オープンソースの攻撃対象範囲管理チートシートが公開されました
開発者が、個人的なメモとして始まり、構造化されたリファレンスへと進化したオープンソースのAttack Surface Management(攻撃対象領域管理)チートシートを公開しました。このプロジェクトは、理論的な概念ではなく、実践的なASMの実装に焦点を当てています。
内容
このチートシートは、Attack Surface Managementのいくつかの重要な領域をカバーしています:
- 未知の資産の発見
- 公開されたインフラストラクチャの追跡
- 偵察と列挙ツール
- シンプルな自動化ワークフロー
- 推奨書籍と学習リソース
開発プロセス
開発者は、Claude AIを使用してセクションの整理、説明の拡充、ドキュメントの構造化を行い、散らばったメモではなくガイドのように読みやすくしました。リポジトリには、ASMプログラムを始めるための実装ノートとワークフローが含まれています。
プロジェクト詳細
このチートシートはGitHubリポジトリとして利用可能で、デモサイトはhttps://asm-cheatsheet.vercel.app/でホストされています。開発者は、コミュニティからのフィードバックとユースケースに基づいてリソースを拡張することに前向きであると表明しています。
📖 Read the full source: r/ClaudeAI
👀 See Also
ローカルエージェントAPIキーのセキュリティのためのプロキシ層分離
開発者が、ローカルエージェントセットアップ(Claude Code / Cursorスタイルのワークフロー)において、ほとんどのスタックが環境変数や<code>.env</code>ファイルを通じてAPIキーを公開し、任意のツール、プラグイン、またはプロンプトインジェクションされたコードが資格情報を読み取る可能性があるセキュリティリスクを生み出していることに気づきました。
Clawvisor: OpenClawエージェント向け目的ベース認可レイヤー
Clawvisorは、AIエージェントとAPIの間に位置する認可レイヤーで、目的ベースの認可を実施します。エージェントが意図を宣言し、ユーザーが特定の目的を承認すると、AIゲートキーパーがすべてのリクエストをその目的に対して検証します。認証情報はClawvisorから流出せず、エージェントがそれらを目にすることはありません。
SupraWall MCPプラグインは、ローカルAIエージェントに対するプロンプトインジェクション攻撃をブロックします。
SupraWallは、AIエージェントからの機密データ流出試行を傍受・ブロックするMCPプラグインです。プロンプトインジェクション攻撃による認証情報漏洩を防いだレッドチームチャレンジで実証されました。
Blindfold: Claude Codeが.envファイルを読み取るのを防ぐプラグイン
Blindfoldは、.envファイル内の実際の秘密値をOSキーチェーンに保持し、{{STRIPE_KEY}}のようなプレースホルダーを使用することで、Claude Codeがそれらにアクセスするのを防ぐ新しいプラグインです。直接アクセス試行をブロックするフックも備えています。