ntddk

第5回SIG-SEC研究会（セキュリティサマーサミット2026）のパネルディスカッション「最新鋭LLMでサイバーセキュリティはどう変わるか？」にご招待いただきました。7月、北海道でお会いしましょう https://t.co/L9evPnnHol

ガバメントAI「源内」のv1.0.7が出ています。セキュリティアドバイザーをしました https://t.co/WojyCkWpSr

マジか！！！

"we got rce in very widely used x" -> look inside -> /proc/pid/mem assistance || disabled aslr -> 🥱🥱🥱

俺も彼らもAIぶん回してこれを見つけている。犬も歩けば脆弱性に当たる時代、重複報告も増えるし、いちいち取り合っていたらトリアージコストも青天井。開発チームには「それ対象外だよ」と言い切る胆力もあるといいよね

技術者倫理の時間だ！ 俺氏、QEMUからVMエスケープの脆弱性を発見・報告 ↓ 開発チーム「標準仮想化構成以外の脆弱性は通常のバグとして扱う（=開示制限なし）」 ↓ 同一脆弱性を発見していたセキュリティ研究者（Fragnesiaのチーム）がPoC公開 「脆弱性ではない」のでCVE番号なし

往年のVENOM（CVE-2015-3456）ほど影響範囲は広くはなく、仮想CXLデバイスを有効にしていないと刺さらない。だから「脆弱性じゃない」。

There's another one I haven't published ― a different-root-cause VM escape. Given QEMU's position that "non-virtualization use case" issue are bugs rather than vulnerabilities, I'm honesty unsure it's even worth releasing.

「閉山中の富士山に登るなんて💢」「Webサービスの野良クライアントを作るなんて💢」というのはリスクテイクが美徳になる分野とアテンションエコノミーの相性の悪さだよな。怒りまで計量されて本当にいいんですか？

日本政府がMythosにアクセスできないことが問題なのではない、という話はホワイトペーパーに書いたから読んでくれよな。

ホワイトペーパー Mythos以降のAI脆弱性診断 [Ricerca Security 2026] https://t.co/Ifjzk6XirD をダウンロードしました。 Mythosの問題点を良く書けています。 研究室でも読んでもらおう。

すまん、Webフォーム埋めなきゃいけないのは勘弁してくれ。驚き屋に対する殺意はしっかり込めてるから。