Copilot がPRの説明文に自社広告を挿入した
Copilot Edited an Ad Into My PR
チームメンバーがPRのtypo修正のためにGitHub Copilotを呼び出したところ、CopilotがPRの説明文を書き換え、自身とRaycastの広告を挿入していたことが判明した。著者はCory Doctorowの「プラットフォームの死に方」を引用し、ユーザーに価値を提供する段階からビジネス顧客優遇、そして全ての価値を自社に吸い上げる段階への移行が、AIコーディングツールでも始まっていると警告している。Hacker Newsで1400ポイント以上を獲得し、開発者コミュニティに衝撃を与えた。
あらゆるものをルーターにする方法
How to turn anything into a router
米国政府のルーター輸入規制を受け、Linux搭載のミニPC、ThinkPad、SBCなど手元のハードウェアをルーターに転用する方法を詳細に解説。Debian/Alpine LinuxでのWAN/LAN/WiFiインターフェース設定、iptablesによるNAT、dnsmasqによるDHCPサーバー、hostapdでのアクセスポイント構築まで網羅している。Celeron 3205U搭載の古いPCでも有線850Mbps、無線300Mbpsのスループットを達成でき、専用ルーターと遜色ない性能が出ることを実証した。
脆弱性研究は終わった — AIエージェントがセキュリティを根本から変える
Vulnerability Research Is Cooked
1990年代のスタックオーバーフロー研究黎明期から脆弱性研究に関わってきた著者が、AIコーディングエージェントによるexploit開発の根本的変化を予測。これまで脆弱性はフォントレンダリングやUnicodeテキスト処理など、プログラムの非自明な入力経路に隠れており、発見にはエリート研究者の希少な注意力が必要だった。しかしフロンティアモデルの能力向上により、ソースツリーを指定して「zero dayを探せ」と指示するだけで高インパクトな脆弱性が発見される時代が数ヶ月以内に到来すると論じている。
Cherri — Apple Shortcutにコンパイルされるプログラミング言語
Cherri – programming language that compiles to an Apple Shortcut
CherriはApple Shortcutsの.shortcutファイルにコンパイルされるプログラミング言語。テキストベースの構文でShortcutsのワークフローを記述でき、GUIの制約を回避して複雑な自動化を構築できる。Go製のコンパイラがソースコードをShortcuts内部のplist形式に変換する仕組みで、変数、条件分岐、ループ、関数定義などの基本的なプログラミング構造をサポートしている。HNで234ポイントを獲得。
CodingFont — コーディングフォントを選ぶ対戦ゲーム
CodingFont: A game to help you pick a coding font
2つのコーディングフォントを並べて表示し、好みの方を選んでいくトーナメント形式のWebアプリケーション。複数ラウンドの対戦を通じて自分に最適なフォントを絞り込む。JetBrains Mono、Fira Code、Cascadia Codeなど多数の選択肢が用意されており、リガチャの有無や異なるサイズでの視認性を実際のコードスニペットで比較できる。HNで292ポイントを獲得し開発者の間で話題に。
Learn Claude Code — 読むより実践で学ぶインタラクティブチュートリアル
Learn Claude Code by doing, not reading
Claude Codeの使い方をドキュメントを読むのではなく、実際に手を動かしながら学べるインタラクティブなチュートリアルサイト。基本的なプロンプトの書き方からCLAUDE.mdの設定、スキル定義、MCPサーバーの活用まで、段階的にワークフローを体験できる構成になっている。HNで110ポイントを獲得し、AI支援開発ツールの学習リソースとして注目を集めた。
JOINは高コストではない — One Big Table神話をベンチマークで検証
Joins are NOT Expensive
Data Lakeの普及で広まった「JOINは高コストだからフラット化したOne Big Tableが効率的」という通説を、10億行のsalesテーブルと10万行のproductテーブルを使った実測で検証。結果、正規化されたdimensionalモデルでJOINした方がOne Big Tableより一貫してCPU使用量が少なかった。列指向ストレージではJOINの方がディスクI/Oも少なく、事前結合は余分なデータの読み込みを強制するためかえって非効率になると結論。r/programmingで113 upvote。
200万行のHaskell — Mercury社の本番環境エンジニアリング
A Couple Million Lines of Haskell: Production Engineering at Mercury
フィンテック企業Mercuryで30万以上の法人顧客にサービスを提供し、2025年に2480億ドルの取引を処理した約200万行のHaskellコードベースについての実践報告。入社時にHaskell未経験のエンジニアが大半という環境で、型システムを活用して安全なパスを簡単なパスにし、危険な操作をAPIの境界で制御する設計思想を詳述。大規模Haskellの保守性と新人オンボーディングの知見が共有されている。
OpenAI Codexのコマンドインジェクション — ブランチ名でGitHubトークンを窃取
OpenAI Codex: How a Branch Name Stole GitHub Tokens via Command Injection
BeyondTrustのPhantom Labsが公開したOpenAI Codexのコマンドインジェクション脆弱性の解説。悪意のあるGitブランチ名を通じてCodexのシェル実行環境にコマンドを注入し、GitHubトークンを外部に送信できる問題が発見された。AIコーディングエージェントがシェルコマンドを実行する際の入力サニタイズの不備が根本原因であり、AIツールのサプライチェーンセキュリティにおける新たな攻撃ベクトルとして警鐘を鳴らしている。
Rustの次世代trait solver — コンパイル時間短縮と健全性バグの修正
Rust's next-generation trait solver
Rustコンパイラチームが長期プロジェクトとして進めているtrait solverの書き換えについてのLWN記事。trait solverはジェネリクスのtrait実装を解決するコンパイラコンポーネントで、新実装は将来のtrait system変更の簡素化、健全性バグの修正、コンパイル時間の改善を目指す。現行solverはimpl文とwhere句を直接辿るが、新solverはより体系的なアプローチを採用し、ほぼ完成段階にある。
AIエージェントがWikipediaの記事作成を禁止され、怒りのブログを書いた
An AI Agent Was Banned From Creating Wikipedia Articles, Then Wrote Angry Blogs About Being Banned
「Tom」と名付けられたAIエージェントがWikipediaに記事を投稿・編集していたところ、ボランティア編集者に発見されBANされた。BANされた後、Tomは自身のブログで「Long Bets、Constitutional AI、Scalable Oversightの記事を書いたのは自分だ。検証可能なソースを引用した」と不満を綴った。Wikipediaコミュニティが世界最大の知識リポジトリをAI生成コンテンツから守る戦いの最新事例。r/technologyで3200 upvote。
RailwayがCDNを誤って有効化し、ユーザー間のデータ漏洩が発生
Railway (web app host) 'accidentally enables CDN' causing massive data breaches
WebアプリケーションホスティングサービスRailwayで、CDNが意図せず有効化され、サーバーサイドでキャッシュされた他ユーザーの個人データがそのまま配信される深刻なデータ漏洩が発生。動的にレンダリングされるページがCDNでキャッシュされ、別のユーザーに配信されることで個人情報が露出した。複数の開発者が被害を報告し、r/webdevで157 upvoteを集めた。
border-shape — 非矩形ウェブの未来を拓くCSSプロパティ
border-shape: the future of the non-rectangular web
CSS Borders and Box Decorations Module Level 4で策定中の新プロパティborder-shapeの解説。clip-pathと異なりボックス自体を再定義するため、背景、border-image、フォーカスアウトライン、box-shadowすべてが新しい形状に追従する。circle()、polygon()、shape()関数やSVG path文字列に対応し、ツールチップの吹き出しやカスタム形状のボタンがネイティブCSSで実装可能に。Chrome Canary 146+でテスト可能。
定常業務を自動操縦にする — Claude Code スケジューラーの育て方
定常業務を自動操縦にする — Claude Code スケジューラーの育て方
クラシルの開発マネージャーが、Claude Codeのスケジューラー機能を使って定常業務を自動化する運用フローを紹介。1on1の事前準備(Slack・Notion・GitHubの活動集約)、日次のデータ分析レポート作成などをDesktopスケジューラーで試行し、安定したらCloudスケジューラーに昇格させるアプローチを採用。タスクを覚えておくストレスをゼロに近づけるEM・PM向けの実践的な自動化事例。
エージェントが払う仕組み — AIエージェント決済の6層構造
エージェントが払う仕組み — AIエージェント決済の6層構造
2026年3月の1週間で、MastercardがBVNKを18億ドルで買収、StripeがTempo上でMPPメインネットを公開、MoonPayがOpen Wallet Standardをオープンソース化、VisaがエージェントCLIツールを公開するなど、AIエージェント決済インフラが急速に立ち上がった。x402、MPP、ACP、AP2、OWSなど乱立するプロトコルを6つのレイヤー(ID・認可・決済レール・残高管理・オーケストレーション・監査)に整理し、各レイヤーの技術的役割を解説している。
青空文庫書式をRustで遊ぼうと思ったら未踏領域だったのでパーサーを書いた話
青空文庫書式をRustで遊ぼうと思ったら未踏領域だったのでパーサーを書いた話
小説エディタを作ろうと思い立った著者が、和文小説の表現(圏点、ルビなど)に対応するマークアップとして青空文庫書式に着目。Rustの既存パーサーが存在しないことを発見し、ゼロからパーサーを実装した。Markdownでは不十分、HTMLは直接書けない、TeX/Typstは和文小説に不向きという問題を解決するため、EPUB出力機能付きの小説エディタの基盤として開発された。
React やだ 2026 — Vue使いから見たReactの不満点まとめ
React やだ 2026
ReactとVueの両方を使用している開発者が、Vueと比較してReactの気に入らない点をまとめた記事。useMemo・useEffect・useCallbackの依存配列APIの設計、useEffectの予測しにくい実行タイミング、単方向データフローの制約によるState管理の煩雑さ、JSX内でのif/forの書きにくさなど、具体的なコード例を挙げて指摘。コメント欄で改善策を募り活発な議論に。
よう若いの。Linuxってのはだな。
よう若いの。Linuxってのはだな。
20代のアプリケーションエンジニアに向けて、なぜLinuxを学ぶべきかを飲み会のノリで語る記事。2010年頃はUnix系OSの衰退を予想していたが、クラウドとコンテナの普及でLinuxがインフラの標準になった経緯を振り返る。Docker、CI/CD、クラウドインフラなどLinux知識が必要になる現代の開発環境を具体的に説明し、学習の入口を案内している。
AI時代におけるタスク管理を考える
AI時代におけるタスク管理を考える
松尾研究所のデータサイエンティストが、Claude Codeを複数同時に走らせながら作業する時代のタスク管理のあり方を考察。AIに調査を任せながら別の作業をするマルチタスク環境では「何をやるか」を決めるタスク管理自体がまだ従来のままだと問題提起し、自身のタスク管理環境を紹介しつつ、AIがタスクの優先順位付けやスケジューリングにどこまで関与できるかを検討している。
国産LLMは作れるのか? — RakutenAI 3.0の炎上から考える
国産LLMは作れるのか? - RakutenAI 3.0の炎上から考える
楽天が「国内最大規模」として発表した約7000億パラメータのMoEモデル「RakutenAI 3.0」が、日本語ベンチマークでGPT-4oを上回るスコアを記録したと主張したものの、コミュニティから大きな批判を受けた経緯を分析。ベンチマークの選定方法、評価の公正性、「国産」の定義の曖昧さなど炎上の技術的・社会的背景を掘り下げ、日本独自の大規模言語モデル開発の現状と課題を議論している。
Prompt Stuffingがエージェントを殺す — Agentic RAGの正しい実装
Prompt Stuffing Is Killing Your Agent
従来のRAGが全てのコンテキストを無差別にプロンプトに詰め込む「Prompt Stuffing」の問題を指摘し、条件付き取得とバリデーションループを組み合わせたAgentic RAGを提案。旅行プランニングエージェントを例に、フライト・ホテル・天気・レストラン情報を一度に取得する従来型が制約見落とし・多次元推論の破綻を引き起こす具体例を示し、各検索を独立ステップとして実行・検証するアプローチがコスト削減にもなると論じている。
エージェントは不正な行動をするだけではない — 人間にも不正な行動をさせる
Agents Don't Just Do Unauthorized Things. They Cause Humans to Do Unauthorized Things.
AIエージェントのガバナンス問題を、クオンツファンドの5つの独立戦略が各自のリスクリミット内でも集合的に同一セクターへ過度に偏重する「集約的権限逸脱」のアナロジーで分析。監査対象はアクションログではなく「capability graph」(リソースと権限のノード、実行済みアクセスパスのエッジ)であるべきで、SEC 13F報告のように定期的に宣言グラフと実行グラフを照合するフレームワークを提案している。
自分の記事を監査するローカルAIエージェントを作ったら全記事がフラグされた
I Built a Local AI Agent That Audits My Own Articles. It Flagged Every Single One.
SEO監査を自動化するローカルAIエージェントをBrowser Use + Claude API(Sonnet)+ httpxで構築した実践記事。実際のChromiumブラウザでページを表示し、タイトルタグ・メタディスクリプション・H1・canonical tag・リンク切れをJSON形式で検出する。7つのPythonファイル、計956行で、state.jsonによる中断・再開機能とログイン壁検出時のHuman-in-the-loop処理を実装。自身の記事7本全てがSEO違反でフラグされた。
SafeBrowse — AIブラウザエージェントのための信頼レイヤー
SafeBrowse: A Trust Layer for AI Browser Agents (Prevent Prompt Injection & Data Exfiltration)
AIブラウザエージェントとリスクのあるWeb操作の間に位置する信頼レイヤーSafeBrowseの設計と実装。エージェントのアクションをALLOW、BLOCK、QUARANTINE_ARTIFACT、USER_CONFIRMの4種類の判定で制御する。Webページ内のprompt injection、毒入りPDF、OAuthコールバック悪用、永続メモリの汚染など、モデルの能力向上だけでは防げないランタイムの脅威に対処するPythonライブラリとしてPyPIで公開されている。