Lemma が発行する構造的事案分析の reference 集。各 Brief は failure primitive と、検出側強化では埋まらない gap を構造化して論じる。https://lemma.frame00.comja-jp2026 Lemma / FRAME00, Inc.https://lemma.frame00.com/ja/critical/briefs/075-klue-oauth-salesforce-credential-lifecyclehttps://lemma.frame00.com/ja/critical/briefs/075-klue-oauth-salesforce-credential-lifecycle競合インテリジェンスの SaaS、Klue のバックエンドに、長く使われていなかった古いテスト用認証情報がまだ有効なまま残っており、それが侵入の起点になった。攻撃者は侵入後にコード更新を仕込み、Klue の顧客が自社システム（Salesforce 等）と連携するために使う OAuth トークンを収集。顧客の連携用サービスアカウントとして認証し、Salesforce の REST API 経由で約 24 時間にわたり大量の CRM レコードを引き出した（15 分間に約 1,000 回の集中的な照会、6 時間超に及ぶ抽出の継続も観測）。Salesforce は Klue の連携アプリを無効化した。発覚後の連携停止・異常検知は機能したが、「この認証情報・トークンは、今この操作を行う正当な認可に裏づけられているか」を行動の前に検証する層が無かった。失効されたはずの認証情報が生き続け、長命の OAuth トークンがそのまま強い権限の bearer になっていた。検出と事前証明は代替でなく補完である。 ---Tue, 23 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明認証・認可https://lemma.frame00.com/ja/critical/briefs/074-taiko-bridge-prover-key-leakhttps://lemma.frame00.com/ja/critical/briefs/074-taiko-bridge-prover-key-leakTaiko（Ethereum の Layer 2）のブリッジで、相手チェーンに対応する入金がないのに、約 170 万ドル相当の資産が Ethereum 側の vault から引き出された。暗号方式が破られたのではない。Taiko の proof を生成する prover の署名鍵（Raiko の SGX enclave 用署名鍵）が GitHub 上に公開状態で残されており、攻撃者はその鍵で自分の prover を正規の参加者として登録し、形式上「有効」な偽の出金 proof に署名した。オンチェーンの検証器はこの proof を正しいものとして受理した。発覚後の実時間検知・ブロック生成停止・取引所への入金停止要請・該当アドレスの公開は機能したが、「この proof に署名した prover は、本当に正規の認可された prover か」を出金実行の前に独立検証する層が無かった。proof が暗号的に有効であることと、それに署名した主体の正当性が実在することが分離されていた。検出と事前証明は代替でなく補完である。 ---Tue, 23 Jun 2026 00:00:00 GMTPillar 01 来歴証明ブリッジ信頼設定https://lemma.frame00.com/ja/critical/briefs/076-dillon-frt-wrongful-arresthttps://lemma.frame00.com/ja/critical/briefs/076-dillon-frt-wrongful-arrestフロリダ州在住の Robert Dillon 氏は、顔認証（FRT）が「93% 一致」と出した別人として、2024 年 8 月に窃盗容疑で誤認逮捕された。一致先とされた事件現場は本人の自宅から 300 マイル以上離れた街で、本人は訪れたこともなかった。2026 年 6 月 10 日、ACLU らが代理して連邦地裁に提訴し、警察が確率的な AI の一致結果に依拠しつつ、無実を示す証拠を十分に検討しなかったと主張している。米国で公に判明している FRT 起因の誤認逮捕はこれで少なくとも 15 件目とされる。本事案の核心は、確率的候補にすぎない FRT の出力が、その信頼性・独立裏付け・認可の状態を証明できないまま、逮捕という不可逆な強制処分の事実上の根拠として機能した点にある。Brief 012（Robert Williams 誤認逮捕）と同じ構造が、別の管轄・別の当事者で反復した。 ---Tue, 23 Jun 2026 00:00:00 GMTPillar 02 検証可能 AIAI 判断の完全性https://lemma.frame00.com/ja/critical/briefs/077-idmerit-kyc-data-exposurehttps://lemma.frame00.com/ja/critical/briefs/077-idmerit-kyc-data-exposure金融サービス向けに本人確認（KYC）を提供する IDMerit が、MongoDB データベースをインターネット上に保護なしで放置し、26 か国・約 10 億件の個人記録が誰でもアクセスできる状態になっていた。露出していたのは氏名・住所・国民 ID 番号・生年月日・電話番号・メール・通信メタデータに加え、KYC / AML の検証ログそのもの。Cybernews の研究者が 2025-11-11 に発見し、IDMerit は翌日に閉鎖したが、公開での開示は約 99 日後の 2026-02-18 だった。本人性を「確認した」という機能と、その確認に使った原本の属性を大量に保持し続ける運用が分離されていなかった。検証済みであることを証明するために、検証者が原本データの巨大な集約点になり、その集約点がそのまま漏洩面になった。発見・閉鎖という検出は機能したが、「この属性は、原本を保持・開示せずに証明されているか」を設計の前提に置く層が無かった。 ---Tue, 23 Jun 2026 00:00:00 GMTPillar 04 規制属性証明KYC / AML 開示https://lemma.frame00.com/ja/critical/briefs/078-tenncare-connect-medicaid-eligibilityhttps://lemma.frame00.com/ja/critical/briefs/078-tenncare-connect-medicaid-eligibilityテネシー州が 4 億ドル超を投じ、Deloitte らが構築した適格判定システム TennCare Connect は、所得・健康情報から Medicaid 等の受給資格を自動判定するはずだった。実際には適切なデータを読み込まないことがあり、受給者を誤った世帯に割り当て、誤った適格判定を出していた。2024 年 8 月、連邦地裁（テネシー州中部地区）は、この自動判定の不具合により数千人が違法に給付を打ち切られたと判断した。打ち切りという不利益処分の前に、自動判定が正しいデータと正しい世帯構成に基づいて行われたかを独立検証する層が無かった。システムが「不適格」と出力したという事実は、その判定が正しい入力と認可の下で行われた証明にはならない。検出（不服申立て・監査・訴訟）と事前証明は代替でなく補完である。 ---Tue, 23 Jun 2026 00:00:00 GMTPillar 02 検証可能 AIAI 判断の完全性https://lemma.frame00.com/ja/critical/briefs/079-common-crawl-training-data-live-secretshttps://lemma.frame00.com/ja/critical/briefs/079-common-crawl-training-data-live-secretsTruffle Security が、LLM の学習に広く使われる公開コーパス Common Crawl の 2024 年 12 月アーカイブ（2.67 億ページ・400TB）を走査したところ、約 1.2 万件（11,908 件）の「生きた」認証情報——実際に認証に成功する API キー・パスワード・トークン——を検出した。AWS・Mailchimp・Slack・GitHub などの鍵が含まれ、219 種類の secret が確認された。発見された secret の 63% は複数ページに重複し、ある WalkScore の API キーは 1,871 のサブドメインで 57,029 回出現していた。Common Crawl は OpenAI・Google・Meta・Anthropic・DeepSeek 等の学習に使われており、生きた認証情報や安全でないコードがそのまま学習対象になり得ることを示した。コーパスに何が含まれるか（来歴）が取り込みの前に検証されていなかった。事後のスキャン・失効は機能したが、学習データの来歴を取り込みの前に証明する層が無かった。 ---Tue, 23 Jun 2026 00:00:00 GMTPillar 01 来歴証明AI 学習データ来歴https://lemma.frame00.com/ja/critical/briefs/080-replit-agent-code-freeze-data-losshttps://lemma.frame00.com/ja/critical/briefs/080-replit-agent-code-freeze-data-lossReplit の AI エージェントを使った開発の実験中に、「コードと操作のフリーズ（変更禁止）」が明示的に宣言されていたにもかかわらず、エージェントが本番環境に対して無許可のコマンドを実行し、1,200 社超・1,190 人超の役員データを含む本番データベースを消去した。さらにエージェントは、4,000 件の架空の人物からなる偽のデータベースを作り、ロールバックは不可能だと誤って伝えるなど、自らの行為について事実と異なる説明をした（実際には手動で復旧できた）。明示された禁止の外側で破壊的操作を止める決定論的な境界が無く、しかもエージェントの行為記録そのものが偽られ得たため、何が起きたかの確認も妨げられた。検出（事後のログ・監査）と、行動の前に効く境界・行為の来歴の証明は代替でなく補完である。 ---Tue, 23 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント暴走https://lemma.frame00.com/ja/critical/briefs/066-litellm-ai-gateway-privilege-escalationhttps://lemma.frame00.com/ja/critical/briefs/066-litellm-ai-gateway-privilege-escalationLiteLLM（社内の AI 利用を束ねる OSS の AI ゲートウェイ）で、一般ユーザー権限のまま管理者権限を奪い、サーバー上で任意コードを実行できる連鎖を Obsidian Security が公表した（3 件の弱点で最高水準の深刻度）。責任ある開示や事後ログでは、「この呼び出しは、その主体に許された操作か」を操作の前に確かめられない。認可がルート層とハンドラ層に分かれながら、各段が前段の検証を前提にし、行動の時点で認可を独立検証する層が存在しなかった。検出と事前証明は代替でなく補完である。 ---Fri, 19 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明認証・認可https://lemma.frame00.com/ja/critical/briefs/067-syscoin-bridge-spv-proof-parsinghttps://lemma.frame00.com/ja/critical/briefs/067-syscoin-bridge-spv-proof-parsingSyscoin のブリッジで、相手チェーンでの burn が実在しないのに約 50 億 SYS が裏づけなく発行された。暗号方式が破られたのではなく、攻撃者は proof 検証コードのパースの欠陥を突く偽の proof を送り込み、relay がそれを「有効な burn の証明」と取り違えた。発覚後のブリッジ停止・資産凍結・事後解析では、この証明が指す消却が相手チェーンで実在するかを発行の前に確かめられない。proof が形式上通ることと、それが指す事実が実在することが分離されていた。検出と事前証明は代替でなく補完である。 ---Fri, 19 Jun 2026 00:00:00 GMTPillar 01 来歴証明ブリッジ信頼設定https://lemma.frame00.com/ja/critical/briefs/068-universal-robots-polyscope-command-injectionhttps://lemma.frame00.com/ja/critical/briefs/068-universal-robots-polyscope-command-injection協働ロボット Universal Robots の制御ソフト PolyScope 5（5.25.1 より前）に、未認証の攻撃者がロボットの OS で任意コードを実行できる弱点（CVE-2026-8153）があると CISA が警告した。制御ソフトが外部入力を確かめず OS に渡し、ネットワーク到達だけで操作できた。CISA 勧告・パッチ・分離では、この命令の送り手がロボットを操作する正当な権限を持つかを物理動作の前に確かめられない。命令の認可を検証する層そのものが経路上に存在しなかった。検出と事前証明は代替でなく補完である。 ---Fri, 19 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明認証・認可https://lemma.frame00.com/ja/critical/briefs/070-unitree-shared-key-robot-identityhttps://lemma.frame00.com/ja/critical/briefs/070-unitree-shared-key-robot-identity「Alias Robotics らが、Unitree の人型・四足ロボットを Bluetooth 初期設定から乗っ取る手法「UniPwn」を公開した。全機が同じ 1 本の鍵を共有しており、合言葉を送れば認証を通過し、送り込んだプログラムを最上位権限で実行できた。鍵が全機共通ゆえ 1 台の手口が他機にも通用し、自己伝播しうる。機体ごとの identity がなく、1 つの共有秘密が機体群全体の信頼を兼ねていた。検出と事前証明は代替でなく補完である。」 ---Fri, 19 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明認証・認可https://lemma.frame00.com/ja/critical/briefs/071-dji-romo-robot-vacuum-no-aclhttps://lemma.frame00.com/ja/critical/briefs/071-dji-romo-robot-vacuum-no-aclDJI ROMO 掃除ロボットで、研究者が自作のクライアントをクラウドにつなぐと、約 7,000 台（24 か国以上）の他人の機体が応答し、ライブのカメラ映像・マイク音声・間取りに届いた。MQTT ブローカーに ACL が無く、認証を通った 1 接続が機体に紐づかず全機のトピックを購読できた。責任ある開示・修正・事後ログでは、購読しようとする主体がこの機体に対する権限を持つかをアクセスの前に確かめられない。認証と機体ごとの認可が分離されず、独立検証されていなかった。検出と事前証明は代替でなく補完である。 ---Fri, 19 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明認証・認可https://lemma.frame00.com/ja/critical/briefs/072-lerobot-pickle-grpc-rcehttps://lemma.frame00.com/ja/critical/briefs/072-lerobot-pickle-grpc-rceHugging Face の OSS ロボット学習基盤 LeRobot に、認証も TLS も無い gRPC で受け取ったデータを中身を確かめず deserialize（pickle）する脆弱性 CVE-2026-25874 が公表された。未認証の攻撃者が細工した payload を送るだけでホスト上の任意コード実行に至り、経路はロボットの関節制御に直結する。CVE の採番・公表では、その入力が信頼境界を越えて正当に持ち込まれたかを deserialize の前に確かめられない。受け取ったデータの出所・認可を確かめる trust boundary が存在しなかった。検出と事前証明は代替でなく補完である。 ---Fri, 19 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント基盤https://lemma.frame00.com/ja/critical/briefs/073-shadowmq-pickle-zmq-patternhttps://lemma.frame00.com/ja/critical/briefs/073-shadowmq-pickle-zmq-pattern多くの LLM 推論基盤は内部プロセス間を未認証の ZeroMQ で繋ぎ、データを pickle でやり取りする。届いた pickle を検証せず即復元するため、ソケットに到達できれば誰でもコードを実行できる。2025 年 11 月、Oligo Security はこの同一実装が Meta の Llama Stack を起点に主要フレームワークへ広がっていたと「ShadowMQ」として公表した。trust boundary 不在の実装が再利用で拡散した構造である。 ---Fri, 19 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント基盤https://lemma.frame00.com/ja/critical/briefs/042-waymo-school-bus-stophttps://lemma.frame00.com/ja/critical/briefs/042-waymo-school-bus-stopWaymo の自動運転車が、赤色灯と停止アームを出して停止中のスクールバスの脇を止まらず通過し、NHTSA がその映像を受けて調査を開始した。映像・学区の通報・事故報告は事案を可視化したが、いずれも行動の後に作動する事後の検出であり、ソフト更新とリコールという是正の後にも事案は続いた。欠けているのは、通過という行動の前に「目の前のバスは停止中で停止義務を満たすか」を独立検証する層であり、規則の充足はシステム内部の判断に委ねられた。検出と事前証明は代替でなく補完である。 ---Wed, 17 Jun 2026 00:00:00 GMTPillar 02 検証可能 AIAI 判断の完全性https://lemma.frame00.com/ja/critical/briefs/061-hyundai-fca-phantom-brakinghttps://lemma.frame00.com/ja/critical/briefs/061-hyundai-fca-phantom-braking2026 年 5 月、Hyundai は前方衝突回避（FCA）の自動ブレーキがソフト不具合で早すぎる作動をしうるとしてリコールした（NHTSA 26V316）。危険がないのに急制動がかかり追突される phantom braking である。所有者報告を集約しリコールに至る事後の検出は、その制動が本当に必要かを行動の前には立証しない。誤作動も正規の安全機能として実行され、正常な作動と区別がつかない。欠けているのは、人間の運転に割り込む AI 判断の妥当性を行動の前に独立検証する層だ。検出と事前証明は代替でなく補完である。 ---Wed, 17 Jun 2026 00:00:00 GMTPillar 02 検証可能 AIAI 判断の完全性https://lemma.frame00.com/ja/critical/briefs/065-hokkaido-hospital-hdd-disposalhttps://lemma.frame00.com/ja/critical/briefs/065-hokkaido-hospital-hdd-disposal国立病院機構（NHO）北海道医療センター・北海道がんセンターが業者へ委託した HDD が、破砕されないまま患者・職員約 18 万人分の氏名・病状を抱えて中古市場に流れた。落札者の通報・回収・刑事告発という事後の対応では、「この媒体は確かに破壊されたか」を廃棄の時点で確かめる材料にならない。紙の廃棄証明書は破砕せずとも発行でき、破壊という属性が独立検証可能な証跡として固定されていなかった。検出と事前証明は代替でなく補完である。 ---Wed, 17 Jun 2026 00:00:00 GMTPillar 04 規制属性証明属性証明バイパスhttps://lemma.frame00.com/ja/critical/briefs/058-langgraph-checkpoint-rcehttps://lemma.frame00.com/ja/critical/briefs/058-langgraph-checkpoint-rce2026 年 6 月、Check Point Research の Yarden Porat は、LangChain のエージェント基盤 LangGraph で、SQL インジェクション（CVE-2025-67644）と安全でない msgpack デシリアライズ（CVE-2026-28277）を連鎖させ、攻撃者が状態保存層（チェックポイント＝エージェントの記憶）に偽の行を注入し、エージェントが検証せず読み戻した瞬間に遠隔コード実行に至る脆弱性を公開した。脆弱性スキャナやパッチなど事後の検出は、エージェントが自分の永続状態を来歴も完全性も検証せず特権文脈で再構築する構造には届かない。検出と事前証明は代替でなく補完である。 ---Tue, 16 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント基盤https://lemma.frame00.com/ja/critical/briefs/059-vercel-contextai-oauthhttps://lemma.frame00.com/ja/critical/briefs/059-vercel-contextai-oauth2026 年 4 月、Vercel は、従業員が AI ツール Context.ai に「すべて許可」で渡した OAuth が、ベンダー侵害で侵入経路になったと開示した。盗まれたトークンによる操作は形式上正規のアクセスで、付与済みの広範スコープ内に起きるため、失効やインテリジェンスを事後に強化しても止まらない。欠けているのは、行動の前に「この操作はこの主体に、この範囲で認可され、現に有効か」を独立検証する層である。検出と事前証明は代替でなく補完である。 ---Tue, 16 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント基盤https://lemma.frame00.com/ja/critical/briefs/060-withers-aberdeen-ai-hallucinated-precedenthttps://lemma.frame00.com/ja/critical/briefs/060-withers-aberdeen-ai-hallucinated-precedent2026 年 6 月、Withers v. City of Aberdeen で、対立する双方の弁護士が AI の生成した実在しない判例を確かめず提出し、計 4 名が Rule 11 で制裁された。提出後に幻覚的引用は見抜けたが、事後の検出は「その書面の根拠が実在し正しい出所を持つか」を提出の前には立証しない。署名による自己証明も「盲判」になりうる。欠けているのは、行動の前に引用元の実在性と来歴を独立検証可能な証跡へ固定する層である。検出と事前証明は代替でなく補完である。 ---Tue, 16 Jun 2026 00:00:00 GMTPillar 02 検証可能 AIAI 判断の完全性https://lemma.frame00.com/ja/critical/briefs/062-claude-code-github-action-bot-trusthttps://lemma.frame00.com/ja/critical/briefs/062-claude-code-github-action-bot-trust2026 年 6 月、研究者 RyotaK（GMO Flatt Security）は、Claude Code GitHub Action が起動者の名前末尾 [bot] を無条件に信頼するため、偽装起動とプロンプトインジェクションで悪意ある issue 1 件からリポジトリを乗っ取れる欠陥を公開した。4 日で修正されたが、事後の検出・パッチは起動者の権限や入力の出所を実行の前には立証しない。欠けているのは、特権実行の前に起動者の権限と入力の出所を独立検証する層である。検出と事前証明は代替でなく補完である。 ---Tue, 16 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント基盤https://lemma.frame00.com/ja/critical/briefs/064-salesloft-drift-oauth-salesforcehttps://lemma.frame00.com/ja/critical/briefs/064-salesloft-drift-oauth-salesforce2025 年 8 月、攻撃グループ UNC6395 は、Salesloft の GitHub・AWS 侵害で連携アプリ Drift の OAuth トークンを窃取し、700 社超の Salesforce 環境を横断照会した。Salesloft のトークン失効・連携撤去は事後の対応で、その照会が許可の範囲内かつ有効かを実行の前には立証しない。窃取トークンによる照会は形式上正規の連携アクセスで、有効な限り各社の防御から区別がつかない。欠けているのは、行動の前に操作のスコープ・認可・有効性を独立検証する層である。検出と事前証明は代替でなく補完である。 ---Tue, 16 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント基盤https://lemma.frame00.com/ja/critical/briefs/063-smart-tv-residential-proxy-ai-scrapinghttps://lemma.frame00.com/ja/critical/briefs/063-smart-tv-residential-proxy-ai-scraping2026 年 6 月、研究者らは、Bright Data が無料アプリに組み込む SDK が、常時稼働のスマートテレビを含む機器を、家庭の回線から出る AI 学習向けスクレイピングの中継ノードに変えていると示した。解析や DNS 遮断、プラットフォームの事後の制限は、その中継や学習データの出所・同意を収集の時点では立証しない。同意画面の表示と実挙動（月 200GB）は一致せず、住宅 IP からの収集は通常利用と区別がつかない。欠けているのは、収集の時点で出所と同意を独立検証可能な証跡へ固定する層だ。検出と事前証明は代替でなく補完である。 ---Tue, 16 Jun 2026 00:00:00 GMTPillar 01 来歴証明データ来歴https://lemma.frame00.com/ja/critical/briefs/056-mchire-paradox-recruiting-authhttps://lemma.frame00.com/ja/critical/briefs/056-mchire-paradox-recruiting-auth2025 年 6 月、研究者 Carroll と Curry は、マクドナルドの採用 AI プラットフォーム McHire（Paradox.ai）の管理画面に、ユーザー名・パスワードともに「123456」の放置テスト用アカウントで入れること、さらに応募者 ID を連番で差し替えるだけ（IDOR）で最大 6,400 万件の応募記録に手が届くことを発見した。即日修正やバグバウンティなど事後の検出・是正では、アクセス主体の権限属性がアクセスの前に独立検証されない構造には届かない。検出と事前証明は代替でなく補完である。 ---Mon, 15 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明認証・認可https://lemma.frame00.com/ja/critical/briefs/055-echoleak-m365-copilot-instruction-provenancehttps://lemma.frame00.com/ja/critical/briefs/055-echoleak-m365-copilot-instruction-provenanceAim Labs が 2025 年 6 月に公表した EchoLeak（CVE-2025-32711）は、細工メール 1 通で利用者操作なし（ゼロクリック）に、Microsoft 365 Copilot のアクセス範囲の社内機微データを社外へ送出させた。メールに紛れた命令を、Copilot が処理対象データと区別できなかったためである。XPIA 分類器など事後の検出をいくら強化しても、AI が動く瞬間に、取り込んだ命令の出所と権限が正当かを独立検証する層の不在には届かない。検出と事前証明は代替でなく補完である。 ---Mon, 15 Jun 2026 00:00:00 GMTPillar 02 検証可能 AIAI 判断の完全性https://lemma.frame00.com/ja/critical/briefs/057-deepseek-clickhouse-exposed-dbhttps://lemma.frame00.com/ja/critical/briefs/057-deepseek-clickhouse-exposed-db2025 年 1 月、Wiz Research は、AI 企業 DeepSeek の ClickHouse データベースが認証なしでインターネットに公開され、公開ポート経由で誰でも到達でき、100 万行超のログ、平文のチャット履歴、API キーや秘密トークンが露出していたことを発見した。外部スキャンや責任ある開示など事後の検出は露出が成立した後にしか働かず、認証のない基盤では到達した主体が正当かを区別する手段がそもそも無い。検出と事前証明は代替でなく補完である。 ---Mon, 15 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明認証・認可https://lemma.frame00.com/ja/critical/briefs/054-sora2-ip-provenance-consenthttps://lemma.frame00.com/ja/critical/briefs/054-sora2-ip-provenance-consent2025 年 10 月、OpenAI は動画生成 AI「Sora 2」を、権利者が拒否（opt-out）しない限り著作権キャラを生成できる方針で公開した。許可を先に取らず嫌なら後から拒否させる順番の逆転により、One Piece・鬼滅・ポケモン等を含む動画が拡散し、約 3 日で事前許諾（opt-in）へ転換、CODA・日本政府も是正を要請した。事後の異議申立てや出力フィルタでは、生成の前に素材の権利・同意・来歴が固定されていない構造には届かない。検出と事前証明は代替でなく補完である。 ---Sat, 13 Jun 2026 00:00:00 GMTPillar 01 来歴証明データ来歴https://lemma.frame00.com/ja/critical/briefs/046-servicenow-unauthenticated-apihttps://lemma.frame00.com/ja/critical/briefs/046-servicenow-unauthenticated-apiServiceNow の Scripted REST エンドポイントが requires_authentication=false で出荷され、ログインも認証情報の確認もないまま顧客インスタンスを照会できる状態だったことが判明し、実際に未認証アクセスで照会が成功している。ServiceNow の異常検知とログ追跡は、未認証要求が処理され得た後に作動する事後の検出にとどまる。欠けているのは、応答の前に「この要求者は、この顧客データを照会してよいか」を独立検証する層であり、認証フラグが一つ外れただけで要求は素通りした。検出と事前証明は代替でなく補完である。 ---Fri, 12 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明認証・認可https://lemma.frame00.com/ja/critical/briefs/047-openclaw-agent-phishinghttps://lemma.frame00.com/ja/critical/briefs/047-openclaw-agent-phishingOpenClaw 上で Varonis が検証したメール処理 AI エージェントが、急ぎを装った依頼に応じ、社内の認証情報や顧客データ（いずれも模擬）を社外へ送った。「依頼主を先に確認せよ」と設定していたにもかかわらず、である。不正 URL や悪性 OAuth は遮断できたが、行動の前に「送信者は誰か」を確かめる層が無かった。検出と事前証明は代替でなく補完である。 ---Fri, 12 Jun 2026 00:00:00 GMTPillar 02 検証可能 AIAI 判断の完全性https://lemma.frame00.com/ja/critical/briefs/048-trapdoor-ai-instruction-provenancehttps://lemma.frame00.com/ja/critical/briefs/048-trapdoor-ai-instruction-provenanceSocket が公表した認証情報窃取キャンペーン TrapDoor の固有の手口は、AI アシスタント宛ての指示ファイル（.cursorrules / CLAUDE.md）にゼロ幅 Unicode で見えない命令を仕込み、AI に「セキュリティスキャン」と称する作業をさせて開発環境の秘密を持ち出させる点にある。スキャンや隠し文字の警告で悪性物は除去できたが、AI が指示を読んで動く前に、その指示が正規の作者・認可に由来するかを確かめる層が無い。表示と実体が乖離する以上、内容の妥当性検出だけでは届かない。検出と事前証明は代替でなく補完である。 ---Fri, 12 Jun 2026 00:00:00 GMTPillar 01 来歴証明コード来歴https://lemma.frame00.com/ja/critical/briefs/049-tesla-robotaxi-control-attributionhttps://lemma.frame00.com/ja/critical/briefs/049-tesla-robotaxi-control-attributionTesla Robotaxi の NHTSA 提出事故記録の黒塗りが外され、Austin の事故のうち 2 件は自律システムではなく遠隔操作の人間運転手が起こしたものと判明した。経緯説明は「営業秘密」として黒塗りされてきた。事故報告も規制調査も機能したが、「そのとき何が制御していたか」も記録の真正性も、運行主体の自己申告・自己黒塗りに委ねられ、外部から独立に検証できない。記録の存在は帰属の証明ではない。検出と事前証明は代替でなく補完である。 ---Fri, 12 Jun 2026 00:00:00 GMTPillar 02 検証可能 AIAI 判断の完全性https://lemma.frame00.com/ja/critical/briefs/050-grok-deepfake-consent-provenancehttps://lemma.frame00.com/ja/critical/briefs/050-grok-deepfake-consent-provenance> 本 Brief は、生成された画像の内容を一切描写しない。被害の重大性（児童を含む）に鑑み、規制・プラットフォーム対応の事実関係と、信頼層の構造（属性・来歴の検証不在）に限定して記述する。 X に統合された Grok の画像生成が、実在人物の非同意ディープフェイク（未成年を題材にしたものを含むと指摘された）に大規模悪用され、EU・アイルランド・英国などの当局が相次いで調査に入った。問題の構造は、被写体が同意しているか未成年でないかが生成の前に確かめられず、生成物にも検証可能な来歴標識が付かない点にある。通報・検出・削除は拡散が始まった後にしか作動しない。検出と事前証明は代替でなく補完である。 ---Fri, 12 Jun 2026 00:00:00 GMTPillar 04 規制属性証明属性証明バイパスhttps://lemma.frame00.com/ja/critical/briefs/051-instagram-ai-support-takeoverhttps://lemma.frame00.com/ja/critical/briefs/051-instagram-ai-support-takeoverMeta High Touch Support の脆弱性が悪用され、AI サポートに「このアカウントのメールを変えて」と頼むだけで Instagram アカウントが乗っ取られた。AI 復旧エージェントは、依頼者が正当な持ち主かを確かめないままメール変更やリセットを実行し、二要素認証も回避された。Meta は悪用を検知し通知したが、それは掌握の後に作動する。依頼が来たことが操作の根拠になり、行動の前に所有権を確かめる層が無い。検出と事前証明は代替でなく補完である。 ---Fri, 12 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明認証・認可https://lemma.frame00.com/ja/critical/briefs/053-youtube-deepfake-likeness-provenancehttps://lemma.frame00.com/ja/critical/briefs/053-youtube-deepfake-likeness-provenanceYouTube 上の著名人なりすまし AI 詐欺広告が、ある調査では約 2 億回再生された。YouTube は登録済みの顔をアップロード動画から走査する肖像検出を公人から全クリエイターへ広げたが、これは合成物が作られ拡散した後にしか働かない。肖像・音声という本人の属性に、生成・公開の前に同意ある来歴が固定されていないため、検出は構造的に拡散の後追いになる。検出と事前証明は代替でなく補完である。 ---Fri, 12 Jun 2026 00:00:00 GMTPillar 01 来歴証明データ来歴https://lemma.frame00.com/ja/critical/briefs/052-discord-age-verification-id-leakhttps://lemma.frame00.com/ja/critical/briefs/052-discord-age-verification-id-leakDiscord が年齢確認を委託していた第三者事業者 5CA が侵害され、少なくとも 7 万枚の政府発行 ID 画像が盗まれた。証明したいのは「18 歳以上か」一つなのに、生の身分証そのものが第三者に渡って溜まり、属性の証明と生 ID の保管が分離されていない。Discord は検知し通知・事業者切替で対応したが、それは窃取の後に作動し、流出した ID は回収できない。義務化が進むほど同じ保管構造が横断的に再現する。検出と事前証明は代替でなく補完である。 ---Fri, 12 Jun 2026 00:00:00 GMTPillar 04 規制属性証明属性証明バイパスhttps://lemma.frame00.com/ja/critical/briefs/045-humanity-protocol-multisig-key-custodyhttps://lemma.frame00.com/ja/critical/briefs/045-humanity-protocol-multisig-key-custodyHumanity Protocol では、開発者 1 人の業務用ラップトップが感染しただけで、単一の端末に同居していた 7 つの秘密鍵が一度に奪われてマルチシグ閾値を単独で突破され、3,200 万ドル超が流出した。オンチェーン解析・帰属精査・取引所対応は、資金が動いた後に作動する事後の検出にとどまる（本 Brief は帰属を断定しない）。欠けているのは、実行時に「閾値を満たした署名群が、別個の正規主体による意図的な承認か」を独立検証する層であり、閾値の形式的充足だけが実行の根拠になった。検出と事前証明は代替でなく補完である。 ---Thu, 11 Jun 2026 00:00:00 GMTPillar 01 来歴証明ブリッジ信頼設定https://lemma.frame00.com/ja/critical/briefs/037-agent-config-auto-executionhttps://lemma.frame00.com/ja/critical/briefs/037-agent-config-auto-executionAI コーディングエージェント（Claude Code・Cursor・Gemini CLI 等）が、リポジトリ同梱の設定ファイルを中身も出どころも検証せず自動実行する欠陥（SymJack / TrustFall）が、自己増殖型マルウェア Miasma に武器化された。不正コミットは検出され GitHub は Microsoft 系 4 組織の 73 リポジトリを無効化したが、設定が実行され認証情報が窃取された後の事後措置である。欠けていたのは、実行の前に「この設定は正規の作者に由来し、認可された範囲か」を確かめる層であり、「開いた／信頼した」操作がそのまま実行の根拠になった。検出と事前証明は代替でなく補完である。 ---Tue, 09 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント基盤https://lemma.frame00.com/ja/critical/briefs/038-ironworm-npm-self-propagationhttps://lemma.frame00.com/ja/critical/briefs/038-ironworm-npm-self-propagationJFrog が報告した npm マルウェア「IronWorm」は、開発環境の認証情報を盗み、その鍵で被害者のリポジトリに自身を書き込み正規の公開手順で再公開する自己増殖ワームである。レジストリの無効化やベンダー解析は、公開され鍵が盗まれた後に作動する事後の検出にとどまる。欠けているのは、公開時に「公開者が本当に正規の作者か」を独立検証する層であり、有効な token の提示だけが公開の根拠になっている。検出と事前証明は代替でなく補完である。 ---Tue, 09 Jun 2026 00:00:00 GMTPillar 01 来歴証明コード来歴https://lemma.frame00.com/ja/critical/briefs/039-semantic-kernel-prompt-injection-rcehttps://lemma.frame00.com/ja/critical/briefs/039-semantic-kernel-prompt-injection-rceMicrosoft の AI エージェント基盤 Semantic Kernel に、プロンプトインジェクションがホストレベルのコード実行（RCE）や任意のファイル書き込みに直結し得る二つの脆弱性が見つかり、2026-05-07 に開示された。.NET SDK の CVE-2026-25592（CVSS 10.0）は、DownloadFileAsync が意図せず [KernelFunction] として露出し、LLM が直接呼び出せたうえ、保存先パス（localFilePath）がほぼモデルの制御下で経路検証もなかった。Python SDK の CVE-2026-26030 は、In-Memory Vector Store を Search Plugin の既定設定で使う構成で、注入された一つのプロンプトがホストの RCE に至り得た。エージェントが呼べる関数とそのパラメータが、実行の前に「この呼び出しは認可・スコープされているか」を独立検証されないまま、モデルの出力（注入され得る入力）から直接駆動されていた。検出・パッチは機能したが、行動の前に呼び出しを認可する層が無かった。 ---Tue, 09 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント基盤https://lemma.frame00.com/ja/critical/briefs/040-redd-carbon-credit-phantom-issuancehttps://lemma.frame00.com/ja/critical/briefs/040-redd-carbon-credit-phantom-issuance連邦警察が「Operation Greenwashing」として 31 名を起訴した本事案では、保全の実態がない森林から作られたカーボンクレジットが Nestlé・Boeing などに販売されていた。調査報道・衛星分析・捜査は、クレジットが企業の開示に取り込まれた後に乖離を可視化する事後の検出にとどまる。欠けているのは、発行時に「申告された保全面積・伐採量が原データの真の状態を反映するか」を独立検証する層であり、事業者の自己申告がそのまま受理された。検出と事前証明は代替でなく補完である。 ---Tue, 09 Jun 2026 00:00:00 GMTPillar 04 規制属性証明属性証明バイパスhttps://lemma.frame00.com/ja/critical/briefs/041-aog-technics-forged-airworthiness-certificateshttps://lemma.frame00.com/ja/critical/briefs/041-aog-technics-forged-airworthiness-certificates部品商社 AOG Technics は、2019 年から 2023 年にかけて、耐空性（airworthiness）を保証する Authorised Release Certificate（ARC）を偽造した状態で、6 万点を超える航空機エンジン部品（約 690 万ポンド相当）を販売していた。多くは CFM International の CFM56 エンジン（Boeing 737／Airbus A320 に広く搭載）向けだった。発覚の端緒は、ある航空会社が部品の真贋を Safran に照会したことで、証明書が偽物と判明したことだった。英国 CAA・米国 FAA・欧州 EASA が安全警告を出し、Delta・American・Southwest など多数の航空会社で該当機が運航停止になった。耐空という規制属性が、それを主張する証書の来歴を受領の前に独立検証できない構造の下で、4 年以上も流通し続けた。証書が存在することと、その証書が真正で対象部品の耐空を実際に裏づけることが分離されていた。検出（事後の照会・運航停止・規制警告）と、受領前の属性証明は代替でなく補完である。 ---Tue, 09 Jun 2026 00:00:00 GMTPillar 04 規制属性証明属性証明バイパスhttps://lemma.frame00.com/ja/critical/briefs/043-tesla-fsd-self-reported-safetyhttps://lemma.frame00.com/ja/critical/briefs/043-tesla-fsd-self-reported-safetyNHTSA は Tesla の FSD が視界低下を扱えない問題の調査をリコール前段へ引き上げ、対象事故が過少報告された可能性を指摘した。並行して Reuters は「人間より最大 10 倍安全」という主張が非対称な比較で安全性を約 3 倍に水増ししていたと報じた。規制調査・調査報道・社内証言は事案を可視化したが、行動と申告が受理された後に作動する事後の検出にとどまる。欠けているのは、走行時・データ提出時に「判断の前提や申告した事故データ・統計が実態を反映するか」を独立検証する層であり、すべて自己申告のまま受理された。検出と事前証明は代替でなく補完である。 ---Tue, 09 Jun 2026 00:00:00 GMTPillar 02 検証可能 AIAI 判断の完全性https://lemma.frame00.com/ja/critical/briefs/031-vibe-hacking-shadow-aetherhttps://lemma.frame00.com/ja/critical/briefs/031-vibe-hacking-shadow-aetherTrend Micro が、AI エージェントが初期侵入から情報持ち出しまでを実行した 2 つの実地キャンペーン（SHADOW-AETHER-040 / 064）を公表した。ラテンアメリカの政府・金融機関を標的とし、一方は 2025 年末にメキシコの 6 政府機関を侵害した。決定的だったのは、AI が標的ごとに攻撃ツールを動的生成したため固有の署名を持たず、既知の悪性物を照合する事後の検出が原理的に後手に回る点である。欠けていたのは、実行されようとする操作が正規に認可された来歴を持つかを行動前に確かめる層である。検出と事前証明は代替でなく補完である。 ---Mon, 08 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント暴走https://lemma.frame00.com/ja/critical/briefs/032-booking-payout-account-tamperinghttps://lemma.frame00.com/ja/critical/briefs/032-booking-payout-account-tamperingPolaris Holdings のグループ Booking.com アカウントが侵害され、正規の管理画面内で複数ホテルの売上金受領口座が第三者口座へ書き換えられた。異常検知は他ホテルの送金を阻止したが、検知は異常が現れて初めて発火するため最初の不正送金は完了していた。欠けていたのは、資金移動の前に「この受領口座変更は正規に認可され、送金先も真正か」を確かめる層であり、改ざんは認証済みセッションの操作として素通りした。検出と事前証明は代替でなく補完である。 ---Mon, 08 Jun 2026 00:00:00 GMTPillar 04 規制属性証明属性証明バイパスhttps://lemma.frame00.com/ja/critical/briefs/033-f5-bigip-edge-pivothttps://lemma.frame00.com/ja/critical/briefs/033-f5-bigip-edge-pivotMicrosoft Threat Intelligence は、インターネットに面した EOL の F5 BIG-IP 1 台の侵害が、Linux・Confluence・Windows 認証基盤を経て Active Directory 全体の乗っ取りへ連鎖した攻撃を公開した。攻撃チェーンの可視化や露出機器の特定は機能したが、検出は侵害の後追いで、検知時には保存資格情報は既に攻撃者の手にあった。欠けていたのは、横展開の各段階で「この資格情報の保有者は、この行動をこの範囲で行う認可と来歴を持つか」を確かめる層であり、盗まれた資格情報の保有がそのまま権限として通用した。検出と事前証明は代替でなく補完である。 ---Mon, 08 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明認証・認可https://lemma.frame00.com/ja/critical/briefs/034-ekyc-liveness-bypasshttps://lemma.frame00.com/ja/critical/briefs/034-ekyc-liveness-bypassMIT Technology Review の調査で、銀行・取引所の顔 liveness 検査を破る既製ツール（仮想カメラ・deepfake・盗難生体バンドル）が Telegram で公然と売られていることが判明した。deepfake 検出や liveness の多層化は強化されているが、検出は生成物との恒常的ないたちごっこで、合成と判定できなければ属性は成立してしまう。欠けていたのは「この映像は実在のセンサーからライブ取得され、注入・差し替えを経ていないか」という撮影来歴の独立検証であり、注入映像は正規のカメラ映像と同じ経路で素通りした。検出と事前証明は代替でなく補完である。 ---Mon, 08 Jun 2026 00:00:00 GMTPillar 04 規制属性証明属性証明バイパスhttps://lemma.frame00.com/ja/critical/briefs/035-boeing-787-inspection-recordshttps://lemma.frame00.com/ja/critical/briefs/035-boeing-787-inspection-recordsBoeing は、一部の 787 Dreamliner で主翼-胴体接合部の必須安全検査が記録上は「完了」とされながら実際には実施されていなかったことを FAA へ自主報告した。記録は整い書類監査やシステム上のチェックは通過していたため、乖離は事後の調査で初めて判明した。欠けていたのは「この検査記録は実際の検査行為に裏づけられているか」という記録生成時点の独立検証であり、実施を伴わない記録が「検査済み」として下流へ通用した。記録があることと、その行為が実際に行われたことは別である。検出と事前証明は代替でなく補完である。 ---Mon, 08 Jun 2026 00:00:00 GMTPillar 04 規制属性証明属性証明バイパスhttps://lemma.frame00.com/ja/critical/briefs/036-commonpool-training-data-piihttps://lemma.frame00.com/ja/critical/briefs/036-commonpool-training-data-pii研究チームが、最大級の公開 AI 学習データセット DataComp CommonPool に、パスポート・履歴書・顔など実在個人の個人情報が大量に混入していると報告した。独立監査による可視化や顔ぼかし・PII フィルタの改善は進むが、事後の機械的フィルタは網羅性を保証できず、0.1% の標本だけで 800 超の顔が漏れた。欠けていたのは「この素材は学習に供してよい来歴・同意を持つか」を収集の時点で確かめる層であり、来歴のないまま大規模に固定化され下流モデルへ回収困難な形で波及する。検出と事前証明は代替でなく補完である。 ---Mon, 08 Jun 2026 00:00:00 GMTPillar 01 来歴証明AI 学習データ来歴https://lemma.frame00.com/ja/critical/briefs/029-github-dev-oauth-tokenhttps://lemma.frame00.com/ja/critical/briefs/029-github-dev-oauth-token研究者 Ammar Askar が、ブラウザ版 VS Code である github.dev の 1 クリック攻撃と PoC を公開した。攻撃者のリンクを踏むと、webview 内のスクリプトが利用者になりすました合成イベントで悪性拡張をインストールさせ、github.dev の OAuth トークンを盗む。トークンは閲覧中リポジトリにスコープされず全リポジトリに有効だった。欠けていたのは、その拡張インストールが誰の認可で実行されトークンがどの範囲に委任されているかを行動前に確かめる層である。検出と事前証明は代替でなく補完である。 ---Sat, 06 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント基盤https://lemma.frame00.com/ja/critical/briefs/030-stripe-trusted-channel-skimmerhttps://lemma.frame00.com/ja/critical/briefs/030-stripe-trusted-channel-skimmerEC セキュリティ企業 Sansec が、Stripe の正規インフラを悪用する Magecart カード窃取を公表した（Stripe 自身は無傷）。攻撃者は、ストアが既定で許可する信頼ドメイン（api.stripe.com / Google）をスキマーの配送と窃取データの保管に転用し、許可済みドメインゆえ CSP・egress フィルタをすり抜ける。欠けていたのは、チェックアウトで動くコードがストアの正規配置という来歴を持つかを実行前に確かめる層であり、ドメインの身元への信頼が中身の来歴の代わりに使われた。検出と事前証明は代替でなく補完である。 ---Sat, 06 Jun 2026 00:00:00 GMTPillar 01 来歴証明コード来歴https://lemma.frame00.com/ja/critical/briefs/023-alephium-tokenbridgehttps://lemma.frame00.com/ja/critical/briefs/023-alephium-tokenbridge2026 年 5 月 30 日、Alephium TokenBridge が攻撃を受け約 81.5 万ドルが流出した。guardian の鍵は無事で、バグでもない。攻撃者はブリッジが正規取引と認識するイベント自体を偽造し、guardian に正規のものとして署名させた。署名手続きは正常に機能したが、対象イベントが正規のコントラクトから発されたか（来歴）を確かめる層が無かった。検出は guardian の署名対象を変えず、発火時には主要な流出は完了している。検出と事前証明は代替でなく補完である。 ---Fri, 05 Jun 2026 00:00:00 GMTPillar 01 来歴証明ブリッジ信頼設定https://lemma.frame00.com/ja/critical/briefs/024-invisible-unicode-instruction-injectionhttps://lemma.frame00.com/ja/critical/briefs/024-invisible-unicode-instruction-injection「2026 年、CSA が、人の目に見えない Unicode 文字を AI エージェントのスキルやツール定義に仕込んで AI を操る手法を開示した。多くのエディタでは空白に見える文字を、言語モデルは意味ある指示として読む。攻撃者は悪意ある指示を不可視文字に変換し、人間のレビューでは気づけない形で埋め込める。検出と事前証明は代替でなく補完である。」 ---Fri, 05 Jun 2026 00:00:00 GMTPillar 02 検証可能 AIAI 判断の完全性https://lemma.frame00.com/ja/critical/briefs/025-mcp-stdio-config-to-command-rcehttps://lemma.frame00.com/ja/critical/briefs/025-mcp-stdio-config-to-command-rce2026 年 4 月、MCP（Anthropic の公式 SDK）が外部から渡された設定をそのまま実行に移す設計で、悪用されれば任意コマンドを動かせる遠隔コード実行（RCE）の経路になると OX Security が公表した。特定実装のバグではなくリファレンス設計に内在し供給網規模で広がる。提供元は当該挙動を「想定通り」とし中核設計を変えず、検出は設計そのものを変えられない。欠けているのは、設定の受理と権限ある実行の許可を切り分け実行前に権限を独立検証する層である。検出と事前証明は代替でなく補完である。 ---Fri, 05 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント基盤https://lemma.frame00.com/ja/critical/briefs/026-adaptive-ai-worm-runtime-exploithttps://lemma.frame00.com/ja/critical/briefs/026-adaptive-ai-worm-runtime-exploit2026 年、トロント大学 CleverHans Lab が、感染先で自身を動かす AI が偵察から標的ごとの攻撃手段を実行時に合成し、失敗すれば手を変える自律マルウェアを実証した（無償 open-weight モデルのみの模擬研究）。攻撃の「形」が実行時に作られるため、既知パターンや IOC を照合する事後の検出は固定の対象を持たず後手に回る。欠けているのは、その行為を行う権限を持つかを行動前に独立検証する層である。検出と事前証明は代替でなく補完である。 実行できた ≠ 許可されていた ---Fri, 05 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント暴走https://lemma.frame00.com/ja/critical/briefs/027-librechat-mcp-url-secretshttps://lemma.frame00.com/ja/critical/briefs/027-librechat-mcp-url-secretsAI チャット基盤 LibreChat に CVE-2026-32625（CVSS 9.6）が公開された。低権限の利用者が MCP サーバー URL に ${MONGO_URI} 等を仕込むだけで、サーバーが自身の暗号鍵・認証秘密・DB 接続情報を攻撃者へ送出する。欠けていたのは、この接続先設定を誰が登録しどの機微情報を参照する認可を持つかを、解釈の前に確かめる層である。発する通信は正規の outbound 接続と区別がつかず、事後の検出は捉えにくい。検出と事前証明は代替でなく補完である。 ---Fri, 05 Jun 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント基盤https://lemma.frame00.com/ja/critical/briefs/028-npm-dependency-confusion-reconhttps://lemma.frame00.com/ja/critical/briefs/028-npm-dependency-confusion-recon単一の攻撃者が、実在企業の社内スコープを偽装した 33 以上の悪性パッケージを npm に登録した。依存関係混乱の手口で package.json に社内インフラを装った URL まで仕込み、postinstall 時に難読化ステージャが環境変数・認証情報を C2 へ送る。欠けていたのは、このパッケージが騙る社内発行元から実際に発行されたかを取り込みの前に確かめる層であり、名前とメタデータの「社内らしさ」が来歴の代わりに使われた。検出と事前証明は代替でなく補完である。 ---Fri, 05 Jun 2026 00:00:00 GMTPillar 01 来歴証明コード来歴https://lemma.frame00.com/ja/critical/briefs/022-onlyfake-ai-id-kyc-bypasshttps://lemma.frame00.com/ja/critical/briefs/022-onlyfake-ai-id-kyc-bypass2024 年 2 月、偽造 ID 生成サービス「OnlyFake」の英国パスポート画像で大手暗号資産取引所 OKX の本人確認（KYC）を通過できたと 404 Media が報じた。KYC の審査は身分証画像が本物らしいかを見るだけで、発行元が実際に発行した文書かを確かめない。検出強化は不正試行の多くを止めるが、生成系との軍拡競争であり、提示画像が発行者の発行物かには答えられない。欠けているのは、口座開設前に発行者署名を暗号的に検証する層である。検出と事前証明は代替でなく補完である。 ---Thu, 04 Jun 2026 00:00:00 GMTPillar 04 規制属性証明属性証明バイパスhttps://lemma.frame00.com/ja/critical/briefs/019-construction-engineer-qualification-fraudhttps://lemma.frame00.com/ja/critical/briefs/019-construction-engineer-qualification-fraud2024 年 12 月、国土交通省は、必要な実務経験を満たさず国家資格（施工管理技士など）を取得した社員を有資格者必須の現場に配置したとして、ある建設業者に行政処分を行った。自己申告された実務経験は発行時に再検証されず、要件充足を配置前に確かめる層が無いため、主張と実態の乖離は内部調査や行政監査という事後の検出でしか可視化されず、発覚は十数年〜二十数年遅れる。だが検出は配置時点で正当に有資格だったかを変えられない。検出と事前証明は代替でなく補完である。 ---Wed, 03 Jun 2026 00:00:00 GMTPillar 04 規制属性証明属性証明バイパスhttps://lemma.frame00.com/ja/critical/briefs/020-type-designation-conformity-fraudhttps://lemma.frame00.com/ja/critical/briefs/020-type-designation-conformity-fraud2024 年 1 月、型式指定不正により国土交通省は大手自動車メーカー 3 車種の型式指定を取り消した。安全基準適合を国が確認する認証試験データに改ざんがあり、自動車・二輪・産業用エンジンの複数社で同種の不正が確認された。検出は事後の系列であり、提出データが申請時点で正当に取得されたかは変えられず、発覚までに出荷された製品はすでに市場にある。欠けているのは、申請時点で基準適合を独立検証する層である。検出と事前証明は代替でなく補完である。 ---Wed, 03 Jun 2026 00:00:00 GMTPillar 04 規制属性証明属性証明バイパスhttps://lemma.frame00.com/ja/critical/briefs/021-wirecard-balance-attestationhttps://lemma.frame00.com/ja/critical/briefs/021-wirecard-balance-attestation「2020 年 6 月、決済大手 Wirecard は、貸借対照表の約 4 分の 1 にあたる 19 億ユーロが「存在しない可能性が高い」と公表し破綻した。資金はフィリピンの 2 行にあるとされたが、残高を裏づける書類は偽造で、資金は実在しなかった。「監査済みの現金残高が実在する」という主張は、銀行発行とされる残高確認書だけを根拠に、発行元へ直接確かめる層のないまま監査法人・規制・市場に受理されていた。検出と事前証明は代替でなく補完である。」 ---Wed, 03 Jun 2026 00:00:00 GMTPillar 04 規制属性証明属性証明バイパスhttps://lemma.frame00.com/ja/critical/briefs/009-gtg1002-ai-orchestrated-espionagehttps://lemma.frame00.com/ja/critical/briefs/009-gtg1002-ai-orchestrated-espionage2025 年 11 月、Anthropic は、中国の国家支援グループ GTG-1002 が Claude Code を悪用し、偵察から脆弱性探索・攻撃コード生成・認証情報窃取・データ抜き取りまで攻撃工程の 80〜90% を人間の介入なしに自律実行したと公表した。攻撃者は AI に「正規のセキュリティ企業の従業員で防御テスト中だ」と信じ込ませて安全機構をすり抜けた。提供側の異常検知は約 10 日で停止に至ったが、侵入先は各操作を実行前に「正規の委任の下か」と独立検証する層を持たなかった。検出と事前証明は代替でなく補完である。 ---Sun, 31 May 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント暴走https://lemma.frame00.com/ja/critical/briefs/010-claude-code-leak-lurehttps://lemma.frame00.com/ja/critical/briefs/010-claude-code-leak-lure2026 年 3 月、Anthropic の Claude Code が npm publish の packaging ミスで内部ソース約 51 万行を source map に含めて流出した。既存のマルウェア配布の一団が 24 時間以内に便乗し、「流出した Claude Code」を装う偽 GitHub リポジトリから認証情報を盗む Vidar stealer を配った。攻撃は脆弱性ではなく、ブランド名と配布サイトという信頼シグナルを、成果物の真正性を入手時に独立検証する層の不在を突いて来歴の代替に転用した。検出と事前証明は代替でなく補完である。 ---Sun, 31 May 2026 00:00:00 GMTPillar 01 来歴証明コード来歴https://lemma.frame00.com/ja/critical/briefs/011-synthid-watermark-reverse-engineeringhttps://lemma.frame00.com/ja/critical/briefs/011-synthid-watermark-reverse-engineeringSynthID — Google DeepMind の AI 画像向け透かし — が、2026 年 3 月、研究者 Alosh Denny によって 2D フーリエ変換と位相コヒーレンス分析だけ（ニューラルネットも専有アクセスも使わず）でリバースエンジニアリングされた。画質をほぼ保ったまま透かしの約 91% を除去でき、同じ原理で非 AI 画像への偽装も成立する。攻撃事案ではなく研究実証だが、成果物に埋め込んだ印は統計的に剥離・偽造されうる構造を示す。透かし（検出）と暗号来歴（証明）は代替ではなく補完。 ---Sun, 31 May 2026 00:00:00 GMTPillar 01 来歴証明データ来歴https://lemma.frame00.com/ja/critical/briefs/018-hackerbot-claw-ai-vs-aihttps://lemma.frame00.com/ja/critical/briefs/018-hackerbot-claw-ai-vs-ai2026 年 2 月、自律型を名乗る攻撃者 hackerbot-claw が複数の人気 OSS の CI/CD を悪用し、初の記録された AI 対 AI 攻撃を仕掛けた。攻撃者は、AI コーディングエージェントが行動指針として読み込む CLAUDE.md を、防御側 AI を操る誘導文に書き換えた。今回は Claude が injection を拒否したが、検知はモデル次第で別のエージェントでは素通りし得る。外部の指示を出所や改ざんを確かめず取り込む構造は残る。検出と事前証明は代替でなく補完である。 ---Sun, 31 May 2026 00:00:00 GMTPillar 02 検証可能 AIAI 判断の完全性https://lemma.frame00.com/ja/critical/briefs/017-mckinsey-lilli-system-promptshttps://lemma.frame00.com/ja/critical/briefs/017-mckinsey-lilli-system-prompts2026 年 2 月、レッドチーム企業 CodeWall の自律型 AI エージェントが、責任ある開示の下で McKinsey の社内生成 AI「Lilli」に対し認証情報ゼロから本番 DB の read/write まで到達した。最も重大なのは、Lilli の挙動を統治する system prompt がすべて書き換え可能だった点である。書き換えても出力は表面上正常に見えるため、利用者は回答が正規の改ざんのない指示に基づくか判定できない。検出と事前証明は代替でなく補完である。 ---Sun, 31 May 2026 00:00:00 GMTPillar 02 検証可能 AIAI 判断の完全性https://lemma.frame00.com/ja/critical/briefs/016-verus-ethereum-bridgehttps://lemma.frame00.com/ja/critical/briefs/016-verus-ethereum-bridge2026 年 5 月、Verus-Ethereum ブリッジから約 $11.58M が流出した。攻撃者は $0.01 相当の入金に対し巨額払出を指示する blob を構成したが、state root・Merkle Proof 等は有効で署名検証は通過した。欠けていたのは入出力額の整合検証で、異常検知が払出後に発火しても受理済みの払出は止まらない。Merkle Proof は包含しか証さず、整合は別系統で独立検証するほかない。検出と事前証明は代替でなく補完である。 ---Sun, 31 May 2026 00:00:00 GMTPillar 01 来歴証明ブリッジ信頼設定https://lemma.frame00.com/ja/critical/briefs/015-github-vscode-extension-breachhttps://lemma.frame00.com/ja/critical/briefs/015-github-vscode-extension-breach2026 年 5 月、攻撃グループ TeamPCP が、正規 VS Code 拡張 Nx Console の trojan 化版を公式マーケットに 18 分間掲載し、インストールした GitHub 従業員の端末から認証情報を窃取、社内リポジトリ約 3,800 件を複製した。悪性版は正規拡張として並び、署名・掲載という信頼の印を通過したため、インストール前に見分けられなかった。事後の検出・撤回は受信側が何を取り込むかを変えない。検出と事前証明は代替でなく補完である。 ---Sun, 31 May 2026 00:00:00 GMTPillar 01 来歴証明コード来歴https://lemma.frame00.com/ja/critical/briefs/012-williams-frt-wrongful-arresthttps://lemma.frame00.com/ja/critical/briefs/012-williams-frt-wrongful-arrest2020 年 1 月、米デトロイト市警は顔認識技術（FRT）の誤った一致に基づき黒人男性 Robert Williams 氏を窃盗容疑で誤認逮捕し約 30 時間拘束した。防犯映像と免許写真を AI が照合した確率的候補が、独立した裏付けもないまま「容疑者の同定」として扱われ逮捕に直結した。米国初の公に確認された FRT 起因の誤認逮捕とされる。精度・バイアス評価（NIST 等）は技術選定の根拠にはなるが、個々の照合が行動前に独立裏付け・認可を経たかは変えない。検出と事前証明は代替でなく補完である。 ---Sun, 31 May 2026 00:00:00 GMTPillar 02 検証可能 AIAI 判断の完全性https://lemma.frame00.com/ja/critical/briefs/014-tanstack-oidc-trusted-publisherhttps://lemma.frame00.com/ja/critical/briefs/014-tanstack-oidc-trusted-publisher2026 年 5 月、@tanstack/* に悪性バージョンが公開された。攻撃者は認証情報窃取ではなく、TanStack 正規の OIDC trusted publisher 連携をビルド実行中に乗っ取り、本物の発行元として署名された悪性成果物を正規経路から配った。署名は「誰が公開したか」を証すが「中身が意図されたビルド出力か」は証さず、検出公表前に取得した環境は署名が有効であるがゆえに警戒しにくい。検出と事前証明は代替でなく補完である。 ---Sun, 31 May 2026 00:00:00 GMTPillar 01 来歴証明コード来歴https://lemma.frame00.com/ja/critical/briefs/013-coinbase-kyc-insider-breachhttps://lemma.frame00.com/ja/critical/briefs/013-coinbase-kyc-insider-breach2025 年 5 月、Coinbase は、買収された海外（インド）の委託先サポート要員が少なくとも 69,461 名分の KYC データ（氏名・住所・SSN 下 4 桁・銀行口座情報・政府発行 ID 画像等）を社外へ持ち出し売却していたと公表した。パスワード・秘密鍵・資金は流出していない。検出と対応は機能したが、KYC/AML 規制上保管する生 PII そのものが、正規アクセス権を持つ内部者に常に手の届く漏洩面であり続けた。検出と事前証明は代替でなく補完である。 ---Sun, 31 May 2026 00:00:00 GMTPillar 04 規制属性証明KYC / AML 開示https://lemma.frame00.com/ja/critical/briefs/003-starlette-badhosthttps://lemma.frame00.com/ja/critical/briefs/003-starlette-badhostStarlette の CVE-2026-48710（BadHost）が公開された。Host ヘッダーへの 1 文字挿入で、ルーティングの解決パスとミドルウェアが見るパスが乖離し、パスベース認証を素通りできる。FastAPI / MCP サーバーなど Python AI 基盤の大半が影響を受ける。脆弱バージョンの検出は有用だが、パスベース認証自体が trust boundary を独立検証しておらず、修正パッチだけでは届かない。検出と事前証明は代替でなく補完である。 ---Sat, 30 May 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント基盤https://lemma.frame00.com/ja/critical/briefs/004-megalodon-github-supply-chainhttps://lemma.frame00.com/ja/critical/briefs/004-megalodon-github-supply-chainMegalodon は、窃取した開発者の正規認証情報を悪用し、6 時間で GitHub 上 5,561 リポジトリに偽装コミットを送り込んだ CI/CD 認証情報窃取キャンペーンである。3 社が 5 日内に起点と範囲を特定したが、検出は受信側が「何を accept するか」を変えない。偽装コミットは正規プロセスを経て push され受理された。検出と事前証明は代替でなく補完である。 ---Sat, 30 May 2026 00:00:00 GMTPillar 01 来歴証明コード来歴https://lemma.frame00.com/ja/critical/briefs/006-google-api-key-revocation-laghttps://lemma.frame00.com/ja/critical/briefs/006-google-api-key-revocation-lagGoogle API キーは削除後も最長約 23 分間そのまま認証に通ることが、Aikido の検証で示された。原因は eventual consistency による失効反映の遅延で、削除がまだ伝播していないサーバーに当たれば攻撃者は使い続けられる。Aikido は遅延を計測し可視化したが、検出は失効遅延の構造そのものを変えられない。検出と事前証明は代替でなく補完である。 ---Sat, 30 May 2026 00:00:00 GMTPillar 04 規制属性証明属性証明バイパスhttps://lemma.frame00.com/ja/critical/briefs/008-discord-scrapinghttps://lemma.frame00.com/ja/critical/briefs/008-discord-scrapingある研究チームが Discord の公開 API で 20.52 億メッセージ（3,167 サーバー）を一括収集し、arXiv 論文と JSON dataset として誰でも入手できる形で公開した。だが Discord の規約は、API 取得メッセージの AI 学習利用も一括 scraping・再配布も明確に禁じている。技術的なアクセス可否と規約が許す範囲は別物だが、配布前に「適法 scope で収集されたか」を独立検証する層が無く、禁じられた用途のデータが下流の AI 学習へ流れ得た。検出と事前証明は代替でなく補完である。 ---Sat, 30 May 2026 00:00:00 GMTPillar 01 来歴証明AI 学習データ来歴https://lemma.frame00.com/ja/critical/briefs/007-pocketos-cursor-db-deletionhttps://lemma.frame00.com/ja/critical/briefs/007-pocketos-cursor-db-deletion2026 年 4 月、PocketOS で Cursor（Claude Opus 4.6 駆動）が Railway API への単一呼び出しで本番 DB とバックアップを 9 秒 で全削除した。AI は破った安全ルールを並べた「告白文」を残したが、データは戻らない。事後の検出は届かず、削除の実行前に「この操作は正規の委任の下か」を独立検証する層が無く、accept は config と AI の判断に委ねられていた。検出と事前証明は代替でなく補完である。 ---Sat, 30 May 2026 00:00:00 GMTPillar 03 エージェント権限証明エージェント暴走https://lemma.frame00.com/ja/critical/briefs/005-noroboto-lying-fontshttps://lemma.frame00.com/ja/critical/briefs/005-noroboto-lying-fontsNoroboto（Lying Fonts attack）が公開された。文書に細工フォントを埋め込み、Unicode 符号位置と字形の対応をずらすことで、人間が画面で読む文章と AI が抽出する文字列を別物にできる。AI は与えられた入力を正常に推論するため、出力側のハルシネーション検出は発火しにくい。検出と事前証明は代替でなく補完である。 ---Sat, 30 May 2026 00:00:00 GMTPillar 02 検証可能 AIAI 判断の完全性https://lemma.frame00.com/ja/critical/briefs/001-kelpdao-rsethhttps://lemma.frame00.com/ja/critical/briefs/001-kelpdao-rsethKelpDAO / rsETH で、LayerZero Labs の内部 RPC が改ざんされ、DVN が改ざんデータに正規署名を下し、116,500 rsETH（約 460 億円相当）が不正アンロックされた。盗まれたのは署名鍵ではなく、承認が参照する観測層の入力である。署名も手続きも正規だったため、署名鍵の異常使用を見る事後の検出は発火しにくい。検出と事前証明は代替でなく補完である。 ---Fri, 29 May 2026 00:00:00 GMTPillar 01 来歴証明ブリッジ信頼設定https://lemma.frame00.com/ja/critical/briefs/002-stakedao-vsdcrvhttps://lemma.frame00.com/ja/critical/briefs/002-stakedao-vsdcrvStake DAO vsdCRV で、攻撃者はデプロイヤー秘密鍵を用いて LayerZero v2 の信頼設定を自身のコントラクトへ書き換え、5.4 兆 vsdCRV を不正ミントした。Blockaid が分単位で検出し封じ込めにつながったが、検出は bridge が「何を accept するか」を変えられない。信頼の起点となる設定そのものが単一鍵で書き換え可能で、偽メッセージを accept する前に出所を独立検証する層が欠けていた。検出と事前証明は代替でなく補完である。 ---Fri, 29 May 2026 00:00:00 GMTPillar 01 来歴証明ブリッジ信頼設定