Primary Sources Only

Tech / AI ニュース

まとめでも翻訳でもない。公式発表を、AIが日本語でわかりやすく。

トピック: security解除

Node.js 22.23.0リリース、TLS・WebCryptoの高深刻度CVEを含む11件のセキュリティ修正

Node.js重要度 952026/6/18

ワンポイントNode.js 22系にTLS等の高深刻度含む11件のCVE修正が公開

Node.js公式が2026年6月18日、LTS版22系の最新セキュリティリリース「v22.23.0(Jod)」を公開しました。TLSのホスト名検証やWebCryptoの出力長チェックなど、Highと判定された2件を含む合計11件のCVEが修正されています。nghttp2やopenssl、llhttp、undiciなどの依存ライブラリも更新されています。

Node.js 24.17.0 'Krypton' (LTS) リリース、TLSやWebCryptoなど11件のCVEを修正するセキュリティアップデート

Node.js重要度 952026/6/18

ワンポイントNode.js 24.17.0、TLSホスト名検証など11件のCVEを一挙修正

Node.js公式が24.17.0(LTS、コードネーム'Krypton')をリリースしました。TLSのホスト名検証やWebCryptoの出力長チェックなど、深刻度Highを含む合計11件のCVEを修正するセキュリティ専用リリースです。あわせてOpenSSLやnghttp2などの依存ライブラリも更新されています。

Node.js v26.3.1がリリース、TLSやWebCryptoなど11件のセキュリティ脆弱性を修正

Node.js重要度 952026/6/18

ワンポイントNode.js v26.3.1でTLS・WebCryptoなど11件のCVEを一斉修正

Node.js公式が2026年6月18日にセキュリティリリースとしてv26.3.1(Current)を公開しました。深刻度Highの2件を含む合計11件のCVEが修正されており、TLSのホスト名検証やWebCryptoの出力長、HTTP/2のメモリ肥大化などが対象です。依存ライブラリのllhttp・undici・OpenSSLも更新されています。

CodeQL 2.26.0がKotlin 2.4.0対応とAIプロンプトインジェクション検出を追加

GitHub Changelog重要度 652026/7/10

ワンポイントCodeQLがAIプロンプトインジェクション検出に対応

GitHubは静的解析エンジンCodeQLの最新版2.26.0をリリースしました。GitHub code scanningの基盤であるCodeQLが新たに**Kotlin 2.4.0**をサポートし、**AIプロンプトインジェクション**を検出する機能が加わりました。詳細なクエリ内容は公開情報が限られていますが、主要な変更点は以上の2点です。

MosaicLeaks: 研究エージェントは秘密を守れるか? — Hugging Faceブログの新記事

Hugging Face Blog重要度 652026/6/18

ワンポイント原文本文が未提供のため詳細不明、続報待ち

Hugging Face公式ブログに「MosaicLeaks: Can your research agent keep a secret?」というタイトルの記事が公開されましたが、本記事作成時点で参照できた原文には本文テキストが含まれておらず、具体的な内容を確認できませんでした。タイトルからは、AI研究エージェントが機密情報や秘匿すべきデータをどのように扱うかというセキュリティ・プライバシー観点の考察が想定されます。

pnpm 10.34.4、設定ファイル経由の複数のパストラバーサル脆弱性を修正

pnpm重要度 852026/6/18

ワンポイントpnpm 10.34.4、設定ファイル悪用のパストラバーサル脆弱性を修正

pnpmの最新パッチ版10.34.4がリリースされ、pnpm-workspace.yamlやlockfileのエイリアスを悪用したパストラバーサル攻撃を防ぐセキュリティ修正が複数含まれました。また.npmrcの警告メッセージが引き起こしうるコマンドインジェクションのリスクも解消されています。悪意あるリポジトリを`pnpm install`した際の被害範囲を狭める内容です。

Google Cloud、2026年6月22日リリースノートを公開 ─ Apigeeの大規模セキュリティ修正やCUD推奨のGA化など

Google Cloud Blog重要度 652026/6/22

ワンポイントGPU・SSD・OSライセンスのCUD推奨機能がGA化

Google Cloudが2026年6月22日付のリリースノートを公開しました。Apigee Xの多数のCVE修正、Compute EngineとCloud BillingにおけるCUD推奨機能のGA化、Cloud SQLのCMEK対応バックアップGA、Looker 26.10やGemini Enterprise Agent Platformの新機能など、多くのサービスに更新が及んでいます。

GitHub、LLMによる文脈検証でSecret Scanningの誤検知を75.76%削減と発表

GitHub (Bluesky)重要度 722026/6/20

ワンポイントLLM文脈検証でSecret Scanningの誤検知を75.76%削減

GitHubは公式Blueskyアカウントで、共同研究によりLLMベースの文脈検証がSecret Scanningのアラート品質を向上させ、誤検知(false positive)を75.76%削減できたと発表しました。アラートの「量」よりも「質」が重要だという観点からの研究成果です。

Vercel、OIDCトークンのカスタムAudienceに対応 サードパーティ連携の安全性を強化

Vercel Blog重要度 652026/6/23

ワンポイントOIDCトークンのaudienceをデプロイごとに交換可能に

VercelのOIDC発行サービス(oidc.vercel.com)が、トークンのaudienceクレームをデプロイごとにカスタマイズできる新機能を発表しました。従来は固定audienceだったOIDCトークンを、追加インフラなしで外部サービス向けに安全に変換できるトークン交換エンドポイントが追加されています。

tech/ai news

CloudflareがImagesバインディングの再設計中にhyperライブラリのバグを発見

Cloudflare Blog重要度 652026/6/22

ワンポイントCloudflareがImages再設計中にhyperの複数バージョンに潜むバグを発見

Cloudflareは自社のImagesバインディングをアーキテクチャから見直す作業の中で、Rust製の人気HTTPライブラリ「hyper」に潜んでいたバグを偶然発見しました。このバグは複数のメジャーバージョンにわたって存在していたとされています。

Prometheus 3.13.0-rc.1公開、CI移行トラブルの修正とライセンス表示方式の変更

Prometheus重要度 722026/6/22

ワンポイントリダイレクト時の認証情報漏えいを修正、CVE対応も同時収録

Prometheusの次期メジャーバージョン候補3.13.0-rc.1がリリースされました。前段のrc.0がNPMからPNPMへの移行に伴うCI問題で完全公開に至らなかったため、rc.1はそのビルド周りの修正が中心です。ユーザー向けの変更点としてはサードパーティライセンスの配布方法が1件変わっており、あわせて未公開だったrc.0のセキュリティ修正やPromQLの新機能もまとめて紹介します。

tech/ai news

OpenAIが「Patch the Planet」を発表、AIとエキスパートでOSSの脆弱性対応を支援

OpenAI News重要度 752026/6/22

ワンポイントOpenAIがAI×専門家レビューでOSS脆弱性対応を支援する新施策

OpenAIは、オープンソースのメンテナーが脆弱性を発見・検証・修正できるよう支援する新しい取り組み「Patch the Planet」を発表しました。これはOpenAIの「Daybreak」イニシアチブの一環で、AIと専門家によるレビューを組み合わせる点が特徴です。詳細な仕組みや対象範囲についてはまだ限られた情報しか公開されていません。

tech/ai news

OpenAIが「Daybreak」を発表、Codex SecurityとGPT-5.5-Cyberで脆弱性対応を自動化

OpenAI News重要度 752026/6/22

ワンポイントOpenAIが脆弱性対応を支える新ツール「Daybreak」を発表

OpenAIは新たなセキュリティツール群「Daybreak」を発表しました。中核となるのは「Codex Security」と「GPT-5.5-Cyber」で、企業が脆弱性を発見・検証・修正するプロセスを大規模に支援することを目的としています。詳細な機能仕様は今後の発表を待つ必要があります。

Hono v4.12.27リリース、JSXコンテキスト漏洩やXSSなど3件の脆弱性を修正

Hono Releases重要度 852026/6/23

ワンポイントHonoでSSR中に他リクエストのコンテキストが漏れる不具合を修正

軽量Webフレームワーク**Hono**のv4.12.27がリリースされ、hono/jsxのコンテキスト分離不備、hono/cssのcx()によるXSS、hono/aws-lambdaのヘッダー重複排除ロジックの不備という3件のセキュリティ問題が修正されました。SSRやAPI Gateway連携でこれらの機能を使っている場合は速やかなアップグレードが推奨されます。

SBOMとは何か──Docker Blogが解説する「ソフトウェア部品表」の必要性

Docker Blog重要度 652026/6/23

ワンポイントSBOMなしでは今後ソフトウェアを出荷できなくなる

Docker Blogが、ソフトウェアのサプライチェーンセキュリティを支える「SBOM(Software Bill of Materials)」について解説する記事を公開しました。SBOMの基本的な考え方や重要性、生成方法、利用すべきフォーマット・標準規格までを扱う内容です。タイトルが示す通り、今後は**SBOMなしでソフトウェアを出荷することが難しくなる**という前提で整理されています。

tech/ai news

OpenAI、先進AIの共通基準づくりをAppia Foundation経由で支援

OpenAI News重要度 652026/6/23

ワンポイントOpenAI、Appia Foundation経由でAI共通基準づくりを支援

OpenAIは、先進AIに関する評価フレームワークや安全性の実践、国際協力を推進するため、Appia Foundationを通じて業界共通の基準づくりを支援していることを明らかにしました。具体的な取り組み内容については限られた情報しか公表されていませんが、AIガバナンスにおける国際連携の一環として位置づけられています。

pnpm 10.34.5リリース、lockfileやパッケージ名を悪用したパストラバーサルの脆弱性を修正

pnpm重要度 852026/7/10

ワンポイントlockfileやパッケージ名を悪用した仮想ストア外書き込みの脆弱性を修正

pnpm 10.34.5では、悪意のあるpnpm-lock.yamlやスコープ付きパッケージ名を利用して仮想ストア外にファイルを書き込めるパストラバーサル脆弱性が2件修正されました。あわせてpnpm v12への切り替え・自動更新の不具合と、pnpm-workspace.yaml経由のプロキシ設定における環境変数展開の問題も解消されています。

Cloudflareの「Self-Managed OAuth」が全開発者に開放、無停止移行で実現

Cloudflare Blog重要度 652026/6/24

ワンポイントSelf-Managed OAuthが全開発者に開放

Cloudflareは自社のOAuthエンジンをゼロダウンタイムで移行し、これまで限定提供だった「Self-Managed OAuth」を全ての開発者が利用できるようにしました。これにより、Cloudflareのアプリエコシステムへの参入障壁が下がることになります。

米大統領令が量子後暗号への移行に2030年の期限を設定、Cloudflareが評価と実務指針を公表

Cloudflare Blog重要度 722026/6/23

ワンポイント米大統領令、ポスト量子暗号への移行に2030年の期限を設定

米ホワイトハウスが発表した新しい大統領令は、政府機関に対して2030年までにポスト量子暗号への移行を求める内容です。Cloudflareはこの大統領令を重要な一歩と評価しつつ、改善の余地や、政府・企業が実際に移行を進めるためのプレイブックを提示しています。

Node.js 24.18.0 (LTS) リリース、Buffer.poolSizeが64KiBに拡大しWeb Cryptoが強化

Node.js重要度 752026/6/23

ワンポイントBuffer.poolSizeのデフォルトが64KiBに拡大

Node.js公式が24系LTS「Krypton」の最新パッチ24.18.0を公開しました。Buffer.poolSizeのデフォルト値拡大や、http/cryptoモジュールへのマイナー機能追加、多数のバグ修正・セキュリティ強化が含まれています。npmも11.16.0に更新されました。