Microsoftのこの機能やめてほしい うちの会社とか略されて「大麻」とかがいる

AI SOCが発報した通知を受けたお客様のAIが問題無しと判断して闇に葬っていくサイクル

GHSA-fvcv-3m26-pcqx (Axios の脆弱性) がなんか変｜まー zenn.dev/masakura/artic… #zenn

Axiosが内部でリクエスト送信時にNode.jsのhttp/httpsモジュールを利用している場合、もしCRLFインジェクション可能なら、Axiosだけじゃなくhttp/httpsモジュールの脆弱性でもあることになる

話題になっているaxiosのアドバイザリ、自分も内容確認しているけれど、これは偽脆弱性と言ってもよいものだと思う。何か見逃してる観点がないか不安だけど、CVSSに振り回される人たちのために多少書いておく。 github.com/axios/axios/se…

「脆弱性報告が偽かどうか」の検証こそLLMにやらせればいい 今回のAxiosのやつとかはLLMが環境作りやすいので最適

ツールを選ばないというかbashですね

最近、認知戦や情報戦の書籍を読みまくった。そして現状を見ると、ホルムズ海峡封鎖の影響でこれから大きく社会不安が広がりそうな情勢。高市政権の弱体化や日本社会の分断を狙った活動には最適なタイミングすぎる。嫌な時代だ…

Mythosみたいなのが登場してしまいセキュリティ技術者の仕事がなくなる恐れが出てきたが、よくよくﾐｿｽ記事を読んでみると「Mythosの報告はセキュリティ専門家が入念にレビューしてから報告」とあるので、ｱﾝｿﾛﾋﾟｯｸに雇ってもらってAI様の御信託を検証する方向で喰っていけそうだよ

えっ？昔ってCVEを人が取得してたの…？ ｻﾞﾜ…ｻﾞﾜ…

これはむしろ言いたいことを言えているように見える 心理的安全性高そう しらんけど

JavaのsynchronizedはｵﾜｺﾝでReentrantLockを使うべきなのかと思ってたんだけど、Java25とかなら別にsynchronizedでいいらしい。機能としてReentrantLockが不要な場合synchronizedの方がコードも短くなってよいぽい。マジかー

人気WordPressプラグイン群に8カ月潜伏したバックドアが発覚した。正規事業の買収を起点とした供給網攻撃で、数十万サイトが影響を受け、見えない形で不正コンテンツ配信が続いていた。 攻撃者は「Essential

信頼できそうな情報源はJEP491 "Once the synchronized keyword no longer pins virtual threads, you can choose between synchronized and the APIs in the java.util.concurrent.locks package based solely upon which best solves the problem at hand."

バイブコーディングで生成したコードに対する生成AIのセキュリティレビュー結果の総評 …これらは AI 生成コードに典型的に見られるパターンであり、「動作するが本番には不向き」なセキュリティ実装となっている。 お前が言うなw と思いました。

わざわざファイルを1つ生成するために外部コマンド(/bin/touch)を呼び出すというDJB思想とはかけ離れた（たぶんｗ）姿になっていたのか… github.com/califio/public…

先週いろんな意味で話題になってた Axios の Header Injection の脆弱性、週末に見たら CVSS が 4.8 までナーフされてた。これには only CVSS でトリアージ民もニッコリ。 Axios has Unrestricted Cloud Metadata Exfiltration via Header Injection Chain github.com/advisories/GHS…

JavaのConcurrentLinkedQueueに関するメモ kanatoko.wordpress.com/2026/04/27/jav… Kanatokoより