2026-06-21 の一覧へ戻るホーム
Show HN: 私たちは、拒否する代わりにペネトレーションテストを行うモデルを事前学習しました。

2026/06/20 22:49

Show HN: 私たちは、拒否する代わりにペネトレーションテストを行うモデルを事前学習しました。

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

argusredは、CosineAIによって開発されたCLIツールで、特許出願中のモデルを用いてセキュリティスキャンと承認されたペネトレーションテストを一元化するものです。汎用的なツールや理論的な評価とは異なり、argusredはコードベース内で厳密に根拠に基づいた脆弱性情報の分析を提供します。このツールは、未承認のファイル書き込みやコマンド実行をブロックするため、読み取り専用のGo製のハネスにより強制される堅牢な安全性アーキテクチャを搭載しています。

このツールには以下の2つのモードが用意されています:

  • Security Scan(受動的コード分析):アクティブなモジュール全体にわたる依存関係の脆弱性、SQLi/XSSベクトル、シークレット検出をカバーします。
  • Pen Test(明示的に承認されたターゲットに対する能動的攻撃)。ペネトレーションテストモードには、ポートフィンガープリンティング、TLS分析、ペイロード注入が含まれ、ブルートフォース攻撃やエクスプロイトチェーン構築などのオプションの深い取り組みも可能です。重要なのは、能動的テストはPen Testモードに限定されており、標準的なスキャンはファジングやDAST(動的アプリセキュリティテスト)を行わず、コード解析と推論のみに基づくことです。

実行安全性とネットワークスコーピングは厳格に強制されます:エージェントは必須の署名済み承認(booking)で定義されたホストのみに制限され、隣接システムへのアクセスは禁止され、時間枠内での動作が義務付けられます。エクスプロイト検証を有効化することで、隔離されたDockerコンテナ内または読み取り専用のファイルシステムに対して安全に問題を再現し、報告される見つけが理論的ではなく実際のもの임을保証できます。

攻撃的なセキュリティの深さを目的として特別に開発されたargusredは、Cosineのポスト訓練済みモデルを採用し、曖昧な「雰囲気ベース」のリスクを回避します。大規模なコードベースも対応可能で(例:並列スワームによる約40分間での約150万行)、局所Markdownレポートとしてエグゼクティブサマリー、深刻度評価、具体的な修正方法を出力します。インストールは無料であり、新規アカウントには200万トークンの無料枠が付与されます。その後、スキャンとペネトレーションテストのエンゲージメントはスコープと努力量に基づいて標準的な料金体系に従います。コーディングエージェントワークフローとのシームレスな統合を通じて、argusredはセキュリティを予測から再現可能な証拠へと転換させます。

本文

ArgusRed: コード監査と攻撃シミュレーションツール

ArgusRed は、セキュリティスキャン(コード分析)とペネトレーションテスト(承認されたシステムに対する攻撃試行)の 2 つの機能を統合した CLI ツールです。

インストール方法

argusred
を導入する主な方法如下:

# Homebrew (MacOS/Linux)
brew install CosineAI/argusred/argusred && argusred

# 公式インストーラー
curl -fsSL https://raw.githubusercontent.com/CosineAI/argusred-dist/main/install.sh | sh

注意: Windows へのサポートは近日公開予定。

セキュリティスキャンモード

概要と機能

  • コードベースの分析に基づき、以下の情報をマークダウンレポート形式で出力します:
    • 発見箇所の場所
    • 重大度(Critical / High / Medium / Low)
    • 原因
    • 改善方向
  • 無料利用: 初めての起動時に Cosine のアカウント作成が求められ、新規ユーザーには200 万トークンの無料クレジットが付与されます。

実行手順

  1. リポジトリへ移動: 
    cd path/to/your/repo
  2. ツールを実行: 
    argusred
  3. 第 1 回起動: Cosine アカウント作成 → 無料クレジット付与済み状態へ移行。

スキャン設定 (
argusred v2.0.19
)

以下の 8 モードのうち、5 つを有効にします(×: 無効、□: 有効)。

  • スキャン対象範囲:

    • [×] 依存関係の脆弱性分析
    • [×] シークレットおよび認証情報の検出
    • [×] SQL インジェクション/XSS ベクターの検出
    • [ ] 認証とセッションフローの解析
    • [ ] 入力検証とサニタイゼーション
    • [ ] CORS および CSP の設定不備の検出
    • [ ] 暗号化の弱さスキャン
    • [×] ファイル権限およびアクセス制御の確認

  • 攻撃検証 (Penetration Test): レポート後に発見事項を安全に再現する機能を有効可。デフォルトは無効。

  • エージェントの権限:

    • ターミナルアクセス: 無効
    • ネットワークリクエスト: 無効
    • ファイル書き込み: サンドボックス化(制限済み)

サンプルスキャン出力

ツールは 

.argusred/scan-<日付>.md
という形式のレポートを生成します。

  • 内容: 総括概要、各モジュールの発見事項、詳細情報。
  • 検出例: 「複数の重大な脆弱性と高深刻度障害が検出されました:すべての台帳サービスでトークンの偽造が可能に。バージョン管理システム内に RSA 個人鍵を含むシークレットがハードコーディングされています。」

安全制約と仕組み

  • 改変禁止: コードは絶対に変更不要です。Go ハレスにより読み取り専用強制適用され、ファイル書き込みやコマンド実行がブロックされます。
  • 手法制限: フuzziングやライブ攻撃(DAST)は行いません。積極的なテストはペネテストモードにて実施。
  • 根拠重視: コードに基づかない推測や感受性に基づく脆弱性の報告は含まれません。

効率性とコスト

  • 処理速度: モジュールが並列動作するため、コード規模に反比例して高速化されます。
    • 6 モード・3 万行:約10 分
    • Symfony(150 万行): 完全スキャンで約40 分
  • コスト: 第 1 回実行時は 200 万トークン無料。以降は標準レートが適用されます。

ペネトレーションテストモード

概要と機能

セキュリティスキャンとは異なり、承認されたシステムに対して実際に攻撃を試みます

  • コードを読むだけでなく、実際の被害再現を目標とします。
  • アクセスは予約・範囲設定による明確な文書化が必須です。
  • 成果物は「エンゲージメント概要」レポートです。

実行手順と設定 (
argusred vnightly-906
)

1. ターゲットの設定

  • 承認されたシステムのみを追加します(
    a
    キーで入力)。
  • 初期状態: ターゲット未登録。

2. 労力レベルの選択

  • Passive / Aggressive
  • リコン(探索): 
    ライト
    モデレート
    ディープ
    アグレッシブ
    • 意図的なプロビングにより WAF ルールやレート制限をトリガーする可能性があります。破壊行為は行いません。

3. テクニックの選択 (労力レベルに応じて)

  • [×] ポートおよびサービスフィンガープリンティング
  • [×] ヘッダーおよび TLS 分析
  • [×] ディレクトリおよびエンドポイントの列挙
  • [×] ペイロードインジェクション(SQLi, XSS, SSTI など)
  • [ ] 暴力攻撃による認証情報の散布 (ディープ)
  • [ ] 脆弱性チェーンの構築 (アグレッシブ)
  • [ ] サービス拒否(DoS)への耐性テスト (アグレッシブ)

4. エージェントの権限

  • ターミナルアクセス: 有効
  • ネットワークリクエスト: 有効
  • ファイル書き込み: サンドボックス化(制限済み)

見積もりと開始

  • 現在の設定例:
    • ターゲット: 0 ホスト | 労力: モデレート | テクニック: 4 クラス
    • 推定時間: 約1 分 | エージェントサイクル: 約2〜3 回
  • アクション: ▶ ペネテスト開始 / キャンセル

サンプルペネテスト出力

ファイル: 

.argusred/pentest-<日付>.md

  • 内容: ステータスカウント、範囲詳細、再現スクリプトを含む確認された攻撃。
  • 検出例:
    1. JWT 署名回避 (Critical, CVSS 8.6): 
      POST /v1/sessions/refresh
      において偽造トークンが返却(200 OK)。管理領域権限付与確認。
    2. OAuth SSRF (High, CVSS 7.4): 
      /oauth/authorize
      のオープンリダイレクトにより、任意の内部 URL が解決される現象を確認。

安全制約と遵守

  • 未許可実行不可: 署名された権限なしでは動作しません。法的な予約ステップを踏む必要があります。
  • 範囲の強制拡大禁止: 発見事項に関わらず、承認されたターゲットのみを対象とします。
  • 時間枠厳守: 予約されたスロットを過ぎたら直ちに停止します(効力スラップ)。
  • 権限エスカレーション禁止: 予約された権限以上のアクセスが必要となった場合は即座に停止し、その旨を報告します。

ペネテストとスキャンの違い

項目セキュリティスキャンペネトレーションテスト
対象コードベースのみ実行中のシステム(ホスト/URL)
手法分析・推測実装による攻撃試行
権限読み取り専用ネットワークアクセス有効 (限定)
成果物監査レポートエンゲージメント概要

コストと見積もり

  • 決定方法: エンゲージメント開始時の予約時点で、範囲と労力レベルに基づき価格が決定されます。

技術アーキテクチャ

  • ベースモデル: Cosine 独自開発のモデルを使用します。市販 API やプロンプトラッパーではなく、「攻撃に値するコード部分を読まない」ことを前提としてポストトレーニング済みです。
  • 安全な実装 (Go ハレス):
    • モデルからの要求は一切受け付けない層ではありません。Go ハレスが下層でツール呼び出しを実行前に遮断します。
    • スキャンモード: 変更系ツール(ファイル書き込み、コマンド実行)は厳格にブロック。読み取り専用はオプションのフラグではなく必須。
    • ペネテストモード: ネットワークエグレスは予約されたターゲットのみへ制限。
  • 配布形態:
    • Homebrew (
      brew
      ) または 
      curl
      でインストールするバイナリを使用します(オープンソースではありません)。
    • ローカルマシンで動作し、ファイアウォール経由でも動作を確認可能です(例:
      tcpdump
      による挙動確認)。

同じ日のほかのニュース

一覧に戻る →

2026/06/21 7:36

2022 年以前の書籍

## Japanese Translation: 著者は 2022 年以降に出版された書籍、特に未知の作家によるものに過小評価する個人的な無意識のバイアスを認め、すべての文字が人間によって入力され、編集され、校正されたためにより重みがあると信じる古いタイトルの作品を好むと告白している。大規模言語モデルは効果的なコーディングツールのことを認める一方で、このバイアスに不安を感じながらも、それが社会に対して新しい技術の悪影響や特定の業界の更新事項に関連すると見なすわけではない。その作品では、執筆、印刷、新聞、ラジオ、テレビ、インターネットといった歴史的なメディア形式に触れているが、これらを技術的出来事と結びつけてはいない。検証の主張や IT ニュースは提示されていない。著者はこの傾向に対する既知の解決策がないこと述べており、それを不要かもしれないとして結論づけ、その省察を広範な技術導入やビジネスへの影響に対する批判ではなく、個人の読書習慣についての評論として位置づけている。 ## Text to translate: The original summary is strong and accurate; only a minor adjustment to phrasing can make it slightly more direct. Here is an improved version: The author admits a personal subconscious bias that undervalues books published after 2022, especially by unknown writers, preferring older titles on the belief they carry more weight because every word was typed, edited, and proofread by humans. While acknowledging that large language models are effective coding tools, the writer feels uneasy about this bias but does not equate it with concerns that society is being negatively affected by new technology or tie it to specific industry updates. The piece references historical media forms—writing, printing, newspapers, radio, television, and the Internet—without linking them to technical events. No verification claims or IT news are presented. The author states there is no known solution to this inclination and concludes it may not need one, framing the reflection as a commentary on individual reading habits rather than a critique of broader technological adoption or business impacts.

2026/06/21 5:30

愛の物語

## Japanese Translation: このテキストは、「カップルが出会い、ともに生き抜く方法」調査(2017 年、2020 年、2022 年)のデータが表示されている方法を明確にし、誤解を防ぐことを目的としています。主なメッセージは、アイコンチャートは三つの波浪すべてに登場した参加者のみを表示し、各参加者は 1 つのアイコンで表されることです。これらの視覚化は個人を表しているものの、基礎となる分析は人口全体に基づいて行われ、統計的な正確さを確保するために人口特性に基づく加重されたサブセットを使用します。したがって、チャート内の正確な数は加重分析の合計数と一致しない場合があります。個々のアイコンは純粋に視覚化のための目的であり、視覚化は特定の人口統計ではなく一般的な結果を反映しています。より深い方法論的洞察や将来の更新については、Alvin のニュースレターへの購読を推奨します。このデータセットは Stanford University Libraries(https://data.stanford.edu/hcmst2017 でアクセス可能)を通じて Rosenfeld, Thomas, Hausen(2023)から取得されており、視覚化に使用された粘土アニメーションアイコンの作成に際し Amanda Sakuma 氏に特別感謝いたします。

2026/06/21 2:01

SMPTEが標準をフリーアクセス可能に

## Japanese Translation: 以下のものは、日付、場所、ドキュメントの完全な範囲、特定のリーダーの名前、そして企業サポーターの文脈など、欠落していた具体的な詳細を統合しつつ、読みにくさを保ちながら改訂されたバージョンです。 ## サマリー(改訂版) **ニューヨーク州、ホワイトプレインズ、2026 年 6 月 17 日** — SMPTE は、アクセシビリティにおける歴史的な転換を発表しました。同社全体の標準カタログ(発効済み標準、推奨プラクティス、エンジニアリングガイドライン、登録開示文書(RDD)、および今後のリリースをすべて含む)は、今やグローバルなメディアテクノロジーコミュニティ全体に対して無料で利用可能となりました。SMPTE 社長のリッチ・ウェルシュ氏は、この決断が 110 年にわたる進化の後に、将来の相互運用性を確保するために不可欠であると述べました。この戦略的措置は、AI の真正性、コンテンツの出所、IP ベースのワークフローなど、業界全体を変革する課題に直接対処しています。本イニシアチブは、GitHub ベースのワークフローを採用し、構造化された HTML 制作への移行を行うという広範な近代化プロジェクトの一部です。SMPTE 標準副本代表のレイモンド・ヨン氏によると、これらの障壁を取り除くことで透明性が支えられ、業界のニーズに応えるスピードが向上します。一方、ディレクターのスティーブ・LLAMB は、アクセシビリティの向上が誤情報の削減に寄与し、主要テクノロジー大手全体で一貫した実装を可能になると強調しました。このオープンアクセス図書館は、ダイヤモンドレベルの企業会員(Amazon AWS、Apple、Blackmagic Design、CBS/Paramount Global、Disney、Dolby、Fox、Google、Ross Video、Sony、Telstra)によって支えられています。この進化を持続させ、さらなるイノベーションを育成するため、SMPTE は創設者支援者認識プログラムを開始しました。2026 年 12 月 31 日までに 1 万ドル以上の寄付を行う団体は、「創設者支援者」として公的に認定されます。すべてのドキュメントは、次世代メディアエコシステムにおける透明性を推進するために、SMPTE スタンダードズライブラリを通じてアクセス可能です。 # チェックポイント検証 - **主要なキーポイントはすべて反映されていますか?** はい(日付/場所を追加し、ドキュメントの完全な範囲を記載、名前を特定されたリーダーが引用され、ダイヤモンドメンバーの完全リストが含まれています)。 - **テキストに含まれていない推測を含んでいますか?** いいえ、提供された事実に基づいて物語を展開しています。 - **メインメッセージは明確ですか?** はい、閉鎖からオープンへのアクセシビリティ転換が中心的なテーマとなっています。 - **曖昧な表現がありますか?** 「ダイヤモンドレベル」「特定のドキュメント種類」などの具体的な定義を追加することで軽減されました。