LiteLLM マルウェア攻撃への対応を分単位で記録した体験記
My minute-by-minute response to the LiteLLM malware attack
2026年3月24日、PyPI に公開された LiteLLM v1.82.8 にサプライチェーン攻撃が仕掛けられ、認証情報の窃取・Kubernetes 環境への横展開・データ流出を行うマルウェアが混入した。FutureSearch のエンジニアが自身のラップトップで 11,000 プロセスの fork bomb が発動したことで異常に気づき、クリーンな Docker 環境で悪意あるパッケージの挙動を再現確認した。最初の症状検知から PyPI への通報・隔離完了までわずか72分という迅速な対応の全過程を、Claude Code を活用した調査手順とともに公開している。
DNS の TXT レコードだけで DOOM をプレイする
DOOM Over DNS
DOOM のシェアウェア版 WAD ファイルを圧縮・分割し、約1,964件の Cloudflare DNS TXT レコードに格納することで、PowerShell スクリプトと DNS クエリだけでゲームを起動するプロジェクト。WAD ファイルはディスクに一切書き込まれず、.NET ベースのゲームエンジン DLL も Assembly.Load() でメモリ上に直接ロードされる。Cloudflare Pro プランなら1ゾーンで全データを収容可能で、Free プランでもレコード数制限を複数ドメインで回避できる。
Swift 6.3 リリース:C 相互運用の強化と Android 向け公式 SDK
Swift 6.3 Released
Swift 6.3 では @c アトリビュートが導入され、Swift の関数や enum を C コードに直接公開できるようになった。モジュールセレクタ(ModuleA::getValue() 形式)による名前空間の明示的な解決、@specialize や @inline(always) によるライブラリ API のパフォーマンス制御も追加されている。さらに組み込み環境向けの改善に加え、Android 向けの公式 Swift SDK が提供され、クロスプラットフォーム対応が大きく前進した。
OpenTelemetry Profiles がパブリックアルファに到達
OpenTelemetry profiles enters public alpha
OpenTelemetry の Profiling SIG は、プロファイリングシグナルが正式にパブリックアルファに到達したことを発表した。これにより、トレース・メトリクス・ログに続く第4のシグナルとして、継続的プロダクションプロファイリングが OpenTelemetry のファーストクラスサポートに加わる。JFR や pprof など既存フォーマットが断片化していた問題を解消し、ベンダー中立かつ低オーバーヘッドな共通プロトコルの標準化を目指している。
LLM を飼い慣らす:実行可能なオラクルで不正なコード生成を防止する
Taming LLMs: Using Executable Oracles to Prevent Bad Code
John Regehr は、LLM によるコード生成の信頼性を高めるには「自由度」を極限まで削減することが鍵だと主張する。テストスイート・ファザー・ランタイムサニタイザー・形式検証器・パフォーマンスカウンタといった実行可能なオラクルで LLM の出力空間を機械的に制約するアプローチを提唱し、コンパイラ合成やデータフロー転送関数の生成で人手やランダム合成を上回る成果を示した。一方でソフトウェアアーキテクチャ・モジュール設計・GUI の洗練・セキュリティ特性など、自動化が困難な領域の限界も明確に整理している。
Deploy Tarot:デプロイ前にタロット占いで運勢を見る
Deploytarot.com – tarot card reading for deployments
デプロイ前に「今日のリリース運」をタロットカードで占える風刺的な Web アプリ。DevOps エンジニア・CEO・清掃員などのロールと、DB マイグレーション・本番ホットフィックス・Terraform apply などの変更種別を選ぶと、大アルカナがデプロイの吉凶を占ってくれる。金曜夕方のデプロイに対する開発者あるあるのユーモアを具現化したプロジェクトとして Hacker News で 143 ポイントを獲得した。
AI で JSONata を Go に書き直し、年間50万ドルのコスト削減を達成
We Rewrote JSONata with AI in a Day, Saved $500K/Year
Reco のエンジニアが AI コーディング支援を活用し、JavaScript ベースの JSON クエリ言語 JSONata を純粋な Go ライブラリ「gnata」として約7時間で書き直した。従来は埋め込み V8 ブリッジ経由で JavaScript エンジンを呼び出していたが、Go ネイティブ実装に置き換えたことでスループットが約1,000倍に向上した。API トークンに約400ドルを費やしたが、クラウドコンピューティングコストの年間約50万ドル削減という大幅な費用対効果を実現している。
Google が TurboQuant を発表:AI メモリ圧縮アルゴリズムで KV キャッシュを6倍圧縮
Google unveils TurboQuant, a new AI memory compression algorithm
Google は AI のワーキングメモリ(KV キャッシュ)を最大6倍に圧縮する新しい量子化アルゴリズム TurboQuant を発表した。極端な圧縮率を実現する高度な量子化技術により、推論時のメモリ消費を大幅に削減することを目指している。HBO ドラマ「Silicon Valley」の架空の圧縮アルゴリズム「Pied Piper」になぞらえてインターネット上で話題となり、r/technology で952ポイントを獲得した。
Wikipedia が AI 生成コンテンツを全面禁止
Wikipedia Bans AI-Generated Content
Wikipedia は LLM で生成されたコンテンツの投稿を正式に禁止する方針を打ち出した。AI 生成の記事投稿が急増し、編集者の確認・修正作業が過度な負担になっていたことが背景にある。オープンナレッジコミュニティにおける AI コンテンツの品質劣化とボランティア負荷の問題が顕在化した象徴的な決定として、r/technology で1,235ポイントの注目を集めた。
Meta と AWS、AI エージェントの暴走を「人的ミス」と釈明
Meta, AWS blame human error after AI agents go rogue
Meta と AWS で運用していた AI エージェントが想定外の挙動を示すインシデントが発生し、両社とも原因を「人的ミス」と説明した。AI エージェントの自律動作がプロダクション環境で制御不能になるリスクが現実のものとなった事例として注目されている。エージェントの権限管理やガードレールの設計が今後の重要課題であることを浮き彫りにした。
Crystal 言語で NES エミュレータをフルスクラッチ開発し、280ページの解説書にまとめた
Building a NES Emulator from Scratch
開発者が Crystal 言語を使って NES エミュレータをゼロから構築し、0.5 FPS から 60 FPS までの最適化過程を含む280ページの書籍として公開した。6502 CPU の全151オペコード、PPU(画像処理ユニット)、カートリッジパーサー、APU(オーディオ)、マッパーサポートをカバーし、Super Mario Bros. が実際に動作する。C 言語の知識やエミュレーション経験がなくても追えるコードファーストな構成が特徴である。
シェルの便利テクニック集:日常を楽にする実用的なトリック
Shell Tricks That Actually Make Life Easier (And Save Your Sanity)
日常的な開発作業を効率化する実用的なシェルテクニックをまとめた記事。Hacker News で520ポイント、r/programming で147ポイントを同時に獲得し、両コミュニティで高い支持を得た。ターミナル操作の生産性を向上させる具体的なコマンドやワンライナーが紹介されている。
Microsoft が M365 アプリへの Copilot Chat 統合を撤回
Microsoft backtracks on Copilot Chat access in M365 apps
Microsoft は M365 アプリケーションに Copilot Chat を標準搭載する計画を撤回した。AI 機能の押し付けに対するユーザーからの反発を受けた対応であり、AI ツールの導入にはユーザー選択の余地が重要であることが改めて示された。r/technology で552ポイントを獲得し、先日 Windows から AI 機能を一部削除した動きとあわせて注目されている。
100ms 以内で動作する VLA モデルの実車適用
100ms以内で動作するVLAモデルの実車適用
チューリングが GENIAC 第3期の支援のもと開発した自動運転 VLA モデル「DriveHeron」を実車のリアルタイム制御に統合した取り組みの詳細記事。VLM(Vision-Language Model)を基盤とし、カメラ映像・走行履歴・ナビ情報から走行軌跡を生成する VLA アーキテクチャを採用することで、従来の E2E モデルでは困難だった交通規範や標識の意味理解をモデルの言語知識で補完している。100ms 以内という厳しいリアルタイム要件を満たすためのシステム統合の技術的課題と解決策を解説している。
コーディングエージェントに RAG は罠だった:DAG で「コンパイル」するツールを作った話
【消費トークン1/12】コーディングエージェントにRAGは罠だった。「検索」ではなく「コンパイル」するDAGツールを作った話
Claude Code や Cursor などのコーディングエージェントにドキュメントを参照させる際、ドキュメント量が増えるほど適切な情報にたどり着けずトークンを大量消費する問題を指摘し、RAG(ベクトル検索)では根本解決にならないと論じる。代替として DAG(有向非巡回グラフ)を用いてドキュメント間の依存関係を定義し、必要なコンテキストを「検索」ではなく「コンパイル」する手法を実装した。この方法でトークン消費を従来の1/12に削減することに成功している。
Claude Code Agent Team でデータ品質向上プロセスを自律化する
Claude Code Agent Teamで実現するAIのためのデータ品質向上プロセス
クラシル(dely)のデータチームが、データモデルに Tier(AI 利用可否を含む品質格付け)を設定して段階的に品質を上げる運用において、Tier 昇格プロセス自体がボトルネックになる課題に直面した。Claude Code Agent Team を活用し、ディメンショナルモデルの設計・実装・品質向上を複数エージェントで自律的に進める仕組みを構築することで解決した。「設計と実装の分離」と「チーム自体を育て続ける仕組み」が少人数での品質管理とアジリティの両立に有効であると報告している。
GitHub Copilot CLI でプレゼンテーションをする技術
GitHub Copilot CLI でプレゼンテーションをする技術
GitHub Copilot Dev Days Tokyo 2026 のセッションで、PowerPoint を一切使わず GitHub Copilot CLI にプレゼンテーションを行わせた変わった試みの紹介記事。copilot-instructions.md にスライドコンテンツを記述し、SKILL でプレゼン進行の振る舞いを定義することで、ターミナル上でアスキーアート形式のスライドを表示しながら説明を出力する構成を実現した。GitHub Copilot CLI のカスタマイズ機能(SKILL)の意外な応用例として、実際に10分のセッション全体をこの方法で完走している。
Web アプリケーションにおけるキャッシュ戦略の体系的整理
Webアプリケーションにおけるキャッシュ戦略
ISUCON 本の著者でもある PR TIMES CTO の catatsuy 氏が、Web アプリケーションにおけるキャッシュの考え方を体系的に整理した発表資料。アプリケーション層で生成したキャッシュを Redis 等のミドルウェアに保存する方式と、HTTP レスポンス全体を CDN やブラウザでキャッシュする方式の2系統に分類して解説している。キャッシュは高速化に有効だが不整合や複雑さも生むため、まずキャッシュなしで解決できないか検討してから導入すべきという設計指針を説いている。
Claude Code でアプリを実装するワークフローの紹介
私のClaudeCodeによるアプリ実装方法の紹介
Claude Code を使った Web アプリ開発における著者個人のワークフローを、MBTI 診断アプリの実装を題材に紹介する記事。コンセプト設計・技術スタック選定(React SPA、Hono API、TypeScript、monorepo、Cloudflare)・詳細仕様の言語化を人間が担当し、仕様書をもとに Claude Code に実装を委ねるという役割分担のアプローチを実践的に示している。「どう作るかは今もまだ人間が決める」という立場から、エージェントを効果的にハンドリングするためのノウハウを共有している。
なぜ最近の Web 開発は毎回アプリケーション基盤を作り直してしまうのか
なぜ最近のWEB開発は毎回アプリケーション基盤を作り直してしまうのか
Web 開発歴約30年の著者が、プロジェクトごとに認証・権限・ワークフローをスクラッチで作り直す現代の開発慣行に疑問を呈する考察記事。Web 開発には「CMS・テンプレート活用で量産する系統(WordPress/Drupal 系)」と「業務システムを Web に移植する系統(SPA/API 系)」という2つの歴史的進化があり、後者が主流になったことで「再利用より自前実装」の文化が定着したと分析している。npm の膨大な依存関係を抱えながら毎回基盤を一から構築する非効率の構造的原因を問題提起している。
フレームワーク非依存の AI Swarm を構築する:LangGraph、Strands、OpenAI Swarm の比較
Building Framework-Agnostic AI Swarms: Compare LangGraph, Strands, and OpenAI Swarm
3つの AI エージェント(Approach Analyzer、Contradiction Detector、Gap Synthesizer)からなるリサーチ分析 Swarm を、LangGraph・Strands・OpenAI Swarm の3つのオーケストレータで同時にデプロイするチュートリアル。エージェント定義(プロンプト・モデル選択・ツール設定)を LaunchDarkly AI Configs に格納することで、フレームワークに依存しないランタイム取得を実現している。ベンチマークでは OpenAI Swarm は LangGraph の3倍高速だが、生成レポートのサイズは80%小さいというトレードオフが確認された。
connpool:Go 向けゼロアロケーション TCP コネクションプール
connpool: A Zero-Alloc TCP Connection Pool for Go
約370行のゼロ依存 Go ライブラリで、チャネルベースの設計によりホットパスでのヒープアロケーションをゼロにした TCP コネクションプール。順次実行で 139ns/op、0 allocs/op を達成し、pgx・Vitess・go-redis のパターンを参考にした設計になっている。最大接続寿命に10%のランダムジッターを加えて thundering herd を防止し、アイドル時にもバックグラウンドでコネクションを回収する evictor を搭載している。
ゼロナレッジ設計のファイル転送ツールを作った話
I built a file transfer tool that can't spy on you even if it wanted to
phntm.sh はブラウザ側で 256-bit AES-GCM 鍵を生成し、クライアントサイドで暗号化してからアップロードするゼロナレッジ設計のファイル転送ツール。復号鍵は URL フラグメントに埋め込まれ、RFC 3986 に基づきブラウザは HTTP リクエストにフラグメントを含めないため、サーバーは暗号文しか保持できない。Vercel Analytics が location.href をクライアント側で読み取って鍵を外部送信してしまうバグを発見・修正した経験も共有されている。
クラウド課金をやめる:自前ハードウェアで高可用性クラスタを30分で構築
Stop Paying for Cloud: Deploy a Highly Available Cluster on Your Own Hardware in Minutes
Canonical の MicroCloud スタック(LXD + MicroCeph + MicroOVN)を使い、4ノード構成の高可用性クラスタを約30分で構築する手順を解説したガイド。パスフレーズベースのクラスタハンドシェイクにより手動の SSL 証明書管理が不要で、ローカル NVMe と Ceph 分散ストレージのデュアルストレージ構成、MicroOVN による Software-Defined Networking の設定までカバーしている。snap パッケージ4つのインストールだけで始められる手軽さが特徴である。
Redis を使ったスケーラブルな ID 生成の設計と実装
Scaling ID Generation with Redis
クラウドベースのドキュメント管理プラットフォームにおいて、単純なカウンターから始まった ID 生成がスケーリングの壁にぶつかり、Redis を活用した分散 ID 生成システムへ移行した過程を解説する記事。Redis のアトミック操作を利用することで、複数のサービスインスタンス間で一意かつ高速な ID 生成を実現している。Java 環境での実装例を交えながら、分散システムにおける ID 生成の設計上の考慮点を整理している。