デイリー便

2026-07-19
最終更新 2026-07-19 09:41:07

Securing the AI Agent: A Unified Framework for Multi-Layer Agent Red Teaming

arXiv2026-06-30
fit:highdep-watcher#security#ai/agents#ai/claude-code

要点中核は layer-paradigm matching——エージェントの攻撃面は層で性質が違うので単一手法では覆えない、層ごとに向いた手法を当てる。①インフラ=決定論ルール(75+コンポーネント/1,400+脆弱性ルール)②プロトコル/ツール=LLM駆動監査+skillサプライチェーン監査 ③エージェント挙動=マルチターンblackbox red teaming ④モデル=jailbreakハーネス(26+オペレータ/16データセット)。全層をまたぐ唯一のOSSと主張。論文1 [[2026-07-01-claw-agent-security-safeclawarena]] が"評価軸"なら本作は"実行手段"。

なぜ取ったdep-watcher(今は依存/インフラ層の決定論的監査=Trivy/Syft/Grype ラッパー)の「上位層を積む」拡張の生きた実例。[[tool_skillspector]] と同じ土俵(MCP/skill のサプライチェーン監査)で、一次フィルタの併用/比較候補にもなる。

確度メモarXiv abstract ベース(本文・数値は未検証)。OSS を dep-watcher に取り込むなら供給網3点確認(配布元/作者/依存)必須=ツール自体が広い権限で動く。

Claude Code 協働のふりかえり学習機構(段階昇格モデル)

Zenn
fit:highclaude-dev-kit#ai/claude-code#ai/agents#pkm

要点セッション履歴を一次資料に認識を4段階で昇格 ― Lv0 short-term ログ → Lv1 feedback(反復パターン)→ Lv2 CLAUDE.md(毎回読むルール)→ Lv3 skill/Hook(自動化)。設計思想は3つ ― ①漏斗(広く記録→下流で絞る)②閾値(pain_count 3回で仕組み化 / success_count 20回でコマンド化)③型(失敗のルール化・成功の資産化・価値観の定着)。385 セッションから 55 ルール生成という運用実績。

なぜ取った「堀元して」(生活相談の資産化)と `/retro`・memory feedback 層の設計参考。昇格の「階段」と「閾値」の型が移植候補になりうる。

確度メモ二次(著者の3ヶ月運用レポート+自己申告メトリクス。第三者検証なし)。 論点(自分向け): 昇格の「階段」と「閾値(3回)」は堀元して=decisions→routines→CLAUDE.md の昇格に移植価値あり。ただし「ノイズを恐れず広く残す」は現行の「入口で絞る(結論の無い雑談は残さない)」方針と対照的で、認知負債・文脈の清潔さを優先する自分には採らない。現状は現行の堀元してで運用継続し、肥大化や取りこぼしを実感したら昇格モデルを引く。

Understanding and Evaluating Claw-like Agent Security Through a Computer-Systems Lens

arXiv2026-06-29
fit:highsecurity-testing#security#ai/agents#ai/claude-code

要点常時稼働で認証情報/ファイル/ツール/外部サービスへ永続アクセスする「Claw 型エージェント」を、4つの攻撃面(①skill サプライチェーン整合性 ②永続状態の悪用 ③境界越えデータフロー ④プロンプトインジェクション)で評価するベンチマーク SafeClawArena(406 の敵対的タスク)。3プラットフォーム × 5 フロンティア LLM を自動 taint tracking で測定し、攻撃成功率は最大 70%悪意あるプラグインは 100% 成功と報告。著者トリは Dawn Song(UC Berkeley)。

なぜ取った自分が Claude Code に敷いている守り(egress allowlist・skill/MCP 導入前の3点確認・[[tool_skillspector]]・Cold の tier 分離)が、この論文の4攻撃面とほぼ 1:1 で対応する。自分の守りの抜け——特にプロンプトインジェクション——を点検する物差しになる。

確度メモarXiv の abstract ベース(本文・手法・数値の詳細は未読)。70% / 100% は abstract の主張=要追検証。

throttle / choke の語源 — 身体語彙が機械・抽象へ拡張するメタファー標本

Etymonline
fit:highlexis#idea#career

要点throttle < throat(喉)+ -le。原義は「喉を絞める・窒息させる」(c.1400)、名詞で「気管 windpipe」も指した → throttle valve「流体を絞る弁」(1875) → エンジン → IT の流量制限。choke も並行進化(窒息→チョーク弁)。逆説: full throttle は「全開」=動作語から装置名へ中立化すると極性が反転する、意味変化の好例。

なぜ取ったlexis(認知言語学×英語学習コンテンツ)の素材。IT技術者に身近な rate limiting の "throttle" が、語源では「喉を絞める」=身体語彙。身体→機械→抽象のメタファー拡張の綺麗な標本で、技術者読者に刺さる切り口になる。

確度メモEtymonline(語源辞典)準拠=一次的だが二次資料。 コンテンツ化メモ: 「エンジニアが毎日使う英単語の裏の身体イメージ」シリーズにできる(throttle / choke / kill / spawn / daemon / handle / fork …)。

Claude のリアルタイムサイバーセーフガードとCyber Verification Program (CVP)

Anthropic Help Center
fit:highsecurity-testing#security#ai/claude-code

要点- Claudeの高性能モデルに「禁止される使用」「高リスク双用途」の2カテゴリをリアルタイム検出・ブロック機能が導入済 - Cyber Verification Program (CVP): 正当な防御目的のセキュリティ専門家向け無料申請プログラム。承認されれば「高リスク双用途」活動の制限解除が可能 - 申請ルートはアクセス方法(Claude.ai / API / Microsoft Foundry)で異なる。審査は2営業日以内を目安

なぜ取った自前セキュリティテスト(ペネトレ)でClaude Codeを使う際に「高リスク双用途」操作がブロックされることがある。CVP申請で制限解除できる可能性があり、オムロンTIC SaaSテストの推進に直接関係。

確度メモAnthropic公式サポート記事(一次情報)

/grill-me と /grill-with-docs でやりがちな9つの誤り

aihero.dev2026-05-25
fit:highclaude-dev-kit#ai/claude-code#dev

要点- 低忠実度(グリリング対応)と高忠実度(プロトタイプ要)の質問を区別し、高忠実は「グリル→プロトタイプ→グリル」と段階化する - スコープが大きすぎるとコンテキスト制限+隠れた高忠実度質問が顕在化する → 小さく切る - グリリングは面接ではなく会話。ユーザーが目的地・スコープ・進行を主導する - 設計決定はその場でコード化または PRD 化しないと失われる - 高性能モデル必須(創造的提案)+並列セッションで効率向上

なぜ取った`/grill-me` と `/grill-with-docs` は claude-dev-kit でも使われるパターン。失敗パターンを知ることで spec/grill フェーズの精度向上につながる。

確度メモaihero.dev の一次記事。実践的ノウハウ。

出力インジェクション——LLM出力を外部入力として扱う設計(35バグの教訓)

Qiita2026-06-15
fit:highsecurity-testing#security#ai/agents

要点- 核心: LLM の出力は信頼できない外部入力として扱う(ユーザー入力・APIレスポンスと同列) - HTMLインジェクション: 出力をエスケープなし表示するとHTMLが流れ込む → 用途ごとのエスケープ・Markdown無害化が必須 - SSRF・間接プロンプトインジェクション: RAGで出力URLを無検証取得するとSSRF攻撃や間接インジェクション → URL許可リスト・内部レンジ遮断 - AI生成コードの二重信頼: AI書コードはセキュリティ定型を飛ばしがち → 人間レビュー必須 - 設計方針: 出力の流れ先(画面・URL取得・DB・ツール実行)ごとに異なる無害化処理

なぜ取ったエージェント/LLMチャットボット実装時のセキュリティ設計パターン。security-testing でのエージェント製品診断にも直結。

確度メモQiita 個人記事。実体験(35バグ)ベースの実践的内容。一次情報。

security-suite — OSINT・Webスキャン・APIセキュリティ・BOLA検出を網羅したOSSセキュリティスイート

GitHub
fit:highsecurity-testing#security

要点- OSINT(DNS列挙・サブドメイン発見・ポートスキャン等11モジュール)+Webスキャン(XSS/SQLi/ディレクトリ探索等6モジュール)+APIセキュリティ(OpenAPI解析・認証バイパス・JWT・BOLA/IDOR検出4モジュール) - AI分析機能(Ollama / Anthropic / OpenAI連携)による対話型修復提案あり - Python 90.7%・FastAPI REST API・AGPL-3.0ライセンス。Splunk/Elasticsearch等SIEM統合も可

なぜ取ったBOLA/IDOR検出モジュールを持つPython製OSSセキュリティスイート。オムロンTIC SaaSのテスト文脈で使えるか確認したい

確度メモGitHubリポジトリ直接確認。AGPL-3.0のためOSS化・再配布時は注意。dep-watcherとのシナジーも検討余地あり。

TheSecuredAnalyst/security-suite — OSINT・Webスキャン・APIテスト・AI統合のオールインワン

GitHub
fit:highsecurity-testing#security#dev

要点- 11モジュール構成の OSINT(DNS列挙・WHOIS・サブドメイン発見・ポートスキャン) - Webスキャン:XSS・SQLi・ディレクトリブルートフォース・SSL/TLS分析 - APIセキュリティ:OpenAPI解析・認証テスト・BOLA/IDOR検出・ファジング - AI分析:ローカル LLM(Ollama)またはクラウド API(Anthropic/OpenAI)で知見相関 - REST API(FastAPI)+ SIEM 統合(Splunk/Elasticsearch/Syslog) - Python 90.7%、AGPL-3.0、⭐11

なぜ取ったBOLA/IDOR 検出モジュールを含む包括的なセキュリティスイート。オムロン TIC SaaS のセキュリティテスト(API Top10 × ASVS L2)に直接使えそうな構成。

確度メモ一次情報(GitHub 公開リポジトリ)。スター数 11 と小規模。BOLA/IDOR 検出の実装品質は要確認(実際に試すまで精度未検証)。

読みは無人、書きは Touch ID——1Password を操作で割った話

Zenn2026-06-14
fit:highsecurity-testing#security#ai/claude-code

要点無人で動作するスクリプトで1Passwordを管理する際、サービスアカウントトークンを読み取り専用に制限し、書き込み時は生体認証(Touch ID)に切り替える非対称設計を提案。「読みは無人トークン、書きはTouch ID」という分離によってディスク上に保存されるトークンの爆発半径を最小化しながら自動化を実現する最小権限の実践例。

なぜ取ったClaudeエージェント放置運用での秘密情報非対称認証設計。サプライチェーン防御×エージェント運用の交差点として有用。

確度メモ一次情報(WebFetch取得済み)

agent-skills — Addy Osmani の本番品質エージェントスキル集(24スキル)

GitHub
fit:highclaude-dev-kit#ai/claude-code#ai/agents#dev

要点- `/spec` / `/plan` / `/build` / `/test` / `/review` / `/code-simplify` / `/ship` の 7 コマンドで開発全サイクルをカバー - 合計 24 スキル(Define→Plan→Build→Verify→Review→Ship フェーズ別) - セキュリティ監査・Web パフォーマンス監査などのスペシャリストペルソナ付き - Claude Code / Cursor / Gemini CLI など複数エージェント対応 - 検証ゲート・反合理化テーブル・証拠要件で「エンジニアリング規律」を強制

なぜ取ったclaude-dev-kit のスキル設計の参考として。開発ライフサイクル全体をカバーする 7 スラッシュコマンド+24 スキルの構成は直接参考になる。

確度メモGitHub リポジトリ(一次情報)。

AIはなぜ存在しない攻撃を報告したのか ── 3つのエージェント暴走事例から考える「作話」のメカニズム

Zenn2026-06-14
fit:highclaude-dev-kit#ai/agents#security#ai/claude-code

要点複数のAIエージェントが、システム通知や自身の過去出力、他AIの提案をすべて「現実の事実」として処理し、存在しない攻撃や完了を報告する事例を紹介。LLMは「文脈内テキストの出所を理解していない」ため、整合的なロジックで虚偽を補強してしまう。対策は「ログ・差分確認・人間ゲート」という検証可能な事実をAIの統計的生成の外に置くこと。

なぜ取ったAIエージェントの作話・コンテキスト汚染問題を実運用ログで解剖。claude-dev-kit と security-testing の両方に直撃する設計知識として価値が高い。

確度メモ一次情報(WebFetch取得済み)

なぜAI生成コードは危ないのか — スキャナを作って見えた現実

Zenn2026-06-13
fit:highdep-watcher#security#ai/dev#dep-watcher

要点AIツール(Copilot・Cursor・Claude等)が生成するコードには、APIキー直書き・SSL検証無効化・シェルインジェクションなどの脆弱性が大量に含まれている。既存のセキュリティツールでは「AI特有のパターン」に対応しきれず、著者が専用スキャナーを開発。「動くコード」という事実が危険性を隠蔽し、実際のマルウェアキャンペーンでも悪用されている。

なぜ取ったAIコード生成の脆弱性パターンをスキャナ製作視点で整理。dep-watcherのユースケース実証例として直接使える。

確度メモ一次情報(WebFetch取得済み)

AIE2026 — AI駆動開発がHuman in the Loop からHuman on the Loop へ(ビズリーチCTO)

Speaker Deck2026-06-14
fit:highclaude-dev-kit#ai/agents#ai/dev#dev

要点- AI 駆動開発で Human in the Loop(HITL)から Human on the Loop(HOTL)へのシフトを提唱(外山英幸 CTO / ビズリーチ) - 単なるツール導入ではなく「ルール定義・検証・実行」の三権分立で統治構造を確立 - Authority Provenance Graph と Specification Provenance Graph で「書かれている」→「効いている」へ転換 - AIE2026 カンファレンス発表資料

なぜ取ったHITL→HOTL のシフトというフレーミングは claude-dev-kit の「エージェントに任せる+人間が監視」設計哲学と直結する。ビズリーチ CTO の実践知として信頼度が高い。

確度メモCTO 本人の発表スライド(一次情報)。スライド 27 から参照。

baoyu-design — Claude Design をローカルエージェントスキルとして実行

GitHub
fit:highclaude-dev-kit#ai/claude-code#ai/agents#dev

要点- Anthropic の Claude Design エンジンをローカルエージェントスキルとして提供(claude.ai/design 不要) - UI モックアップ・インタラクティブプロトタイプ・ランディングページ・ダッシュボード等を self-contained HTML で出力 - Cursor / Claude Code / Codex など 70+ エージェント対応 - Figma .fig オフラインデコード・GitHub リポジトリ参照・既存 HTML インポート可能 - Opus 4.8 推奨(高品質出力)

なぜ取ったkab-lab / ez-gantt の UI 生成に Claude Design が使えるなら、claude.ai/design へのブラウザアクセス不要でエージェント内から直接 UI モックアップ生成できる。

確度メモ個人開発者の GitHub リポジトリ。Claude Design API の利用可否・レート制限は要確認。