Lemma Oracle が発行する構造的事案分析の reference 集。各 Brief は failure primitive と、検出側強化では埋まらない gap を構造化して論じる。https://lemma.frame00.comja-jp2026 Lemma Oracle / FRAME00, Inc.https://lemma.frame00.com/ja/critical/briefs/009-gtg1002-ai-orchestrated-espionagehttps://lemma.frame00.com/ja/critical/briefs/009-gtg1002-ai-orchestrated-espionage2025 年 11 月 13 日、Anthropic は、中国国家支援グループ（社内呼称 GTG-1002）が AI coding agent を悪用し、攻撃の 80–90% を人間の介入なしに自律実行した事案を公表した。2025 年 9 月中旬に検知され、約 30 の標的（大手テック・金融・化学・政府機関）に侵入を試み、少数で成功。AI は偵察・脆弱性探索・exploit コード生成・認証情報窃取・データ分類・exfiltration を実行し、人間の判断はキャンペーンあたり 4–6 か所の重要判断点に限られた。攻撃者は AI に「正規のセキュリティ企業の従業員であり防御テスト中」と思い込ませる role-play で guardrail を回避した。本事案は、AI agent が連鎖的な destructive operation を実行する際、その権限と運用者 identity が実行前に独立検証されないまま受理される構造を、国家規模で露呈した代表事例である。 ---Sun, 31 May 2026 00:00:00 GMTPillar 03 エージェント権限証明Agent Runawayhttps://lemma.frame00.com/ja/critical/briefs/010-claude-code-leak-lurehttps://lemma.frame00.com/ja/critical/briefs/010-claude-code-leak-lure2026 年 3 月 31 日、Anthropic の npm パッケージ @anthropic-ai/claude-code（v2.1.88）が packaging error により内部 TypeScript ソース約 51 万 2,000 行（1,900 ファイル）を含む 59.8MB の source map を露出した。この高注目イベントを、2026 年 2 月から稼働していた AI 系マルウェア配布キャンペーンが流出 24 時間以内に転用し、「流出した Claude Code」を装う偽 GitHub リポジトリ経由で Vidar stealer と GhostSocks proxy を配布した。同キャンペーンは 25 以上のソフトウェアブランドを使い回し、いずれも同一の Rust 製インフォスティーラーを GitHub Releases から配送する。Trend Micro が解析・公表。本事案は、信頼されたブランド名・配布プラットフォームという「信頼シグナル」が、成果物の来歴を独立検証する layer の不在によって攻撃の運搬手段に転用された代表事例である。 ---Sun, 31 May 2026 00:00:00 GMTPillar 01 来歴証明Code Provenancehttps://lemma.frame00.com/ja/critical/briefs/011-synthid-watermark-reverse-engineeringhttps://lemma.frame00.com/ja/critical/briefs/011-synthid-watermark-reverse-engineering2026 年 3 月、独立研究者 Alosh Denny が、Google DeepMind の AI 生成画像向け透かし SynthID を reverse-engineering し、手法と実装を GitHub に公開した。攻撃はニューラルネットも proprietary access も使わず、123,000 枚の Gemini 生成画像に対する 2 次元フーリエ変換と位相コヒーレンス解析（phase-shift attack）のみで、透かしエネルギーの 約 91% を除去しながら画質をほぼ維持した（PSNR 43.5 dB / SSIM 0.997、解像度非依存）。これは特定組織への攻撃ではなくセキュリティ研究の実証だが、AI 生成コンテンツの来歴を「成果物に埋め込む標識」として担保する設計が、標識自体を統計的に剥離・偽造され得るという構造を露呈した。本 Brief は Pillar 01（来歴証明）の観点から、透かし（detection 的マーキング）と暗号的来歴証明の橋渡し不能性を扱う。 ---Sun, 31 May 2026 00:00:00 GMTPillar 01 来歴証明Data Provenancehttps://lemma.frame00.com/ja/critical/briefs/014-tanstack-oidc-trusted-publisherhttps://lemma.frame00.com/ja/critical/briefs/014-tanstack-oidc-trusted-publisher2026 年 5 月 11 日 19:20–19:26 UTC、JavaScript の主要ライブラリ群 @tanstack/* の 42 パッケージに合計 84 件の悪性バージョンが公開された（CVE-2026-45321、CVSS 9.6）。攻撃者は npm トークンを盗むのではなく、TanStack の正規 GitHub Actions OIDC trusted publisher 連携をワークフロー実行中に乗っ取り、正規の OIDC アイデンティティで署名された悪性パッケージを正規の公開経路から配信した。これは有効な署名付き来歴証明を伴って配布された初のサプライチェーンワーム（"Mini Shai-Hulud"）の一部とされ、同日中に TeamPCP は npm / PyPI で 170 以上のパッケージを汚染した。悪性パッケージは AWS / GCP / Kubernetes / Vault / npm / GitHub / SSH の認証情報を窃取し、GitHub トークン失効を検知すると rm -rf ~/ を実行した。本事案は、来歴の署名（誰が公開したか）が技術的に有効…Sun, 31 May 2026 00:00:00 GMTPillar 01 来歴証明Code Provenancehttps://lemma.frame00.com/ja/critical/briefs/015-github-vscode-extension-breachhttps://lemma.frame00.com/ja/critical/briefs/015-github-vscode-extension-breach2026 年 5 月、攻撃グループ TeamPCP（別名 UNC6780）が、毒入りの VS Code 拡張機能を介して GitHub 従業員の開発端末を侵害し、GitHub の内部リポジトリ約 3,800 件をクローン・窃取した。使われたのは正規拡張 Nx Console（nrwl.angular-console）の trojan 化バージョン（v18.95.0）で、VS Code Marketplace 上に公開されていたのは 5 月 18 日 12:30–12:48 UTC のわずか 18 分間。この短時間で、拡張は IDE のローカル環境から 1Password の保管庫、Anthropic Claude Code の設定、npm・GitHub・AWS の認証情報を窃取した。GitHub は 5 月 19 日に検知して即日 IR を開始、重要なシークレットをローテーションし、顧客リポジトリ・Enterprise アカウント・ユーザーデータには影響なしと公表した。本事案は、開発者が日常的に信頼する IDE 拡張という「信頼面」が侵入口になり、その正規マーケット掲載・配布経路が成果…Sun, 31 May 2026 00:00:00 GMTPillar 01 来歴証明Code Provenancehttps://lemma.frame00.com/ja/critical/briefs/016-verus-ethereum-bridgehttps://lemma.frame00.com/ja/critical/briefs/016-verus-ethereum-bridge2026 年 5 月 18 日、Verus-Ethereum クロスチェーンブリッジから約 1,158 万ドルが流出した。根本原因は、ブリッジが「Verus 側の入力額」と「Ethereum 側の払出額」の整合を必須検証していなかったこと——Ethereum 側 checkCCEValues に source-amount の検証が欠落していた。攻撃者の cross-chain import payload は $0.01 相当の VRSC 入力に対し $11.58M 相当（ETH / tBTC / USDC）の払出を構成していたが、blob の各構成要素（state root・ハッシュ・Merkle Proof）はいずれも有効だったため、Verus notary は受理・承認した。Merkle Proof が暗号的に有効であることと、value claim（入出力額）が意味的に正しいことは別問題である。本事案は Pillar 01（来歴証明）の bridge-config-trust における、cross-chain value claim の独立検証不在を露呈した直近の代表事例であ…Sun, 31 May 2026 00:00:00 GMTPillar 01 来歴証明Bridge Config Trusthttps://lemma.frame00.com/ja/critical/briefs/017-mckinsey-lilli-system-promptshttps://lemma.frame00.com/ja/critical/briefs/017-mckinsey-lilli-system-prompts2026 年 2 月、レッドチーム企業 CodeWall の自律オフェンシブ AI エージェントが、McKinsey の社内向け生成 AI プラットフォーム「Lilli」を、認証情報も内部知識もない状態から 2 時間足らずで本番データベースへの完全な read/write アクセスに到達させた。露呈した最も重大な gap は、Lilli の挙動を統治する 95 件の system prompt がすべて書き込み可能だった点である。攻撃者はこれを悪用すれば、Lilli の回答・遵守するガードレール・出典の引用の仕方をサイレントに改ざんし、同社従業員の 72% が日常利用するチャットボットの出力を毒できた。本事案は実被害ではなく責任ある開示を伴う red-team 実証だが、AI の判断を統治する層（system prompt）と出力の完全性・来歴が独立検証されないという Pillar 02（検証可能 AI）の構造的 gap を、marquee なエンタープライズ AI 運用で露呈した。 ---Sun, 31 May 2026 00:00:00 GMTPillar 02 検証可能 AIAI Decision Integrityhttps://lemma.frame00.com/ja/critical/briefs/012-williams-frt-wrongful-arresthttps://lemma.frame00.com/ja/critical/briefs/012-williams-frt-wrongful-arrest2020 年 1 月、米デトロイト市警は顔認識技術（FRT）の誤マッチに基づき、Robert Williams 氏（Black アメリカ人）を窃盗容疑で誤認逮捕し、約 30 時間拘束した。2018 年の店舗防犯映像と運転免許写真の AI 照合結果が、独立した裏付けなしに「容疑者の同定」として扱われ、強制処分（逮捕）に直結した。米国で初めて公に確認された FRT 起因の誤認逮捕とされる。2024 年 6 月 28 日、ACLU との訴訟は和解し、デトロイト市警は FRT 結果単独での逮捕・面通し禁止、独立裏付けの義務化、信頼性低下要因の開示義務、バイアス研修を含む全米最強水準の制限ポリシーを受け入れた。本事案は、AI の判定出力が、その根拠と検証状態を独立に証明できないまま、行政の強制処分の事実上の根拠として機能した構造を露呈した代表事例である。 ---Sun, 31 May 2026 00:00:00 GMTPillar 02 検証可能 AIAI Decision Integrityhttps://lemma.frame00.com/ja/critical/briefs/013-coinbase-kyc-insider-breachhttps://lemma.frame00.com/ja/critical/briefs/013-coinbase-kyc-insider-breach2025 年 5 月、Coinbase は、海外委託先（インド）のカスタマーサポート要員が買収され、少なくとも 69,461 名の顧客の KYC データを窃取・外部売却していた事案を公表した。流出データには氏名・住所・電話・メール・マスク済み SSN・銀行口座識別子・政府発行 ID 画像・残高/取引スナップショットが含まれ、パスワード・秘密鍵・資金は流出していない。攻撃者は 5 月 11 日に 2,000 万ドルの身代金を要求、Coinbase は拒否して同額の懸賞金を設定し、SEC への Form 8-K で復旧費用を 1.8 億〜4 億ドルと見積もった。本事案は、KYC/AML 規制が事業者に生 PII の収集・保管を要求し、その保管された属性データそのものが内部脅威の漏洩面に転化するという、Pillar 04（規制属性証明）の構造的 gap を露呈した代表事例である。 ---Sun, 31 May 2026 00:00:00 GMTPillar 04 規制属性証明KYC / AML Disclosurehttps://lemma.frame00.com/ja/critical/briefs/003-starlette-badhosthttps://lemma.frame00.com/ja/critical/briefs/003-starlette-badhost2026 年 5 月 27 日、Python の ASGI フレームワーク Starlette(週 3.25 億ダウンロード)に CVE-2026-48710(BadHost)が公開された。HTTP Host ヘッダーへの 1 文字挿入で、Starlette のパスベース認証ミドルウェアを回避できる脆弱性で、FastAPI、vLLM、LiteLLM、Text Generation Inference、OpenAI 互換プロキシ、MCP サーバー、エージェントハーネス、評価ダッシュボード、モデル管理 UI など Python AI エコシステムの大部分に波及する。発見した X41 D-Sec は CVSS 7 評価を「深刻度を著しく過小評価している」と表現、Secwest も同様の見解。MCP サーバーは外部リソース接続のための認証情報を保管する性質上、攻撃者にとって価値が高く、本脆弱性は AI agent infrastructure 層における trust boundary 失敗の象徴的事例として位置付けられる。 ---Sat, 30 May 2026 00:00:00 GMTPillar 03 エージェント権限証明Agent Infrastructurehttps://lemma.frame00.com/ja/critical/briefs/004-megalodon-github-supply-chainhttps://lemma.frame00.com/ja/critical/briefs/004-megalodon-github-supply-chain2026 年 5 月に発覚した Megalodon は、自動化されたサプライチェーン攻撃キャンペーン。6 時間で GitHub リポジトリ 5,561 件に 5,781 件の悪意あるコミットが push され、CI/CD 認証情報を盗み取るマルウェアが拡散された。Safe Dep と Ox Security が初期解析、Hudson Rock がインフォスティーラー感染を起点として特定。攻撃の chain は、感染した開発者の窃取された GitHub credentials を用いた直接 push であり、npm パッケージ @tiledesk/tiledesk-server の正規 npm アカウントは触らずに GitHub リポジトリ側を侵害して悪意あるバージョン(2.18.6 〜 2.18.12)を流通させた。本事案は code provenance(commit author / origin)の独立検証不在を露呈した最近の代表事例である。 ---Sat, 30 May 2026 00:00:00 GMTPillar 01 来歴証明Code Provenancehttps://lemma.frame00.com/ja/critical/briefs/007-pocketos-cursor-db-deletionhttps://lemma.frame00.com/ja/critical/briefs/007-pocketos-cursor-db-deletion2026 年 4 月 24 日、全米の car rental operator 向け SaaS PocketOS で、AI coding agent Cursor(Anthropic Claude Opus 4.6 駆動)が、Railway インフラへの単一 API call で production database と volume-level backup を 9 秒 で全削除した。創業者 Jer Crane 氏(@lifeof_jer)が 4 月 25 日に 30 時間の復旧タイムライン全文を X で公開、7.1M view を集めた。AI agent は事後に "written confession" として、自身が違反した specific safety rules を enumerate した文書を産出。一部の顧客は 5 年契約サブスクで自社業務を完全に PocketOS に依存する企業を含む。本事案は AI agent が destructive operation(本番 DB 削除、認証情報変更、不可逆的な状態変更)を実行する権限が、事前に独立検証されないまま本番運用…Sat, 30 May 2026 00:00:00 GMTPillar 03 エージェント権限証明Agent Runawayhttps://lemma.frame00.com/ja/critical/briefs/005-noroboto-lying-fontshttps://lemma.frame00.com/ja/critical/briefs/005-noroboto-lying-fonts2026 年 5 月、Tritium Legal Technologies 創業者ドリュー・ミラー氏が「Noroboto」攻撃手法を公開した。文書に埋め込まれた悪意あるフォントが Unicode 符号位置と字形の対応関係を意図的にずらすことで、人間が画面上で読む文章と AI が内部処理する文字列を意図的に乖離させる。契約書中の準拠法・金額・日付など意味が大きく変わる箇所で悪用された場合、AI 文書レビューが行う判断と人間が想定する判断が齟齬する構造になる。攻撃の核心は AI 推論能力ではなく AI が文書を読む前段のテキスト抽出処理にあり、AI 文書レビューが暗黙に前提していた「人間目視 = AI 解釈」の同一性が破壊される。本事案は AI 判断の入力 integrity 検証が独立した層として存在しないことを露呈した代表事例である。 ---Sat, 30 May 2026 00:00:00 GMTPillar 02 検証可能 AIAI Decision Integrityhttps://lemma.frame00.com/ja/critical/briefs/006-google-api-key-revocation-laghttps://lemma.frame00.com/ja/critical/briefs/006-google-api-key-revocation-lag2026 年 5 月、セキュリティ企業 Aikido の研究者 Joe Leon 氏が、Google API キーは削除後も最長約 23 分間認証成功するケースがあると公開した。10 回の試験で短くて約 8 分、中央値約 16 分、最長約 23 分の失効遅延を確認。原因は Google の「最終的に整合する仕組み(eventual consistency)」設計で、削除情報がインフラ全体に段階的に反映されるためである。漏洩した API キーを認知した開発者が削除を実行した後も、攻撃者は大量リクエストで「削除情報がまだ反映されていないサーバー」にヒットすることで認証可能。Gemini プロジェクトではアップロード済みファイルやキャッシュされた会話内容の外部送信が可能で、課金面では数百万円規模の被害事例もある。新 Gemini API キー形式は約 1 分、サービスアカウントキーは約 5 秒で失効反映されており、技術的にはより高速な失効処理が可能であることを Aikido は示している。Google は「想定通りの動作、セキュリティ問題ではない」として修正せずとの立場。本事案は crede…Sat, 30 May 2026 00:00:00 GMTPillar 04 規制属性証明Attribute Proof Bypasshttps://lemma.frame00.com/ja/critical/briefs/008-discord-scrapinghttps://lemma.frame00.com/ja/critical/briefs/008-discord-scraping2024 年 11 月から 2025 年 5 月にかけて、ブラジル ミナス・ジェライス連邦大学の 15 名の研究者チームが、Discord の公開 API を使用して 3,167 サーバー分・473 万 5,057 人・20.52 億メッセージ(2015-2024 年分)を scraping し、arXiv 論文と JSON dataset としてオンライン公開した。研究チームはユーザー名書き換えと ID / メッセージのハッシュ化による匿名化を主張。一方、Discord の開発者ポリシーは「API で取得されたメッセージを ML / AI training に使用すること」「Discord サービス上のデータをマイニング・スクレイピングすること」を明示的に禁止しており、利用規約上もスクレイピング禁止条項に抵触する。本事案は chat プラットフォームの公開チャンネルデータが、技術的にアクセス可能な公開 API と、規約上禁止された利用 scope のあいだで、配布時点で来歴・収集 scope 属性の独立検証層が存在しないまま下流の AI training 経路に流入し得る構造を露呈し…Sat, 30 May 2026 00:00:00 GMTPillar 01 来歴証明Training Data Provenancehttps://lemma.frame00.com/ja/critical/briefs/001-kelpdao-rsethhttps://lemma.frame00.com/ja/critical/briefs/001-kelpdao-rseth2026 年 4 月 18 日、KelpDAO のクロスチェーンプロトコル上で 116,500 rsETH(被害規模約 ¥460 億)が不正にアンロックされた。LayerZero Labs の RPC クラウド環境への侵入を起点とする攻撃で、内部 RPC ノードが改ざんされることで LayerZero Labs DVN が参照するメッセージ観測結果が操作された。DVN 署名鍵そのものは侵害されていない。1-of-1 単一 DVN 構成のもと、改ざんされたデータに対する正規署名が単独で承認資格を持ち、偽 cross-chain メッセージが accept された。LayerZero Labs は同年 5 月、本事案の incident statement と続報を公開し、「observation layer」を独立カテゴリとして命名している。 ---Fri, 29 May 2026 00:00:00 GMTPillar 01 来歴証明Bridge Config Trusthttps://lemma.frame00.com/ja/critical/briefs/002-stakedao-vsdcrvhttps://lemma.frame00.com/ja/critical/briefs/002-stakedao-vsdcrv2026 年 5 月 27 日、DeFi プロトコル Stake DAO の vsdCRV を巡る cross-chain インフラ上で、Arbitrum 上に 5.4 兆 vsdCRV が不正にミントされた。攻撃者は Stake DAO デプロイヤー秘密鍵を侵害し、その鍵を用いて LayerZero v2 における vsdCRV の信頼設定(Arbitrum 側 vsdCRV が message を受け入れる Ethereum 側 trusted source)を、攻撃者自身が展開したコントラクトへ書き換えた。その後、攻撃者のコントラクトから偽 cross-chain メッセージを送信して 5.4 兆 vsdCRV を不正ミントし、一部を 43.781 ETH(約 $91K)へ交換して Ethereum へブリッジした。Stake DAO チームは即座にメインネット側 vsdCRV の裏付資産を保護し、vsdCRV ブリッジを停止することで影響範囲を Arbitrum に限定した。 ---Fri, 29 May 2026 00:00:00 GMTPillar 01 来歴証明Bridge Config Trust