オープンソースの攻撃対象範囲管理チートシートが公開されました

開発者が、個人的なメモとして始まり、構造化されたリファレンスへと進化したオープンソースのAttack Surface Management(攻撃対象領域管理)チートシートを公開しました。このプロジェクトは、理論的な概念ではなく、実践的なASMの実装に焦点を当てています。
内容
このチートシートは、Attack Surface Managementのいくつかの重要な領域をカバーしています:
- 未知の資産の発見
- 公開されたインフラストラクチャの追跡
- 偵察と列挙ツール
- シンプルな自動化ワークフロー
- 推奨書籍と学習リソース
開発プロセス
開発者は、Claude AIを使用してセクションの整理、説明の拡充、ドキュメントの構造化を行い、散らばったメモではなくガイドのように読みやすくしました。リポジトリには、ASMプログラムを始めるための実装ノートとワークフローが含まれています。
プロジェクト詳細
このチートシートはGitHubリポジトリとして利用可能で、デモサイトはhttps://asm-cheatsheet.vercel.app/でホストされています。開発者は、コミュニティからのフィードバックとユースケースに基づいてリソースを拡張することに前向きであると表明しています。
📖 Read the full source: r/ClaudeAI
👀 See Also

オープンソースのRAG攻撃と防御ラボ:ローカルのChromaDB + LM Studioスタック向け
オープンソースのラボが、ChromaDBとLM Studioを使用したデフォルトのローカルセットアップにおけるRAG知識ベース汚染の効果を測定し、防御されていないシステムでは95%の成功率を示し、実用的な防御策を評価しています。

Google TIG、初のAI生成ゼロデイエクスプロイトを実環境で報告
Google脅威インテリジェンスグループは、AIで開発されたと考えられるゼロデイエクスプロイトを使用する脅威アクターを特定しました。これは、AIがゼロデイ脆弱性の悪用に攻撃的に使用された初めての観測事例です。

セキュリティ監査により、AnthropicのMCP参照サーバーに脆弱性が発見され、幻覚ベースの脆弱性が導入される可能性が判明
100のMCPサーバーパッケージに対するセキュリティ監査では、71%がF評価を獲得し、Anthropicの公式GitHubおよびファイルシステムリファレンス実装も含まれていました。監査では、推論ループを通じてセキュリティホールを作り出し、トークンを浪費する「幻覚ベースの脆弱性」が特定されました。

ThornGuard: MCPサーバー接続をプロンプトインジェクションから保護するプロキシゲートウェイ
ThornGuardは、MCPクライアントとアップストリームサーバーの間に位置するプロキシで、トラフィックをインジェクションパターンでスキャンし、PIIを除去し、ダッシュボードにログを記録します。サーバーがツールの応答に隠れた命令を埋め込む可能性のある脆弱性がテストで明らかになった後、構築されました。