2026-02-21 の一覧へ戻るホーム
**防衛者へフロンティア・サイバーセキュリティ機能を提供する**

2026/02/21 3:03

**防衛者へフロンティア・サイバーセキュリティ機能を提供する**

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

Claude Code Security は、Claude Code に組み込まれた AI 搭載機能であり、コードベースを自動的にスキャンして隠れた脆弱性を検出し、人間がレビューするための正確なパッチを提案します。ルールベースのスキャナーとは異なり、Claude の推論力を活用してコンポーネント間の相互作用や複雑な欠陥を理解し、その後多段階チェックで発見内容を検証したうえで、ダッシュボードに深刻度評価と信頼度レベルを表示します。
ツールは Capture‑the‑Flag コンテストやパシフィックノースウェスト国立研究所(PNNL)で検証され、Claude Opus 4.6 を使用したプロダクションオープンソースプロジェクトにおいて、500 件を超える長期未発見の脆弱性が発見されました。Anthropic は社内でも同ツールを利用して自身のコードを保護し、その結果 Enterprise および Team 顧客向けに限定的なリサーチプレビューとして広範囲に公開しました。
オープンソースメンテナーは、Anthropic チームと直接協力してシステムを改善するため、迅速で無料のアクセス申請が可能です。同社は AI が近い将来に世界中のコードベースの大部分をスキャンし、攻撃者よりも高速にパッチを適用できるようにすることで、業界全体のセキュリティ基準を向上させることを想定しています。

この要約ではツールが Claude に構築されていることを明示し、チームが既存のツール内で発見結果をレビューできるようになった点を強調しています。

本文

Claude Code Security(クローズ・コードセキュリティ) は、ウェブ上で動作する Claude Code に組み込まれた新機能で、現在限定的な研究プレビューとして公開されています。
コードベース全体をスキャンし、脆弱性を検出して、人間のレビューに向けて対象となるソフトウェアパッチを提案します。これにより、従来の手法では見逃されがちなセキュリティ問題をチームで発見・修正できるようになります。

セキュリティチームが直面する共通課題

ソフトウェア脆弱性は多岐にわたり、対処できる人員が不足しています。既存の分析ツールは有用ですが、主に「既知パターン」を検出するため、攻撃者が狙うような微妙で文脈依存の脆弱性を見逃すことがあります。
こうした問題を発見・対処するには、高度な専門知識と時間を要する人間研究者が不可欠です。

AI がその計算式を変えつつあります。最近、Claude は新規かつ高い重大度の脆弱性を検出できることを示しました。しかし、防御側にとって有用な機能は、攻撃側にも同様に利用され得ます。
Claude Code Security は、その力を防御者側にしっかりと委ね、AI を駆使した新たな攻撃手法からコードを守ることを目的としています。
本機能は Enterprise および Team 顧客向けに限定的な研究プレビューとしてリリースされ、オープンソースリポジトリのメンテナには迅速アクセスが提供されます。共同で機能改善を進め、責任あるデプロイメントを確保するためです。

Claude Code Security の仕組み

静的解析とルールベースの違い

静的解析は自動化されたセキュリティテストとして広く採用されていますが、ほぼ全てが「既知パターンにマッチする」ルールベースです。

  • 長所:公開パスワードや古い暗号化方式などの一般的な問題を検出
  • 短所:ビジネスロジックの欠陥やアクセス制御の破損といった複雑な脆弱性は見逃しがち

Claude Code Security のアプローチ

Claude はコードを「人間のセキュリティ研究者」のように読み、推論します。

  1. コンポーネント間の相互作用 を理解
  2. データフロー を追跡し、アプリケーション内でどこへ流れるかを把握
  3. ルールベースでは検出できない複雑な脆弱性を捕捉

各発見はマルチステージの検証プロセスを経てから分析者に届けられます。Claude は自身の結果を再評価し、真偽を判定して誤検知(false positives)を除外します。また、重大度レベル を付与し、チームが最優先で対処すべき箇所を明確にします。

ダッシュボードでの確認

検証済みの発見は Claude Code Security のダッシュボードに表示されます。

  • チームは提案されたパッチをレビューし、承認して修正を実行できます
  • 各発見には「信頼度」も示されるため、ソースコードだけでは判断が難しいニュアンスも考慮可能です
  • すべての変更は必ず人間の承認を経て適用されます。Claude は問題点と解決策を提示するのみで、最終的な意思決定は開発者に委ねられます。

サイバーセキュリティへの Claude の活用

Claude Code Security は、Claude のサイバーセキュリティ機能の 1 年以上にわたる研究成果を基に構築されています。

  • Frontier Red Team が競技的 Capture‑the‑Flag イベントで Claude をテスト
  • Pacific Northwest National Laboratory と協力し、AI を使った重要インフラ防御実験
  • 実際のコードに対する脆弱性検出・パッチ提案を継続的に改善

その結果、Claude Opus 4.6(本月初リリース)を用いたチームは、本番オープンソースコードベースで 500 件以上 の未発見脆弱性を特定。数十年にわたり専門家レビューを受けても検出されていなかったバグです。現在、メンテナと協力しトリアージ・責任ある開示作業中であり、オープンソースコミュニティとのセキュリティ活動拡大を計画しています。

また、Anthropic 自社のコードも Claude でレビューしており、同様に高い安全性が確認されています。Claude Code Security は、その防御機能をより広く利用できるよう設計されました。Claude Code をベースにすることで、既存ツール内で発見と修正を繰り返せます。

今後の展望

サイバーセキュリティは今が転換点です。

  • AI がコード全体をスキャン する時代が近づき、長期にわたり隠れたバグや脆弱性を検出できるモデルが増加
  • 攻撃者は AI を駆使し、かつてよりも迅速に脆弱点を見つけます
  • しかし、防御側も同じ速度で検出・パッチを施せば攻撃リスクを大幅に低減できます

Claude Code Security は「コードベースの安全性向上」と業界全体のセキュリティ基準向上という目標への一歩です。

使い始めるには

本日、Enterprise および Team 顧客向けに Claude Code Security の限定研究プレビューを開始します。

  • 早期アクセス を得て、ツールの機能改善に直接協力できます
  • オープンソースメンテナも無料で迅速アクセスを申請可能

ここからアクセスを申請(リンクは実際には提供されます)

さらに詳細については claude.com/solutions/claude-code-security をご覧ください。

関連コンテンツ

  • Anthropic とルワンダ政府が AI を健康・教育に活用するための MOU を締結 – 詳細はこちら
  • Claude Sonnet 4.6 の登場 – コーディング、エージェント、およびプロフェッショナル作業でフロンティア性能を実現 – 詳細はこちら
  • Anthropic と Infosys が通信および規制産業向け AI エージェント構築に協力 – 詳細はこちら

同じ日のほかのニュース

一覧に戻る →

2026/02/21 2:58

「Androidをオープンに保つ」

## 日本語訳: F‑Droidは、GoogleのAndroidポリシーの変化についてコメントしながら、新しい **Basic 2.0‑alpha3** ビルドを公開しました。 - **FOSDEM26** でユーザーは、GoogleがAndroidをロックダウンする計画を中止したと聞き安心しましたが、8月の発表ではその計画がまだ有効であることが示されています。 - 記事は、Google の「advanced flow」主張の曖昧さと、Android 16 QPR2/3 や Android 17 Beta 1 の明確なリリース日が設定されていない点を批判しています。 - **バナー警告** は、Google がゲートキーパーになる前に時間がなくなることをユーザーに知らせ、IzzyOnDroid、Obtainium、および他のダウンローダーでも同様のバナーが表示されます。 - 新しい Basic リリースには、更新された翻訳、インストール済みアプリの CSV エクスポート、インストール履歴、ミラー選択器、スクリーンショット防止機能、ツールチップ、新しいオーバーフローメニュー、永続的な並べ替え順序、Material 3 スタイル、およびさまざまなバグ修正が含まれています。 Basic 1.23.x を使用しているユーザーは、このアルファを受け取るために「Allow beta updates」を手動で有効にする必要があります。 - **いくつかのアプリが更新されました**:Buses 1.10、Conversations/Quicksy 2.19.10+、Dolphin Emulator 2512、Image Toolbox 3.6.1(AIツール)、Luanti 5.15.1、Nextcloud ファミリー(Nextcloud 33.0.0、Cookbook 0.27.0、Dev 20260219、Notes 33.0.0、Talk 23.0.0)、ProtonVPN 5.15.70.0(WireGuard のみ)、Offi 14.0、QUIK SMS 4.3.4、および SimpleEmail 1.5.4。 - **5 つのアプリが削除されました**:Chord Shift、OpenAthena™ for Android、Tibetan Keyboard、Tibetan Pad、Tomdroid。 - **新しいアプリが追加されました**:NeoDB You(Material 3/You を採用した NeoDB のネイティブ Android アプリ)。 - 280 件を超えるアプリが更新され、注目すべきものとして Aurora Store 4.8.1、Bando.js Gadgetbridge 0.89.1‑banglejs、DuckDuckGo Privacy Browser 5.266.0、Element X 26.02.0、OpenTracks v4.26.0、Proton Pass 1.37.2 などがあります。 - F‑Droid は読者に RSS フィードの購読、TWIF フォーラムスレッドへの参加、および寄付ページでの寄付を促しています。 この改訂された概要はリストから主要なポイントをすべて保持し、不必要な推測を避け、明確なメインメッセージを提示し、曖昧または混乱する表現を除去しています。

2026/02/21 6:25

Dependabot をオフにします。

## Japanese Translation: ## 要約 DependabotはGoプロジェクトで細かいパッケージフィルタリングが不足しているため、頻繁に無関係なセキュリティアラートを生成します。著者はDependabotを停止し、最新の依存関係に対して`govulncheck`とテストスイートを実行するスケジュール済みGitHub Actionで置き換えることで、ノイズを劇的に減らしながらも実際の脆弱性は検出できることを示しています。 重要な例として、`filippo.io/edwards25519`(v1.1.1)の修正が挙げられます。このパッチはDependabotのデフォルト動作により、関連しないリポジトリ―例えばWycheproof―でも何千件ものPRを生成しました。対照的に、`govulncheck`は静的解析後に脆弱なシンボルが到達不能であると判断し、著者のプロジェクトでは「脆弱性なし」と報告します。 Go Vulnerability Database はモジュール、バージョン、シンボル、CVE参照などの詳細メタデータを提供しており、こうした精密なフィルタリングを可能にしています。著者は毎日実行されるワークフロー(`go get -u -t ./...`)と10:22 UTCに実行される`govulncheck`を組み合わせ、真の脅威に対してのみアラートが上がるようにしています。 CI環境を潜在的なサプライチェーン攻撃から保護するため、ワークフローではgVisorを使用したサンドボックス化ステップ`geomys/sandboxed-step`を採用しています。この手法は、各依存関係のスケジュールではなくプロジェクト自身のリリースサイクルに合わせて依存関係を更新することを推奨し、継続的なバンプなしで早期検出を実現します。 この戦略は、Go Security Team が2020–21年にデータベース品質と静的解析フィルタの改善に焦点を当てたものと一致しており、Geomys のリテーナー契約(Ava Labs、Teleport、Tailscale、Sentry)によって支援されています。著者は他の開発者にも同様のワークフローを採用するよう促し、Bluesky(@filippo.abyssdomain.expert)または Mastodon(@filippo@abyssdomain.expert)でフォローしてもらうことを読者に呼びかけています

2026/02/20 22:51

**Ggml.ai、Hugging Faceと提携しローカルAIの長期的進展を確保** - 軽量機械学習モデルのリーディングプロバイダーであるGgml.aiが、Hugging Faceとパートナーシップを結びました。 - 本協業は、世界中におけるローカルAIソリューションの継続的な開発・展開を確実にすることを目的としています。 - 両社は資源やベストプラクティス、コミュニティサポートを共有し、デバイス上で動作するインテリジェンスのイノベーションを加速させていきます。

## 日本語訳: > ggml.ai の創設者は、AI を真にオープンに保ちつつ、ggml/llama.cpp スタックのメンテナンスに専念するため、Hugging Face に参加します。このパートナーシップはプロジェクトの長期的な持続可能性を保証し、ユーザーと貢献者に新たな機会を提供します。これまでの 3 年間の協力により、コア機能・ユーザーインターフェース・マルチモーダルサポート・GGUF 対応が追加されました。Llama.cpp は多くのコンシューマー ハードウェア上で動作するプライベート AI プロジェクトに不可欠となっており、コミュニティは依然として独自に構成設計を行い、Hugging Face はリソースを提供しつつコードを 100 % オープンソースのまま保ちます。今後、チームはユーザー体験を優先し、ggml/llama.cpp を Hugging Face の Transformers ライブラリに「ワンクリック」で統合し、ローカル推論がクラウドソリューションと競合できるようパッケージングを改善します。これらの取り組みは、使いやすいエッジ推論スタックを構築し、開発者に日常デバイス上でプライベート AI を構築するための安定した基盤を提供するとともに、世界中でオープンソーススーパインテリジェンス エコシステムを拡大することを目的としています。