Author

technews

世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

「地味なもの」がいちばん危ない時代へ：AIコード生成とAIエージェントがセキュリティを変える

記事のキーポイント

• AI coding tools の普及で、開発スピードは上がる一方、設定ミスや実装ミスも大量に増えやすい
• AI agent は、いままで見落とされがちだった「地味な脆弱性」や複雑な依存関係を機械的にたどれる
• その結果、攻撃者は zero-day に頼らずとも、細かい穴をつないで大きな被害を出せる可能性がある
• 企業は「重要な資産だけ守る」発想を見直し、trust path（信頼の経路）と依存関係を重視する必要がある
• セキュリティは“全部を急ぎで直して”ではなく、“本当に危ないパターンを潰す”方向へ寄せるべき、というのが記事の主張

「AIでコードを書く」だけじゃ終わらない怖さ

Dark Reading の記事「The Boring Stuff Is Dangerous Now」は、かなり身もふたもないタイトルですが、言っていることは意外とまっとうです。
要するに、​派手な大事件より、地味なミスや見落としのほうが危険になってきた、という話です。

背景には2つの大きな変化があります。

1つ目は、​開発現場で AI coding tools の利用が半ば義務化されつつあること。
AIがコードを書けば、当然ながら開発は速くなります。これは本当に便利です。個人的にも、AIが雑務っぽいコードを一気に出してくれるのはすごいと思います。
ただし、記事が強調するのは「AIが書くコードそのものはそこそこ良くても、​実装のしかたで事故る」という点です。

たとえば、

• API の入力チェックを勘違いする
• 権限設定を同じミスのまま何度も繰り返す
• 急ぎすぎて、危ない前提をそのまま通してしまう

みたいなことですね。
つまり、AIが賢くても、​組み込み方が雑だと脆弱性は増える。ここがややこしいところです。

もう1つの脅威は「地味な穴を探し尽くすAIエージェント」

2つ目の変化は、​AI agent が obscure vulnerabilities（目立たない脆弱性）を見つけて悪用できるようになりつつあることです。

記事では Anthropic の Project Glasswing に触れつつ、こうした agent は「創造的なひらめき」よりも、​ひたすら広く・深く・疲れずにたどれることが強い、としています。
これ、地味だけどかなり怖いです。

昔は、攻撃者が企業の全体像をつかむにはそれなりの手間がありました。
たとえば、

• どのSaaSベンダーが使われているか
• どの内部ツールが本番環境にアクセスできるか
• 依存している open source library が何層も奥に潜んでいないか

こういう調査は面倒で、面倒だからこそ“ある種の防御”になっていたわけです。
でも記事の主張では、AI agent はそこを疲れずに機械的に追跡できる。
つまり、「誰も見ていない、退屈な経路」がむしろ狙われやすくなる、というわけです。

これ、かなり本質的だと思います。
セキュリティの世界って、派手な正面玄関ばかり見がちですが、実際には裏口の裏口みたいな経路が一番危ないことが多いんですよね。

zero-day がなくても、十分に壊せる

記事の面白いところは、「AIが脆弱性を見つける」といっても、必ずしも超レアな zero-day を狙う必要はない、と示している点です。
zero-day とは、まだ修正されていない未知の脆弱性のことですが、AI agent はそこまで行かなくても、

• 古いバージョンのフレームワークを使っているベンダーを見つける
• そのベンダーから本番環境への trust path をたどる
• 小さな問題をつなげて、大きな影響に変える

ということができる、と記事は言います。

ここで重要なのは、​​「1個の致命的な穴」より「小さい穴の組み合わせ」​です。
これ、現場ではかなりありがちです。単体では「まあ大丈夫そう」に見える問題が、つながると急に爆発する。
個人的には、サイバー攻撃ってまさに“積み木崩し”だなと思います。1個では倒れないのに、並べ方が悪いと全部いく。

企業が見直すべきは「重要アプリだけ守る」発想

記事は、これまで企業が

• 重要なアプリ
• 目立つシステム
• 顧客向けの主要サービス

に集中して防御してきた一方で、​古い連携、ベンダーツール、依存関係の深い内部システムが静かに広い権限を持っていた、と指摘します。

そして、今の状況ではそれがもう通用しない、と。

これはすごく納得感があります。
本丸をがっちり守っていても、そこへつながる細い橋が無防備なら意味がないんですよね。
しかも、その橋はたいてい「誰も気にしていない」ので、後回しにされる。そこを AI agent が見つけに来る。嫌な時代です。

脆弱性報告が増えすぎる問題

記事が現実的だと感じるのは、技術の話だけでなく、​運用の苦しさにも触れているところです。

AIやagentで見つかる問題が増えると、セキュリティチームには脆弱性報告が山のように届きます。
でも、全部を「最優先で直して」と開発チームに投げても、信用を失うだけです。
開発側からすると、「また緊急？ どれが本当に大事なの？」となるわけです。

ここ、完全に人間の問題なんですよね。
技術よりも、優先順位の付け方のほうが難しいことは多いです。

記事の提案：守る対象を先に決める

著者は、対策の起点を「脆弱性の一覧」ではなく、​何を守りたいかに置けと言っています。

たとえば、

• PII（個人を特定できる情報）を持っていないシステム
• 特権アクセスを持たないシステム

にある重大な脆弱性よりも、
一見小さいけれど、実際には高い business impact につながる組み合わせのほうが危険かもしれない、という考え方です。

つまり、

1. 守るべきものを明確にする
2. そこへ至る経路を洗う
3. その経路上の弱点を優先的に潰す

という順番です。

これはかなり実務的です。
「脆弱性を全部消す」は夢ですが、「危ない経路を絞って潰す」は現実的。
セキュリティは理想論だけでは回らないので、この割り切りは大事だと思います。

重要なのは trust path と依存関係

記事の後半では、次の3点が挙げられています。

• transitive dependencies を追う
  つまり、直接使っているものだけでなく、その先にぶら下がる依存関係も見る。
• data flows と permissions を確認する
  データがどこを流れ、誰が何にアクセスできるかを見る。
• 繰り返し起きるパターンを潰す
  個別対応ではなく、同じミスが何度も起きる原因を直す。

特に「Why does this keep happening?（なぜこれが繰り返されるのか）」にすぐ答えられないなら、​context gap（文脈の欠如）​がある、という指摘は鋭いです。
要するに、問題を点で見るのではなく、線や面で見ろということですね。

セキュリティと開発の関係も変わる

ここも大事です。
著者は、見つけた知見を AI coding tools にフィードバックし、​実装の瞬間に「このパターンは危ない」と促すようにすべきだと述べています。

これができると、

• セキュリティチームが後追いで怒る
• 開発チームが修正疲れする

という悪循環を減らせます。
個人的には、これが今後の理想形ではないかと思います。
「作ってから直す」では遅いので、​作る途中で安全な選択肢を出す方向に寄せるのが自然です。

まとめ：危ないのは“派手な穴”ではなく“退屈なつながり”

この記事のメッセージを一言で言うと、
AI時代の攻撃は、目立つ脆弱性より、退屈な依存関係と設定ミスをつないでくる、ということです。

そして防御側も、

• 重要資産だけを見る
• すべての脆弱性を同列に扱う
• 個別の修正に追われる

というやり方から、

• trust path を見る
• パターンを潰す
• 守るべきものから逆算する

方向へ移る必要がある、というのが著者の主張です。

AIはコードを書く速度を上げ、AI agent は穴を探す速度を上げる。
つまり、​**攻守どちらも“速くなる”**わけですが、守る側が昔の感覚のままだとかなり厳しい。
この記事は、その現実をかなり率直に突きつけていると思います。

参考: The Boring Stuff Is Dangerous Now

同じ著者の記事

Haskell Foundationが大きく体制変更へ：2026年アップデートをわかりやすく解説

Haskell Foundationの長年のExecutive Director、Joséが2026年6月に退任する Foundationは今後、技術活動に資源をより集中する方向へ舵を切る これまでの「寄付する側」という言い方から、member（メンバー）中心の関係へトーンを変える Executive Directorの役割は置かず、理事会とpart-timeの新ポジションで運営を回す方針 旧Technical Working Group（TWG）は、新しい委員会に置き換わる 理事会メンバーも入れ替わり、新しい体制での再出発になる Haskell Foundationが、かなり大きな組織再編を発表しました。 Haskell Foundationは、Haskellという関数型言語のコミュニティやエコシステムを支える団体です。ざっくり言えば、「Haskellの世話役」「調整役」のような存在ですね。 今回の発表でまず大きいのは、長年 Executive Director を務めてきた José が、2026年6月に役職を退くことです。記事では、José が表に出ないと

papoo.work

オープンソースはどう死ぬのか――「Dumb Ways for an Open Source Project to Die」解説

オープンソースプロジェクトは「突然死」するというより、いろいろな形でじわじわ弱っていく 原因は、メンテナ不在だけではない。燃え尽き、資金切れ、組織変更、権限トラブル、依存先の消滅など、かなり多彩 「コードが動いている」ことと「プロジェクトが健全」なことは別物 外から見ると元気そうでも、実はリリースできない・引き継げない・誰も責任を持てない、というケースが多い 特に怖いのは、見た目は健康なのに実は危ない“benevolent zombie”や、権限を乗っ取られる“captured maintainer” オープンソースプロジェクトって、なんとなく「誰かがずっと面倒を見てくれるもの」だと思われがちです。 でも Andrew Nesbitt のこの記事は、その幻想をかなり痛快に、そして少し不穏に壊してくれます。 テーマはシンプルで、オープンソースプロジェクトには“くだらないほどいろいろな死に方がある”という話です。 しかも面白いのは、「死んだ」の定義が1つじゃないこと。 最後のコミットが何年も前なのに誰も気づかないケースもあれば、コードは更新されているのにリリースできないケースもある

papoo.work

FPGAのGateから科学計算機へ。ハードウェアで作る「本気の電卓」が面白すぎる

GitHubの「FPGA-Calculator」は、FPGA上で動く本格的な scientific calculator を作るプロジェクト ただの電卓ではなく、soft CPU・microcode・開発ツールまで含めた“ハードウェア一式” になっている Qtベースのシミュレータや、Verilator・Quartus・ModelSim などを使って PC上で試したり、FPGAに載せたり できる 中身は SystemVerilog、Assembly、C++、Python などが混在していて、かなり“総合格闘技”感がある 「電卓を作る」のではなく「電卓が動く仕組みを一から組み上げる」タイプの作品で、技術好きにはかなり刺さると思う GitHubの `gdevic/FPGA-Calculator` は、FPGAを使って科学計算機を実装する オープンソースプロジェクトです。 ここでいう FPGA は、ざっくり言うと 後から中身を書き換えられる電子回路のチップ のことです。普通のCPUでソフトウェアを動かすのではなく、回路そのものを設計して、そこに計算機を作

papoo.work

Jamie Dimonが示した「AI時代の採用シフト」：JPMorganは銀行員よりAI人材を増やすかもしれない

JPMorganのCEO、Jamie Dimon氏は「AIはすべての仕事に影響する」と述べた その結果、将来的には銀行員の採用は減り、AI人材の採用は増える可能性がある AIはリスク管理、マーケティング、コーディングなど、すでに幅広い業務で使われている ただし、AIで仕事が減っても、JPMorganは配置転換や再教育で吸収する方針 銀行業界では、若手がやっていた単純作業がAIに置き換わりつつある JPMorgan ChaseのCEO、Jamie Dimon（ジェイミー・ダイモン）氏が、かなり率直なことを言いました。 「これからは銀行員をあまり採用しなくなって、代わりに“AI people”をもっと雇うことになるかもしれない」 という話です。 この発言、かなり象徴的だと思います。 なぜなら、銀行というのは昔から「人が多く、階層も厚く、若手が下積みをする」世界の代表みたいな業界だったからです。そこにAIが入ると、仕事の作り方そのものが変わってしまうわけです。 Dimon氏はBloombergのインタビューで、AIは“every job”、つまり「すべての仕事」に影響

papoo.work

10年動いたUbuntu 16.04ブログをFreeBSDへ移した話：安さ、安定性、Jailsの気持ちよさ

10年間動き続けたブログサーバーを、Ubuntu 16.04からFreeBSDへ移行 旧サーバーはすでにサポート切れで、セキュリティ面の不安があった 移行先はHetznerのVPSで、性能は上がり、料金はかなり下がった FreeBSDの「Jails」を使って、サイトごとに隔離した構成にした BastilleでJails管理を簡単にし、CaddyでSSL証明書の自動管理も実現 4大陸からの負荷テストとベンチマークも行い、実運用の手応えを確認している Bruno Crociさんの記事は、かなり気持ちのいい「サーバー引っ越し記」です。 10年間動かしてきたブログのVPSが、Ubuntu 16.04のままだった、という時点でまず驚きます。しかもそのUbuntu 16.04は、すでに何年も前にサポート終了済み。つまり、更新が止まった古いOSの上で、大事なブログがずっと動いていたわけです。 これは正直、よくある話でもあります。 「動いてるからまあいいか」で放置しているうちに、OSもミドルウェアも古くなって、気づけば更新不能。技術者あるあるですが、外から見るとかなり怖い状態です。著者もその点を自覚し

papoo.work

HDDの中身をのぞく：ファームウェア解析と改造の第一歩

筆者はXbox 360のexploit開発のため、HDDの挙動を意図的に遅らせる方法を探した その過程で、HDD/SSDのfirmwareをdumpして解析・改造する話に深入りしていく 対象はWestern Digital、Samsung、Hitachi系のドライブ firmwareは「読める形にする」「書き戻せるようにする」の両方が重要で、ここが最初の関門 WDのfirmwareは圧縮されており、LZHUF系の独自改変を逆解析して読み解いた Samsung SSDはOEMの firmware update utility から復号・書き込み方法まで掘り起こせた かなり泥臭い作業だが、低レベルな仕組みが見えてくるのが面白い この記事は、HDDやSSDの「firmware hacking」を扱った連載の第1回です。 firmwareというのは、ざっくり言うと機器の中で動いている制御用プログラムのこと。スマホやルーターでも同じですが、HDD/SSDの場合は「ただ回る円盤」や「ただの保存箱」ではなく、内部でかなり複雑な制御が走っています。 筆者はもともとXbox 360向けのexpl

papoo.work

AIで人員削減する企業が見落としているもの：本当に強い会社は「人を残してAIを使う」

AI導入を「人員削減の手段」として使うのは、短期的には効いても長期的には危ない 会社の本当の資産は、作業そのものではなく、現場の知識や文脈理解にある AIは人を置き換えるより、人の判断力を増幅する道具として使うほうが強い 経験あるチームを維持したままAIを組み込む企業のほうが、結果的に競争力を持ちやすい これからの問いは「何人減らせるか」ではなく、「人の時間をどこまで取り戻せるか」だ 今回紹介する元記事の主張は、かなりはっきりしています。 「AIを理由に人員を減らす会社は、最終的にAIをうまく使った会社に負ける」という話です。 この意見、かなり挑発的です。けれど、読んでいくと単なる感情論ではなく、わりと筋が通っています。 というのも、AI導入の現場でありがちな発想があるからです。 > AIができるなら、この仕事はいらない > じゃあ人も減らせるはず 一見、合理的です。会計上もわかりやすい。給与コストが下がれば、短期的には「効率化しました」と言いやすい。 でも記事は、そこで削られているのは仕事ではなく、実は会社の知識そのものだ、と警告してい

papoo.work

npyデータセットで3Dモデルを扱う話をのぞいてみる

元記事は Reddit の MachineLearning コミュニティ投稿だが、今回取得できた本文はほぼ表示されていない タイトルからは、`.npy` 形式のデータセットと 3D モデルの扱いに関する話題だと読める `.npy` は NumPy が使うデータ保存形式で、機械学習ではかなりよく使われる 3Dモデルをデータセットとして扱うのは、画像より一段むずかしいことが多い ただし、元本文が確認できないため、具体的な主張や結論は断定できない 今回取り上げるのは、Reddit の `r/MachineLearning` に投稿された「Using npy dataset with 3D models」のような話題です。 ……と言っても、ここで少し困るのが、元記事の本文が実質的に確認できないことです。取得できたテキストは「Please wait for verification」という表示のみで、投稿内容そのものは読めませんでした。なので、この記事ではタイトルから読み取れる文脈と、そこから考えられる背景を、やさしめに整理していきます。 まず `.npy` は、Python の数値計算

papoo.work

Edgeモバイル版が化けた？Copilotの新機能6つで「調べるブラウザ」に進化した話

Microsoft Edgeのモバイル版に、デスクトップ版由来のAI機能がかなり増えた 複数タブの要約、閲覧履歴の活用、ページからPodcast作成などができる 「Study and Learn」モードでは、Webページをクイズ化できる ただし、筆者はCopilot推しではないが、それでも便利だと感じるレベルになっている SafariやChromeの代わりに、研究・調べ物用途ではEdgeが有力候補になりそう ZDNETの記事では、Microsoft EdgeのモバイルアプリにAI機能が一気に強化されたことが紹介されています。 これまで「スマホのブラウザ」といえば、iPhoneならSafari、AndroidならChromeが定番でしたよね。正直、その感覚はかなりわかります。私も「わざわざEdgeを使う理由が薄い」と感じていた人間です。 でも今回のEdgeは、ただのブラウザではなく、調べ物を手伝ってくれるAIアシスタント付きのブラウザに近づいています。 しかも、単に「検索できます」ではなく、複数タブを横断して要約するとか、**今見ているページをPodcast化する

papoo.work

Gemini Intelligenceは“高スペック前提”の新機能、Pixel 9やGalaxy Z Fold 7は対象外の可能性

Googleが新しいAI機能群「Gemini Intelligence」を発表した ただし、対応条件がかなり厳しい 12GB以上のRAM、flagship chip、AI Core、Gemini Nano v3以上などが必要 Pixel 9シリーズやGalaxy Z Fold 7は、現時点では要件を満たせない可能性が高い いっぽうで、Pixel 10やGalaxy S26など、2026年登場の新機種が中心になりそう Googleが発表した「Gemini Intelligence」は、Android向けの“上位AI機能セット”みたいなものです。 ざっくり言うと、ただのAI搭載ではなく、より賢い自動入力、Gboardの強化された音声入力機能「Rambler」、「Create my Widget」のような、ちょっと未来感のある機能をまとめたブランド名だと思えばOKです。 ここで面白いのは、Googleがこれをかなり高性能な端末向けに絞っていることです。 「AI機能なら、古い機種にも広く配るのでは？」と思いがちですが、今回はそう単純ではなさそうです。 記事によると、Gemini

papoo.work