霧の摩周湖
misotrek
_@misotr.github.io
npub1kygq...0m5h
// 2023-02-05 アカウント作成
// フォロー・アンフォローはご自由に
みそなすピー
投稿テスト
美術館は気まぐれな生き物?
わくわく
のってぐら
ゴールデンウィークに万博行けばよかった
生み出す力
めっちゃ人いる
いつもの音源より、ライブ音源の方が変化があって楽しいけどな
となりで耳打ち
くぅだまメ
データの主権
お勉強いいな、夢がある
コタツ記事投稿用のパブチャを作るか
この文書は、計算機科学者のドナルド・クヌースが、AIモデルであるClaude 4.6によって数学的な未解決問題が解かれた驚きと過程を綴ったものです。主題は、特定の有向グラフにおけるハミルトン閉路への分解という複雑な組み合わせ問題の解決にあります。友人のフィリップ・スタッパーズがClaudeに指示を出し、AIは自らPythonコードを生成して試行錯誤を繰り返すことで、奇数のケースに対する一般的な構成法を発見しました。クヌースはAIの論理的推論能力を高く評価し、その解法が数学的に正しいことを詳細な証明によって裏付けています。最終的にこの記録は、生成AIが専門的な自動推論や創造的な問題解決において劇的な進歩を遂げたことを象徴するエピソードとなっています。
https://www-cs-faculty.stanford.edu/~knuth/papers/claude-cycles.pdf
キャラメル食べたい
この記事の要点は、**急速に普及しているAIエージェント「OpenClaw」に重大なセキュリティ脆弱性が見つかり、AIエージェント運用の新しいリスクが浮き彫りになった**という点です。主要ポイントを簡潔に整理します。
**1. 脆弱性の概要**
OpenClawに、**悪意あるWebサイトから開発者のAIエージェントを乗っ取れる脆弱性**が見つかりました。
ユーザー操作やプラグインは不要で、ブラウザで悪意あるページを開くだけで、JavaScriptがAIエージェントのローカルゲートウェイに接続できる可能性がありました。
**2. 原因**
OpenClawが
* 「localhost(自分のPC内)からの通信は安全」という前提で設計されていた
* 接続元の正当性を十分に検証していなかった
ため、ブラウザ上のサイトも同じローカル接続として扱われてしまいました。
さらに
* パスワード試行回数の制限がない
という問題もあり、**総当たりで認証突破が可能**でした。
**3. 影響**
攻撃に成功すると、攻撃者は
* AIエージェントを通じてスクリプト実行
* ファイルや認証情報へのアクセス
* 開発者のマシン操作
など、**ほぼ完全なデバイス制御**を得る可能性があります。
**4. 現状**
* 脆弱性は報告後24時間以内に修正済み
* **OpenClaw version 2026.2.25以降で修正**
**5. 背景問題(より重要)**
OpenClawは爆発的に普及している一方で、すでに以下の問題が指摘されています。
* トークン窃取の脆弱性
* コマンドインジェクション
* プロンプトインジェクション
* マーケットプレイスのプラグイン(skills)の一部がマルウェア
実際、調査では**約1万件のスキルのうち800以上が悪意あるもの**とされています。
**6. 専門家の見解**
AIエージェントは
* ファイル
* API
* 認証情報
* システムコマンド
に広くアクセスするため、**侵害された場合の被害範囲(blast radius)が極めて大きい**。
そのため組織は以下を検討すべきとされています。
* AIエージェントをサンドボックス化
* 権限を最小化
* API監視
* レート制限
* ゼロトラスト型の検証
* ブラウザからローカルAIサービスへ直接接続させない設計
---
要するにこのニュースは、次の現象を象徴しています。
**「AIエージェントは便利だが、従来のソフトよりはるかに危険な“権限の塊”になりやすい」**
開発者のPC上で
* コマンド実行
* ファイルアクセス
* 外部API操作
をまとめて自動化する存在だからです。
ソフトウェア史を振り返ると、**便利すぎる抽象化は必ず攻撃面(attack surface)を巨大化させる**。AIエージェントはその典型例になりつつあります。
https://www.darkreading.com/application-security/critical-openclaw-vulnerability-ai-agent-risks
選択肢に出てこなかった
DS眼力トレーニング
͂HŒb@cr̓g[jO
̃TCg̓jeh[crp\tgw͂HŒb@cr̓g[jOx̌TCgłB