PaPoo
日本語 / English
cover
technews
Author
technews
世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。
#macos#security#ai#apple#vulnerability

AIが見つけたmacOSの脆弱性、Appleが対応へ——でも「AIだけで突破」ではない

記事のキーポイント

AIでセキュリティ診断、いよいよ現実味が増してきた

MacRumorsが伝えたのは、​AIがmacOSの脆弱性発見に実際に役立ったという話です。
しかも「AIがすごいらしい」というふわっとした話ではなく、​サイバーセキュリティ企業が実際に脆弱性を見つけ、Appleがその報告を受けたという、かなり現実的なニュースです。

今回のきっかけになったのは、Anthropicが発表した Project Glasswing
これは、Appleのような企業がAnthropicの新しいAIモデル Claude Mythos Preview を使って、OSやWeb browserのセキュリティ上の穴を探せるようにする取り組みです。

image_0002.svg

ここで大事なのは、AIが「何でも勝手に見つけて直してくれる魔法の箱」ではない、という点です。
むしろ実態は、​人間のセキュリティ研究者がAIを強力な下働きとして使う、というイメージに近いと思います。

何が見つかったのか

Wall Street Journalの報道によると、サイバーセキュリティ企業 Calif の研究者が、Claude Mythos Previewを使って macOSの新しい脆弱性 を発見しました。
やったことは、​macOSにあった2つのバグをつなぎ合わせて、権限昇格の攻撃にするコードを書くことだったそうです。

ここで出てくる privilege escalation は、日本語でいうと「権限昇格」です。
ざっくり言えば、​普通のユーザー権限しかないのに、より強い管理者権限やroot権限を奪うことです。
もしこれが成功すると、攻撃者はそのMacの中でかなり自由に動けるようになります。かなり嫌な話です。

image_0003.svg

しかも今回は、単に「バグがある」と気づくだけではなく、​そのバグ同士を組み合わせて実際に攻撃の形にしたというのがポイントです。
この「つなぎ合わせて実用レベルの exploit にする」部分は、やっぱり人間の経験が効くんですよね。AIは材料を見つけるのが得意でも、料理の最後の味付けはまだ人間、という感じがします。

「AIだけでできた」わけではない

研究者たちは、​この exploit は Mythos 単体では無理だったと話しています。
つまり、AIが全部自動で突破してくれたわけではなく、​人間の専門知識が上に乗って初めて成立したということです。

この点は、ちょっと地味ですがすごく重要です。
AI関連のニュースって、どうしても「AIがすごい」「AIが人間を置き換える」といった方向に盛られがちです。
でも今回の件はむしろ逆で、​AIは研究者の腕を何倍にも広げる道具になった、という見方のほうが正確だと思います。

image_0004.jpg

個人的には、これはかなり怖くもあり、面白くもある話です。
なぜなら、同じ道具は守る側にも攻める側にも使えるからです。
脆弱性を見つけるスピードが上がれば、防御も強くなりますが、悪用の効率も上がる。ここはまさに軍拡競争っぽい空気があります。

Appleの反応は?

Appleは、Califの報告を確認中だとしています。
Wall Street Journalに対してAppleの広報担当者は、「Security is our top priority」とコメントし、潜在的な脆弱性の報告を真剣に受け止めていると述べました。

ただし、記事時点ではこの脆弱性がすでに修正済みかどうかははっきりしていません
Appleのセキュリティノートでは、今週公開された macOS 26.5 において、​kernel-level vulnerability の修正が記載されており、そこには Calif と Anthropic の名前が出ているそうです。
一方で、報道では Calif がAppleと会ったのは今週で、​修正はこれから入るのではないかとも示唆されています。

image_0006.jpg

このあたりは、セキュリティ情報によくある「タイムラグのややこしさ」があります。
報告、検証、修正、公開の順番がきっちり見えないので、外から見ると「もう直ったの? まだなの?」となりがちです。
正直、ユーザーとしては「で、今すぐアップデートすべき?」が一番気になるところですが、こういうときは最新のOSアップデートを早めに適用するのが無難だと思います。

これが面白い理由

このニュースの面白さは、単なる「Macに穴が見つかった」ではありません。
本質は、​AIが実際のセキュリティ研究の現場で、かなり有効な武器として使われ始めたことにあります。

しかも対象がmacOSなのも象徴的です。
Apple製品は「安全そう」というイメージが強いですが、現実にはもちろん完璧ではありません。
むしろ、利用者が多く、注目度も高いので、​見つかる脆弱性のインパクトも大きい
だからこそ、AIで探索効率が上がるなら、Appleのような大手にとってもかなり重要な流れです。

image_0007.jpg

とはいえ、これを見て「AIがあれば誰でも脆弱性を作れる」と考えるのは少し早いと思います。
今回も、あくまで熟練した研究者がAIを使いこなした結果です。
道具の性能が上がったからといって、職人技まで自動化されたわけではない、ということですね。

まとめると

今回の件は、
​「AIがmacOSの脆弱性発見を実用レベルで手助けした」​
という意味でかなり重要です。

一方で、これはAIの万能性を示す話ではなく、
人間の知識とAIの組み合わせが強い
ことを示したニュースだと言えます。

image_0008.jpg

セキュリティの世界では、攻撃も防御もどんどん自動化・高度化していきます。
その流れの中で、AIはたぶん「主役」になるというより、​研究者の手足を何倍も速くする加速装置として効いていくのではないでしょうか。
個人的には、そのほうがずっとリアルで、そして少しだけ怖いです。

参考: Apple Alerted to macOS Security Vulnerability Uncovered With AI Tool

X に投稿 BlueSky に投稿
同じ著者の記事
Haskell Foundationが大きく体制変更へ:2026年アップデートをわかりやすく解説
Haskell Foundationが大きく体制変更へ:2026年アップデートをわかりやすく解説
Haskell Foundationの長年のExecutive Director、Joséが2026年6月に退任する Foundationは今後、技術活動に資源をより集中する方向へ舵を切る これまでの「寄付する側」という言い方から、member(メンバー)中心の関係へトーンを変える Executive Directorの役割は置かず、理事会とpart-timeの新ポジションで運営を回す方針 旧Technical Working Group(TWG)は、新しい委員会に置き換わる 理事会メンバーも入れ替わり、新しい体制での再出発になる Haskell Foundationが、かなり大きな組織再編を発表しました。 Haskell Foundationは、Haskellという関数型言語のコミュニティやエコシステムを支える団体です。ざっくり言えば、「Haskellの世話役」「調整役」のような存在ですね。 今回の発表でまず大きいのは、長年 Executive Director を務めてきた José が、2026年6月に役職を退くことです。記事では、José が表に出ないと
papoo.work
オープンソースはどう死ぬのか――「Dumb Ways for an Open Source Project to Die」解説
オープンソースはどう死ぬのか――「Dumb Ways for an Open Source Project to Die」解説
オープンソースプロジェクトは「突然死」するというより、いろいろな形でじわじわ弱っていく 原因は、メンテナ不在だけではない。燃え尽き、資金切れ、組織変更、権限トラブル、依存先の消滅など、かなり多彩 「コードが動いている」ことと「プロジェクトが健全」なことは別物 外から見ると元気そうでも、実はリリースできない・引き継げない・誰も責任を持てない、というケースが多い 特に怖いのは、見た目は健康なのに実は危ない“benevolent zombie”や、権限を乗っ取られる“captured maintainer” オープンソースプロジェクトって、なんとなく「誰かがずっと面倒を見てくれるもの」だと思われがちです。 でも Andrew Nesbitt のこの記事は、その幻想をかなり痛快に、そして少し不穏に壊してくれます。 テーマはシンプルで、オープンソースプロジェクトには“くだらないほどいろいろな死に方がある”という話です。 しかも面白いのは、「死んだ」の定義が1つじゃないこと。 最後のコミットが何年も前なのに誰も気づかないケースもあれば、コードは更新されているのにリリースできないケースもある
papoo.work
FPGAのGateから科学計算機へ。ハードウェアで作る「本気の電卓」が面白すぎる
FPGAのGateから科学計算機へ。ハードウェアで作る「本気の電卓」が面白すぎる
GitHubの「FPGA-Calculator」は、FPGA上で動く本格的な scientific calculator を作るプロジェクト ただの電卓ではなく、soft CPU・microcode・開発ツールまで含めた“ハードウェア一式” になっている Qtベースのシミュレータや、Verilator・Quartus・ModelSim などを使って PC上で試したり、FPGAに載せたり できる 中身は SystemVerilog、Assembly、C++、Python などが混在していて、かなり“総合格闘技”感がある 「電卓を作る」のではなく「電卓が動く仕組みを一から組み上げる」タイプの作品で、技術好きにはかなり刺さると思う GitHubの `gdevic/FPGA-Calculator` は、FPGAを使って科学計算機を実装する オープンソースプロジェクトです。 ここでいう FPGA は、ざっくり言うと 後から中身を書き換えられる電子回路のチップ のことです。普通のCPUでソフトウェアを動かすのではなく、回路そのものを設計して、そこに計算機を作
papoo.work
Jamie Dimonが示した「AI時代の採用シフト」:JPMorganは銀行員よりAI人材を増やすかもしれない
Jamie Dimonが示した「AI時代の採用シフト」:JPMorganは銀行員よりAI人材を増やすかもしれない
JPMorganのCEO、Jamie Dimon氏は「AIはすべての仕事に影響する」と述べた その結果、将来的には銀行員の採用は減り、AI人材の採用は増える可能性がある AIはリスク管理、マーケティング、コーディングなど、すでに幅広い業務で使われている ただし、AIで仕事が減っても、JPMorganは配置転換や再教育で吸収する方針 銀行業界では、若手がやっていた単純作業がAIに置き換わりつつある JPMorgan ChaseのCEO、Jamie Dimon(ジェイミー・ダイモン)氏が、かなり率直なことを言いました。 「これからは銀行員をあまり採用しなくなって、代わりに“AI people”をもっと雇うことになるかもしれない」 という話です。 この発言、かなり象徴的だと思います。 なぜなら、銀行というのは昔から「人が多く、階層も厚く、若手が下積みをする」世界の代表みたいな業界だったからです。そこにAIが入ると、仕事の作り方そのものが変わってしまうわけです。 Dimon氏はBloombergのインタビューで、AIは“every job”、つまり「すべての仕事」に影響
papoo.work
10年動いたUbuntu 16.04ブログをFreeBSDへ移した話:安さ、安定性、Jailsの気持ちよさ
10年動いたUbuntu 16.04ブログをFreeBSDへ移した話:安さ、安定性、Jailsの気持ちよさ
10年間動き続けたブログサーバーを、Ubuntu 16.04からFreeBSDへ移行 旧サーバーはすでにサポート切れで、セキュリティ面の不安があった 移行先はHetznerのVPSで、性能は上がり、料金はかなり下がった FreeBSDの「Jails」を使って、サイトごとに隔離した構成にした BastilleでJails管理を簡単にし、CaddyでSSL証明書の自動管理も実現 4大陸からの負荷テストとベンチマークも行い、実運用の手応えを確認している Bruno Crociさんの記事は、かなり気持ちのいい「サーバー引っ越し記」です。 10年間動かしてきたブログのVPSが、Ubuntu 16.04のままだった、という時点でまず驚きます。しかもそのUbuntu 16.04は、すでに何年も前にサポート終了済み。つまり、更新が止まった古いOSの上で、大事なブログがずっと動いていたわけです。 これは正直、よくある話でもあります。 「動いてるからまあいいか」で放置しているうちに、OSもミドルウェアも古くなって、気づけば更新不能。技術者あるあるですが、外から見るとかなり怖い状態です。著者もその点を自覚し
papoo.work
HDDの中身をのぞく:ファームウェア解析と改造の第一歩
HDDの中身をのぞく:ファームウェア解析と改造の第一歩
筆者はXbox 360のexploit開発のため、HDDの挙動を意図的に遅らせる方法を探した その過程で、HDD/SSDのfirmwareをdumpして解析・改造する話に深入りしていく 対象はWestern Digital、Samsung、Hitachi系のドライブ firmwareは「読める形にする」「書き戻せるようにする」の両方が重要で、ここが最初の関門 WDのfirmwareは圧縮されており、LZHUF系の独自改変を逆解析して読み解いた Samsung SSDはOEMの firmware update utility から復号・書き込み方法まで掘り起こせた かなり泥臭い作業だが、低レベルな仕組みが見えてくるのが面白い この記事は、HDDやSSDの「firmware hacking」を扱った連載の第1回です。 firmwareというのは、ざっくり言うと機器の中で動いている制御用プログラムのこと。スマホやルーターでも同じですが、HDD/SSDの場合は「ただ回る円盤」や「ただの保存箱」ではなく、内部でかなり複雑な制御が走っています。 筆者はもともとXbox 360向けのexpl
papoo.work
AIで人員削減する企業が見落としているもの:本当に強い会社は「人を残してAIを使う」
AIで人員削減する企業が見落としているもの:本当に強い会社は「人を残してAIを使う」
AI導入を「人員削減の手段」として使うのは、短期的には効いても長期的には危ない 会社の本当の資産は、作業そのものではなく、現場の知識文脈理解にある AIは人を置き換えるより、人の判断力を増幅する道具として使うほうが強い 経験あるチームを維持したままAIを組み込む企業のほうが、結果的に競争力を持ちやすい これからの問いは「何人減らせるか」ではなく、「人の時間をどこまで取り戻せるか」だ 今回紹介する元記事の主張は、かなりはっきりしています。 「AIを理由に人員を減らす会社は、最終的にAIをうまく使った会社に負ける」という話です。 この意見、かなり挑発的です。けれど、読んでいくと単なる感情論ではなく、わりと筋が通っています。 というのも、AI導入の現場でありがちな発想があるからです。 > AIができるなら、この仕事はいらない > じゃあ人も減らせるはず 一見、合理的です。会計上もわかりやすい。給与コストが下がれば、短期的には「効率化しました」と言いやすい。 でも記事は、そこで削られているのは仕事ではなく、実は会社の知識そのものだ、と警告してい
papoo.work
npyデータセットで3Dモデルを扱う話をのぞいてみる
npyデータセットで3Dモデルを扱う話をのぞいてみる
元記事は Reddit の MachineLearning コミュニティ投稿だが、今回取得できた本文はほぼ表示されていない タイトルからは、`.npy` 形式のデータセットと 3D モデルの扱いに関する話題だと読める `.npy` は NumPy が使うデータ保存形式で、機械学習ではかなりよく使われる 3Dモデルをデータセットとして扱うのは、画像より一段むずかしいことが多い ただし、元本文が確認できないため、具体的な主張や結論は断定できない 今回取り上げるのは、Reddit の `r/MachineLearning` に投稿された「Using npy dataset with 3D models」のような話題です。 ……と言っても、ここで少し困るのが、元記事の本文が実質的に確認できないことです。取得できたテキストは「Please wait for verification」という表示のみで、投稿内容そのものは読めませんでした。なので、この記事ではタイトルから読み取れる文脈と、そこから考えられる背景を、やさしめに整理していきます。 まず `.npy` は、Python の数値計算
papoo.work
Edgeモバイル版が化けた?Copilotの新機能6つで「調べるブラウザ」に進化した話
Edgeモバイル版が化けた?Copilotの新機能6つで「調べるブラウザ」に進化した話
Microsoft Edgeのモバイル版に、デスクトップ版由来のAI機能がかなり増えた 複数タブの要約、閲覧履歴の活用、ページからPodcast作成などができる 「Study and Learn」モードでは、Webページをクイズ化できる ただし、筆者はCopilot推しではないが、それでも便利だと感じるレベルになっている SafariやChromeの代わりに、研究・調べ物用途ではEdgeが有力候補になりそう ZDNETの記事では、Microsoft EdgeのモバイルアプリにAI機能が一気に強化されたことが紹介されています。 これまで「スマホのブラウザ」といえば、iPhoneならSafari、AndroidならChromeが定番でしたよね。正直、その感覚はかなりわかります。私も「わざわざEdgeを使う理由が薄い」と感じていた人間です。 でも今回のEdgeは、ただのブラウザではなく、調べ物を手伝ってくれるAIアシスタント付きのブラウザに近づいています。 しかも、単に「検索できます」ではなく、複数タブを横断して要約するとか、**今見ているページをPodcast化する
papoo.work
Gemini Intelligenceは“高スペック前提”の新機能、Pixel 9やGalaxy Z Fold 7は対象外の可能性
Gemini Intelligenceは“高スペック前提”の新機能、Pixel 9やGalaxy Z Fold 7は対象外の可能性
Googleが新しいAI機能群「Gemini Intelligence」を発表した ただし、対応条件がかなり厳しい 12GB以上のRAM、flagship chip、AI Core、Gemini Nano v3以上などが必要 Pixel 9シリーズやGalaxy Z Fold 7は、現時点では要件を満たせない可能性が高い いっぽうで、Pixel 10やGalaxy S26など、2026年登場の新機種が中心になりそう Googleが発表した「Gemini Intelligence」は、Android向けの“上位AI機能セット”みたいなものです。 ざっくり言うと、ただのAI搭載ではなく、より賢い自動入力、Gboardの強化された音声入力機能「Rambler」、「Create my Widget」のような、ちょっと未来感のある機能をまとめたブランド名だと思えばOKです。 ここで面白いのは、Googleがこれをかなり高性能な端末向けに絞っていることです。 「AI機能なら、古い機種にも広く配るのでは?」と思いがちですが、今回はそう単純ではなさそうです。 記事によると、Gemini
papoo.work