だけどKeygraphHQな奴に移動したのかね
2026/02/09 12:09🔗 リンク★★★★★★★
makou冒頭を"セキュリティちゃん"と読んでしまったせいで、妙な部分に感情移入してしまう。
2026/02/09 12:29

makou

冒頭を"セキュリティちゃん"と読んでしまったせいで、妙な部分に感情移入してしまう。
2026/02/09 12:29🔗 リンク
ochikunこれって、単なる実験ではなく、現実でも起こりうるってわけでしょ?もう起こってるのかな?
2026/02/09 12:49

ochikun

これって、単なる実験ではなく、現実でも起こりうるってわけでしょ?もう起こってるのかな?
2026/02/09 12:49🔗 リンク
Angelfish3578OWASPのチェックリストを上から順に潰したと言ってるけど、知識だけで実践が身についてない(もしくは元々無い)の良い例。こういうのをshannonみたいな自動AIで潰せるのは良いと思う。
2026/02/09 12:57

Angelfish3578

OWASPのチェックリストを上から順に潰したと言ってるけど、知識だけで実践が身についてない(もしくは元々無い)の良い例。こういうのをshannonみたいな自動AIで潰せるのは良いと思う。
2026/02/09 12:57🔗 リンク
sakidatsumono試したい
2026/02/09 13:51

sakidatsumono

試したい
2026/02/09 13:51🔗 リンク
TakayukiN627「shannon」という自律型AIハッキングツール、Snyk入れろ、SonarQube入れろ
2026/02/09 13:54

TakayukiN627

「shannon」という自律型AIハッキングツール、Snyk入れろ、SonarQube入れろ
2026/02/09 13:54🔗 リンク
dgenセキュリティー詳しくない私でも、最初の「ログインしたら誰にでもちょっかい出せる」のところで察した。
2026/02/09 14:20

dgen

セキュリティー詳しくない私でも、最初の「ログインしたら誰にでもちょっかい出せる」のところで察した。
2026/02/09 14:20🔗 リンク
natu3kan北朝鮮もソーシャルエンジニアリングにAIを活用してるご時世
2026/02/09 14:32

natu3kan

北朝鮮もソーシャルエンジニアリングにAIを活用してるご時世
2026/02/09 14:32🔗 リンク
suka6411144このレベルの知識の人が実務に携わってると流石に思いたくないけど個人開発とかだよね…?
2026/02/09 14:56

suka6411144

このレベルの知識の人が実務に携わってると流石に思いたくないけど個人開発とかだよね…?
2026/02/09 14:56🔗 リンク
mr_mayamaこの基本的な技術力の無さを見抜ける人事・外注選定が必要なんだけど難しいんだろうなぁ。中身は他の人が言ってるのでもう言わないけど、これをネットの海に公開して人的危険を周知してくれたことには感謝
2026/02/09 15:14

mr_mayama

この基本的な技術力の無さを見抜ける人事・外注選定が必要なんだけど難しいんだろうなぁ。中身は他の人が言ってるのでもう言わないけど、これをネットの海に公開して人的危険を周知してくれたことには感謝
2026/02/09 15:14🔗 リンク
dorapon2000“これ、SQLインジェクションでもXSSでもない。OWASPのチェックリストで真っ先に出てくる「Broken Access Control」なのに、僕は完全に見落としていた。”
2026/02/09 15:21

dorapon2000

“これ、SQLインジェクションでもXSSでもない。OWASPのチェックリストで真っ先に出てくる「Broken Access Control」なのに、僕は完全に見落としていた。”
2026/02/09 15:21🔗 リンク
jintrick「自分のコードを攻撃するAIエージェントを、開発プロセスに組み込む」
2026/02/09 15:24

jintrick

「自分のコードを攻撃するAIエージェントを、開発プロセスに組み込む」
2026/02/09 15:24🔗 リンク