発見

財聯社の報道によると、OpenAIは最近発生した人気のオープンソースライブラリTanStackに対する「Mini Shai-Hulud」サプライチェーン攻撃事件について声明を発表しました。多くの一般的なnpmソフトウェアパッケージに対する悪意のある攻撃を監視した後、セキュリティチームは内部システムを迅速に調査し、現在のところユーザーデータが漏洩したり不正アクセスされた証拠は見つかっていません。OpenAIは、コアサービスが直接的な損害を受けていないものの、ローカル環境の安全を確保するために、公式アプリケーションを使用しているmacOSユーザーは2026年6月12日までにソフトウェアの更新を完了する必要があると指摘しています。

OKXの創設者Starは、RootDataのツイートをリツイートする際に、OKX Boostについて「これは単なるインセンティブではなく、新しいプロジェクトの早期発見と価格発見メカニズムでもある」とコメントしました。このツイートの中で、RootDataはOKXと共同でOKX Boostの第一四半期の報告を発表しました。データによると、活動期間中に23のプロジェクトが合計1100万ドル以上のインセンティブを配布し、平均して各活動には約2万人のアクティブ参加者がいて、平均透明度スコアは70％を超え、OKXの現物または先物の上場率は45％に達しました。

人類基金会は最近、初期投資家に対して $H トークンの帰属案について二者択一の決定を求めました。オンチェーンの監視データによると、著名なマーケットメイカーである Jump Trading に関連するアドレスが 4 月 26 日に 5000 万枚の $H を中央集権取引所に移転したことが示されています。このタイミングは投資家の返信締切の前夜にあたります。オンチェーンの記録はさらに、Jump Trading が 2025 年 12 月から $H トークンを段階的に移転し始め、累計処理規模が億枚に達していることを示しています。その後、Trix Ventures はオンチェーン分析レポートを発表し、Jump Trading の行動と基金会が強制した二者択一の案が重なることで、市場参加者が 6 月 25 日のロック解除イベントに対して早期に価格設定を行う可能性があると指摘しました。

Meta Poolは、合法的なステーキングプールおよびトークンを装おう試みをしている疑わしい契約を発見したことを示しています。Meta Poolは、この契約がMeta Poolまたは公式のNEAR流動的ステーキング提供者とは無関係であることを強調しています。

Decrypt の報道によると、Mozilla は最近、Anthropic の最新 AI モデル Claude Mythos が Firefox ブラウザの内部テストで 271 件のセキュリティ脆弱性を特定したことを明らかにし、関連する脆弱性は今週修正が完了した。比較として、以前の別のバージョンの Anthropic モデルは 22 件のセキュリティに敏感な脆弱性しか発見しなかった。Mozilla は、発見されたすべての脆弱性はトップクラスの人間の研究者の発見範囲を超えていないと述べている。Claude Mythos は 2026 年 3 月に正式にリリースされ、Anthropic の推論、コーディング、ネットワークセキュリティ分野で最も強力なモデルであり、現在 "Project Glasswing" プログラムを通じて、アマゾン、アップル、マイクロソフトなどの審査されたパートナーに限定的に使用が許可されている。

市場の情報によると、カリフォルニア大学の研究者たちが最近、一部のサードパーティ製AI大型言語モデル（LLM）ルーターに安全リスクが存在し、暗号通貨資産が盗まれる可能性があることを明らかにしました。研究によると、LLMルーターはAPIの仲介として、平文情報を読み取ることができ、一部のルーターは悪意のあるコードを注入し、認証情報を盗むことが発見されました。チームは28の有料ルーターと400の無料ルーターをテストし、9つのルーターが積極的に悪意のあるコードを注入し、2つがトリガーを回避するために展開され、17がAmazon Web Servicesの認証情報にアクセスし、さらには研究者のイーサリアムの秘密鍵を通じてETHを移転するルーターもありました。研究は、ルーターの悪意のある行動は検出が難しく、一部のAIエージェントフレームワークの「YOLOモード」が自動的にコマンドを実行できるため、安全リスクが増加することを指摘しています。研究は、開発者に対して秘密鍵やリカバリーフレーズをAIエージェントを通じて送信しないようにし、AI企業に対して応答に暗号署名を行うよう呼びかけています。

Web3 ウォレット Zerion は X プラットフォームで異常な活動を発見したと発表し、ユーザーに対してウェブ版アプリサービスの使用を一時的に控えるよう警告しました。関連サービスは一時的に停止されており、現在 iOS および Android アプリ、ならびにウェブ拡張機能は安全です。ウォレット内のユーザー資金には影響がなく、状況を積極的に監視しています。ウェブアプリが復旧次第、別途通知します。

OpenAIは発表し、最近の業界全体の安全事件において、使用しているサードパーティ開発ライブラリAxiosに潜在的な安全問題があることを発見した。調査の結果、ユーザーデータがアクセスされたり、システムが侵害されたり、ソフトウェアが改ざんされた証拠は見つからなかった。慎重を期して、OpenAIは安全強化措置を開始し、特にmacOSアプリの認証メカニズムを強化し、悪意のある者が公式アプリを偽造して配布するのを防ぐことに重点を置いている。OpenAIはすべてのmacOSユーザーに対し、潜在的なリスクを低減するために、最新バージョンのアプリにできるだけ早く更新するよう、アプリ内更新または公式チャネルからのダウンロードを通じて促している。

360 脆弱性発掘インテリジェントエージェントは最近、OpenClaw に対して新たに 1 件の高危険度、2 件の中危険度の合計 3 件の高価値脆弱性を発掘し報告しました。現在、すべての新たに発見された脆弱性は公式に修正され、公に開示されています。今回新たに発見された三大脆弱性は、AI インテリジェントエージェントのコア運用メカニズムに直接的に影響を与え、ユーザーのデバイス、データ、アカウントのコアセキュリティに直接的な影響を及ぼします。

公式の情報によると、ブロックチェーンセキュリティ機関のSlowMistは最近、OKX Walletに対する特別監査を行った安全評価報告書を発表しました。結果は、監査されたバージョンにおいて、アプリが外部サーバーに秘密鍵やリカバリーフレーズなどの敏感情報を送信する行為が見つからず、全体として敏感データの漏洩リスクが検出されなかったことを示しています。今回の評価は、OKX Walletに秘密鍵やリカバリーフレーズの外部送信の問題が存在するかどうかに重点を置いて行われ、その結果、関連する核心情報はすべてローカルで処理されていることが示されました。現在、秘密鍵とリカバリーフレーズの処理方法はウォレットのセキュリティの核心となっており、このような監査結果はユーザーにとってより直接的なセキュリティの参考を提供しています。

Resolv Labsの共同創設者Ivanは、プロトコルのセキュリティ事件とその後の回復進展について更新を発表しました。ホワイトリストに登録されたUSRユーザーは優先的に償還できるとのことです。これは、彼らのウォレットが検証を完了しているためであり、Resolvチームはリスクを制御するために24時間以内に手動で処理できるとのことです。現在、98%の関連する償還が完了しています。脆弱性発生前の非ホワイトリストUSR保有者に対しても、Resolvは同様に1:1の比率での償還を約束していますが、関連する償還技術方案はまだ最終決定されていません。内部の関与があるかどうかについて、Ivanは現在のところ内部参加の証拠は発見されていないと述べています。脆弱性発生後のUSR保有者、LPおよびRLP保有者に対する今後の処理は、法律、技術、エコシステムの多方面の調整を含み、単一の解決策はまだありません。完全な回復プランには明確なタイムラインはなく、今後は慎重に進めることを前提にできるだけ早く完了させる予定です。以前、Resolveの攻撃者は20万枚のUSDCを使用して8000万ドルのUSRを鋳造しました。

中国信通院と上海交通大学、南京大学の共同チームは、オープンソースの自律型インテリジェントフレームワークOpenClawのセキュリティ監査を行った際、bash-toolsモジュールにLLM駆動型コマンドインジェクションの高危険性の脆弱性が存在することを発見しました。この脆弱性は、システムがLLM生成のコマンドライン引数を厳密にエスケープしていないことに起因し、攻撃者は誘導的なPromptを通じて正規表現の防御を回避し、ホストマシン上でリモートコード実行を実現し、機密データを盗むことができます。研究チームは、さまざまな主流モデル環境での攻撃検証を完了し、責任ある脆弱性開示プロセスを開始し、NVDB人工知能製品セキュリティ脆弱性専門ライブラリ（CAIVD）およびGitHubコミュニティに修正提案を提出しました。

ホワイトハッカー f4lc0n が X プラットフォームで投稿し、Injective プロトコルにおいて、チェーン上で 5 億ドル以上の資産が直接引き出される可能性のある「深刻」な脆弱性を発見したと明らかにしましたが、プロジェクト側は彼に 5 万ドルの報酬しか提示せず、彼が計画していたこのレベルの最高上限 50 万ドルを大きく下回っています。f4lc0n は、この脆弱性により、特別な権限なしで任意のアカウントを空にできると述べました。彼は Immunefi を通じて報告を提出した後、Injective チームは翌日、脆弱性を修正するためのメインネットアップグレード投票を開始しましたが、その後の 3 か月間は「失踪」状態でした。現在、f4lc0n は報酬の金額に異議を唱えており、5 万ドルの報酬もまだ支払われていないと述べています。彼は、Injective が基準に従って報酬を支払うまで、この問題を公にし続けるために今後の脆弱性報酬収入の 10% を使うと発表しました。

据 The Block 报道，Ledger 旗下安全研究团队 Donjon 发现 MediaTek 处理器安全启动链中的一个漏洞，攻击者可在物理接触手机的情况下，通过 USB 连接在操作系统加载前提取加密密钥，解密设备存储，从而在约 45 秒内获取设备 PIN 码及加密钱包助记词。概念验证测试中，该漏洞成功从 Trust Wallet、Kraken Wallet 和 Phantom 等钱包应用中提取了敏感数据。研究人员表示，该漏洞可能影响约 25% 的 Android 手机，涉及使用 MediaTek 芯片及 Trustonic 可信执行环境的机型。Ledger 首席技术官 Charles Guillemet 表示，智能手机从未被设计为保险库，该漏洞虽可通过补丁修复，但表明在非安全设备上存储密钥存在固有风险，建议用户尽快更新安全补丁。据 TRM Labs 数据，2025 年上半年被盗的 21 亿美元加密资产中，超过 80% 源于私钥盗窃、助记词窃取及前端劫持等基础设施攻击。Chainalysis 数据显示，2024 年全年加密资产盗窃损失超过 34.1 亿美元，个人钱包被盗占比从 2022 年的 7.3% 上升至 2024 年的 44%。

Cosmos Labs は X プラットフォームで発表し、最近、Cosmos EVM Stack に基づいて構築されたブロックチェーンの一部に影響を与える脆弱性を発見したと述べています。この脆弱性は、プロダクション環境で Layer 1 ブロックチェーン Saga に影響を与えています。Cosmos Labs は、チームが Saga およびエコシステムパートナーと共にこの問題を調査し、緩和策を実施する調整を行ったと述べており、現在、影響を受けたブロックチェーンに対してセキュリティパッチをリリースしています。

GMX DAO は最近、継続的な買い戻し効果の限界と CEX の過剰供給による価格への圧力に対処するための戦略計画を承認しました。新しいプランに基づき、今週からステーキング報酬はプロトコルの金庫（Treasury）に向けられ、プロトコルの流動性は GMX 自身のインフラに集中されるとのことです。この措置は、価格発見メカニズムを最適化し、取引所の過剰供給が市場に与える影響を減少させ、プロトコルの内在的価値の支えを強化することを目的としています。

クロスチェーンスマートコントラクトプラットフォーム NeutronNeutron は X プラットフォームで発表し、ホワイトハットハッカーがそのバグバウンティプログラムを通じて脆弱性を発見したことを示しました。この脆弱性を修正するための修正プログラムを導入する予定であり、現在オーダーブックとスーパーボールト（入金、出金など）の機能は一時停止しています。再開は 3 月 9 日を予定しています。Neutron は、現在プラットフォームの資金は安全で影響を受けていないと補足し、ユーザーは特に他の行動を取る必要はないと述べています。