掲載済み (2026-02-14号)
#026 148文字 • 1分

自分のコードをAIに攻撃させたら"守り"が全部ザルだった

日本語
zenn.dev/zima

掲載情報

2026年2月14日土曜日号 メインジャーナル掲載

概要

自律型AIハッカー「shannon」を用いて自身のWebアプリをテストした結果、従来の対策では防げなかったIDORなどの深刻な脆弱性が多数発見された体験から、攻撃者視点の重要性を説く。

詳細内容

標準的なセキュリティ対策(SQLインジェクション、XSS、CSRF対策等)を講じていたNext.js + Prisma構成の自作アプリに対し、自律型AI脆弱性スキャナー「shannon」を導入した際の記録。攻撃の結果、15個のエンドポイントのうち11個で、他人のデータにアクセス可能なIDOR(不適切な直接オブジェクト参照)が発覚した。これは静的解析(SAST)やチェックリスト重視の防御視点だけでは見落としがちな論理的欠陥である。著者は、個別の修正に留まらず、認可処理のミドルウェア化やZodによるバリデーションといった「構造的な防御」の必要性を強調。AIを「執拗で網羅的な攻撃者」として開発プロセスに組み込むことで、開発者の思考回路が「守り」から「攻め」の視点を備えたものへ進化することを提唱している。
元記事を読む 他のサマリーを見る