1. PyTorch Lightningがサプライチェーン攻撃の被害に、悪意あるパッケージがPyPIで公開
PyTorch LightningのPyPIパッケージ(バージョン2.6.2および2.6.3)がサプライチェーン攻撃を受け、改ざんされたことが判明しました。これらのバージョンには難読化されたJavaScriptペイロードが含まれており、モジュールのインポート時に自動実行されます。このマルウェアは認証情報やクラウドのシークレットを窃取するほか、書き込み権限を持つトークンが見つかった場合にはGitHubリポジトリの汚染も試みます。開発者は直ちに環境を調査し、漏洩の可能性がある認証情報を更新する必要があります。
2. AIコーディングエージェントを標的とした認証脆弱性が公開、OAuthトークン窃取の恐れ
セキュリティ研究者が、Codex、Claude Code、Copilot、Vertex AIなどのAIコーディングエージェントに影響を与える一連の脆弱性を公開しました。この脆弱性は、AIエージェントが人間のセッションに紐付かない形で認証情報を保持し、本番システムにアクセスする際に発生します。攻撃者は悪意のあるGitHubブランチ名などを用いて、OAuthトークンを平文で窃取したり、内部の拒否ルールを回避したりすることが可能です。エージェントを活用したワークフローを構築する開発者は、より厳格なセッション検証の実装が求められます。
3. Stripe、自律型AIエージェント向けの決済機能「Link」統合を発表
Stripeは、デジタルウォレット「Link」をアップデートし、自律型AIエージェントによる決済実行を可能にしました。ユーザーは自身の支払い方法を連携し、特定の承認フローを通じてAIエージェントに安全な支出権限を付与できます。この統合により、クレジットカード情報をモデルに直接公開することなく、自動決済やAIによる買い物を実現します。開発者は、エージェントによる自律的な購入機能を安全に収益化するための標準的な手段を得ることになります。
4. アリババ、オープンウェイトモデル「Qwen3.6」シリーズを公開
アリババは、Qwen3.6の27Bおよび35B A3BモデルをApache 2.0ライセンスで公開しました。両モデルとも262Kのコンテキストウィンドウをサポートし、ネイティブのマルチモーダル入力とハイブリッド思考アーキテクチャを採用しています。27Bモデルは高い推論性能を誇る一方、前世代と比較して出力トークン消費量が多く、APIコストが高くなる傾向があります。27Bモデルは、単一のH100 GPU(BF16)や、4ビット量子化を施した消費者向けハードウェアでの動作が可能です。
5. xAIが「Grok 4.3」をリリース、API価格を大幅に値下げ
xAIは、エージェント機能と指示追従性能を向上させた最新モデル「Grok 4.3」をリリースしました。旧モデルのGrok 4.20と比較して、APIコストをインプットで約40%、アウトプットで約60%削減しています。トークン単価は下がったものの、複雑な推論タスクでは出力トークン数が増加する傾向も見られます。今回のアップデートにより、開発者は大規模なエージェントワークフローにGrokをより低コストで組み込めるようになります。
6. OpenAI、ChatGPTとCodex向けに「高度なアカウント保護」機能を導入
OpenAIは、ChatGPTおよびCodexアカウントに対して厳格なアクセス制御を適用する、オプションの「高度なアカウント保護(Advanced Account Security)」階層を導入しました。この機能を有効にすると、通常のパスワードやメールによる復旧が無効化され、物理セキュリティキーまたはパスキーによる認証が必須となります。また、自動的にモデル学習の対象外となり、サポート経由でのアカウント復旧も不可となります。「Trusted Access for Cyber」プログラムの参加者は、6月1日までに本機能の有効化が義務付けられます。
7. Claude Code、特定用語「OpenClaw」の参照に制限と追加料金を適用
AnthropicのAIアシスタント「Claude Code」において、コードやコミットメッセージ内で「OpenClaw」という用語を参照した場合、リクエストのブロックや追加料金の適用を行うポリシーが導入されました。リアルタイムのキーワード検知により制限が行われ、リクエストが即座に拒否されるケースもあります。このフィルターに抵触すると、処理時間の増大や1件あたり0.05〜0.10ドルの追加費用が発生したとの報告もあり、開発者は予期せぬコストや中断を避けるためにコードベースの確認が推奨されます。
8. Anthropic、企業向けに「Claude Security」のパブリックベータ版を公開
Anthropicは、Claude Enterpriseユーザー向けに「Claude Security」のパブリックベータ版をリリースしました。最新のClaude Opus 4.7モデルを搭載しており、セキュリティチームはコードベースの脆弱性スキャンや修正パッチの生成が可能です。従来のルールベースの静的解析ツールでは見落とされがちな複雑な欠陥を特定できるよう設計されています。これにより、企業はAIを活用した高度なセキュリティスキャンを開発パイプラインに直接統合できるようになります。