Publishing Details
About This Podcast
Social Media
Explore Statistics
Recent Episodes
S1E15 バケット名の先取りでVertex AIまでRCE?クラウドの仕様の落とし穴を読み解く会
今回は、クラウドセキュリティに関するブログ記事を読み解きながら議論しました!Google CloudのバケットスクワッティングによるRCE事例や、AWS CognitoにおけるマルチテナントSSOの危険性など、クラウド設定仕様の落とし穴について考察します。🏷 今回のトピック00:00 オープニング01:41 Google Cloudにおけるバケットスクワッティング05:13…
S1E14 ゲストatponsさんと語る、セキュリティ・キャンプ2026の歩き方とRubyGemsのクレデンシャル管理
今回は、ゲストにatponsさんをお迎えし、4歳からPCに触れていたという幼少期のエピソードや、長年関わっている「セキュリティ・キャンプ」の裏話を語り合います。中盤では今年の「セキュリティ・キャンプ2026全国大会」の募集要項を見ながら各ゼミの魅力をチェック。後半は、atponsさんのLT資料をもとに、パッケージマネージャーのクレデンシャル管理やサプライチェーンセキュリティの難しさについて深掘りし…
S1E13 GET権限だけでRCE?Kubernetesの脆弱性と、今週のソフトウェアサプライチェーンの話題まとめ
今回は、Anthropicが発表したサイバーセキュリティ向けのAIモデル「Claude Mythos」のクローズド提供に関する議論からスタート。後半は、KubernetesでのGET権限によるRCEに関する話題や、今開催中のRubyKaigiのブースで公開している「Typosquattingクイズ」にメンバーが挑戦する様子をお届けします。📝 今回のトピック00:00 オープニング00:31…
S1E12 axios サプライチェーン攻撃。怒涛の1週間とコミュニティの対応をチームで振り返る会
今回は、世界中で広く利用されているHTTPクライアントライブラリ「axios」で発生したソフトウェアサプライチェーン攻撃について読み解きます。メンテナのアカウント乗っ取りの手口から、悪意ある依存関係(マルウェア)が混入し実行されるメカニズム、そしてセキュリティ企業やコミュニティによる対応の裏側まで、エンジニアが知っておくべきインシデントの全貌について話し合いました。📝 今回のトピック00:00…
S1E11 ゲストhhc0nullさんと振り返るCTFの思い出と、Heap Exploitationの進化
今回は、初めてのゲスト回! hhc0nullさんをお迎えし、普段のプロダクトセキュリティの話から離れて、CTFの昔話やpwnについて語り合いました。🏷 今回のトピック00:00 オープニング00:30 ゲスト「hhc0null」さん紹介とCTF昔話04:18 WCTF 2017参加レポートを振り返る06:32 問題を持ち寄る特殊ルール「Belluminar」とは14:33 House of…
S1E10 Dependabotの自動マージも危ない?CIで任意コード実行されるパターンが多すぎる話
今回は、開発の要であるCI/CDパイプラインをターゲットにしたセキュリティリサーチを読み解きます。Dependabotの自動マージの設定不備を突いた攻撃手法やCI/CD環境の正規ツールでの任意コード実行手法など、CIで様々な任意コード実行されるパターンについて話しました。📝 今回のトピック00:00 オープニング00:37 Google Cloud Build…
S1E9 Claude Codeのインストールスクリプトは何が実行される? Takumi Runnerで見えないCI/CDの脅威を解剖する
Claude Codeのインストールの裏側でどんなプロセスや通信が走っているかを起点に、エンジニアがCI/CDのセキュリティリスクについて語ります。ビルドが通ればOKと思われがちなGitHub Actionsですが、近年はタグ汚染や悪意あるPull…
S1E8 AIによるGitHub Actionsワークフローの悪用。hackerbot-clawの攻撃レポートを読み解く会
今回は、OSSコミュニティにとって非常に憂慮すべき事態となっている「AIボット(hackerbot-claw)によるGitHub Actionsワークフローへの自動攻撃」について、公開されたレポートをもとに読み解きます。📝 今回のトピック(00:00) オープニング(日米の花粉症事情)(02:53) 著名OSSを狙った大規模攻撃「hackerbot-claw」とは(04:44) Attack…
S1E7 innerHTMLは完全になくなる?Sanitizer APIとHTMLサニタイズの現在地
Mozilla Hacksの記事『Goodbye innerHTML, Hello setHTML』を起点に、エンジニア3名がHTMLサニタイズについてを語ります。ブラウザ標準での実装が進む「Sanitizer API」。これによって、長年セキュリティリスクの温床となってきた innerHTML…
S1E6 AIエージェントの自律性と安全をどう両立する?Docker SandboxesやDaytonaの設計を深堀り
今回は「AIエージェント向けサンドボックス」がテーマ。Docker SandboxesやDaytonaなどの裏側について深掘りします。なぜDocker SandboxesはコンテナではなくMicroVMを採用したのか?インフラの主役はPaaSからどう変わるのか?GMO Flatt Securityのエンジニア4名が現場の視点で語り尽くします。📝 今回のトピック(00:00)…
S1E5 #5 AWS Security Agentの実行ログを読み解く会 (LLMとロジックの使い分け、レポート生成とValidationの裏側)
第5回は前回に引き続き、GMO Flatt Securityのエンジニア4名が「AWS Security Agent」について語ります。今回は診断ログを詳細に追いながら、AIがどのように脆弱性を発見・検証しているのか、その裏側のロジックやアーキテクチャを技術的な視点で深掘りしていきます。📚 参照記事・Ultra Thinking…
S1E4 #4 AWS Security Agentのログから、Takumiとの設計思想の違いを読み解く会
今回は、昨年末に突如発表された「AWS Security Agent」を徹底解剖します。 GMO Flatt Securityが開発するAIエージェント「Takumi」との比較ベンチマークレポートをもとに、検出率(Recall)と精度(Precision)の違いや、AWS Security Agentの実際のログを読み解きます。📚 参照・紹介した記事/サイト・Takumi byGMO…
S1E3 #3 2025年話題になった、脆弱性のリサーチ記事を読み解く会 (Zip Slipの再来、SVGクリックジャッキング編)
エンジニアの背中を預かるGMO Flatt Securityのエンジニアが、プロダクトセキュリティに関するトピックをワイワイ話す「Ultra Thinking」。第3回も前回に引き続き、2025年話題になった脆弱性リサーチのランキング「Top 10 Web Hacking Techniques of 2025」のノミネート記事を読み解いていきます。📝 今回のトピック00:00…
S1E2 #2 2025年話題になった、脆弱性のリサーチ記事を読み解く会 (K8s NGINXのRCE、ブラウザのリダイレクトハック編)
第2回のテーマは、毎年恒例のセキュリティリサーチの祭典「Top 10 Web Hacking Techniques of 2025」。ノミネートされた記事の中から、エンジニア視点で気になったものをピックアップして読み解きます。📚 紹介した記事・Top 10 Web Hacking Techniques of 2025: Call for nominations…
S1E1 #1 Claude Code の脆弱性記事を読み解く会 & AIサンドボックスの話
記念すべき第1回! GMO Flatt Securityのエンジニア4名が、話題となった「Claude Codeの脆弱性」に関するリサーチ記事についてワイワイ読み解きます。■ 紹介したトピック・Pwning Claude Code in 8 Different Ways…
Frequently Asked Questions
Ultra Thinking 【エンジニアのセキュリティトーク】 has published 15 episodes since January 2026, covering topics in Technology.
Ultra Thinking 【エンジニアのセキュリティトーク】 is currently highly active with new episodes weekly. Average episode length is 37m.
