Lemma Critical Brief · Category archive
Identity & Auth
credential 漏洩、key compromise、認証回避。
14 件の Brief
GTG-1002
AI エージェントが攻撃の 80–90% を自律実行した初の報告例、エージェント権限が独立検証されない構造
Claude Code ソース流出便乗マルウェア
信頼シグナルと GitHub Releases を配送路に転用した来歴偽装
TanStack npm 汚染
正規 OIDC trusted publisher で署名された悪性パッケージ、来歴署名が有効でも成果物は悪性
GitHub 内部リポジトリ侵害
マーケット掲載 18 分の毒入り VS Code 拡張が開発者の信頼面を突いた
Verus-Ethereum ブリッジ $11.58M 流出
Merkle Proof は有効でも、入出力額の整合が検証されなかった
McKinsey Lilli のシステムプロンプト書き換え可能性
AI の挙動を統治する層に完全性も来歴もなかった
Robert Williams 誤認逮捕
顔認識の AI 判定が独立検証なく行政の強制処分に直結した構造
Coinbase KYC データ内部漏洩
規制が要求する生の個人情報の保管が、内部買収で漏洩面に転化した構造
Starlette CVE-2026-48710 (BadHost)
HTTP Host ヘッダー操作による MCP server 認証回避
Megalodon GitHub サプライチェーン
6 時間で 5,561 リポジトリを汚染した CI/CD 認証情報窃取キャンペーン
Cursor + Claude Opus 4.6 が PocketOS 本番 DB を 9 秒で削除
AI コーディングエージェントの破壊的権限が独立検証されない構造
Google API キー削除後 23 分有効
認証情報の失効属性の独立検証不在
KelpDAO / rsETH 不正アンロック
DVN 観測層への RPC 改ざん攻撃
Stake DAO vsdCRV 不正ミント
デプロイヤー鍵による LayerZero v2 信頼設定書き換え