
こういう要約が、毎朝あなたのメールに届きます。
無料で登録 →Vercel(Next.jsなど主要ウェブツールの開発企業)のエンジニアが Context.ai というAIブラウザ拡張機能をインストール。その拡張機能の開発企業がマルウェアに感染し、ハッカーが OAuth 認可(アプリ間で権限を共有する仕組み)を使って Vercel の本番環境に無断アクセスした。日曜日に発覚、Mandiant(セキュリティ調査企業)が介入、現在も捜査継続中。
問題は OAuth 認可の設定が誰にも確認・監視されていなかったこと。多くのセキュリティチームは、アプリが何の権限を持っているか全体像を把握していないため、侵入の道が見えていない。Vercel は事後対応として、環境変数(アプリの設定情報)をデフォルトで『機密』扱いに変更した。
ビジネス向けソフトウェアの利用者(開発チーム、スタートアップ、企業 IT 部門)にとって、 1 人の従業員がインストールした AI ツールが全社システムへの穴になるリスクが明確化された。自社が使う SaaS やブラウザ拡張機能がどんな認可権を持っているか、定期的に棚卸しする必要が出てきた。
まだコメントがありません。最初のコメントを投稿しましょう!
ログインして議論に参加200以上のソースから厳選したAIニュースを毎日無料でお届けします。
無料で始める登録無料・30秒で完了・いつでも解除できます
毎朝1分、AIの要点だけ。
200媒体以上・Email/LINE/Slack 対応