#owasp (3 件)

security 2026年4月27日

Lovableの48日間マルチテナント欠陥——BOLAで他ユーザーのソースコード・DBクレデンシャルが誰でも閲覧可能だった

AIアプリビルダーLovableで2026年2月3日〜4月20日の48日間、BOLA（Broken Object Level Authorization）によりすべての公開プロジェクトのソースコード・Supabase認証情報・チャット履歴に誰でもアクセスできる状態が続いた。HackerOneへの複数報告が無視された経緯と、マルチテナントSaaSの設計教訓を解説。

#security #lovable #bola #owasp #vibe-coding #multi-tenant #api-security #data-breach

記事へ →

security 2026年4月24日

MicrosoftがAIエージェント向けオープンソース「Agent Governance Toolkit」を公開——OWASP Agentic Top 10を全カバー、p99 0.1ms以下のランタイムポリシーエンジン

Microsoftが4月2日にAgent Governance Toolkitをオープンソース公開（MIT）。LangChain・CrewAI・Google ADK対応、p99 0.1ms以下のポリシー適用でOWASP Agentic AI Top 10を業界初の完全網羅。Python/TypeScript/Go/Rust/.NET対応。

#microsoft #ai-agents #open-source #owasp #security #langchain #governance #runtime

記事へ →

security 2026年4月8日

OWASP Top 10 2025：Webアプリの脆弱性を正しく理解する

OWASP Top 10 2025版の各カテゴリをコード例付きで解説。Broken Access Control・Injection・Cryptographic Failures など、現代のWebアプリが直面するセキュリティリスクと対策を紹介します。

#security #owasp #web-security

記事へ →