axios の npm パッケージが侵害 — メンテナーアカウント乗っ取りで RAT が配布
axios Compromised on npm – Malicious Versions Drop Remote Access Trojan
週間1億ダウンロード超の HTTP クライアント axios の npm パッケージが乗っ取られた。攻撃者はリードメンテナーのアカウントを奪取し、axios@1.14.1 と axios@0.30.4 に悪意ある依存 plain-crypto-js@4.2.1 を注入。この偽パッケージは postinstall スクリプトで macOS・Windows・Linux 向けの RAT を展開し、実行後に自身を削除して痕跡を消す。axios 本体のコードには悪意あるコードが一切なく、依存関係経由の巧妙な攻撃手法が注目されている。
Claude Code ソースコード流出の全貌 — 偽ツール注入、フラストレーション検知、アンダーカバーモード
The Claude Code Source Leak: fake tools, frustration regexes, undercover mode, and more
Anthropic が npm パッケージに .map ファイルを同梱してしまい、Claude Code の全ソースコードが流出した。解析の結果、コピーキャット対策の偽ツール注入(ANTI_DISTILLATION_CC)、AI であることを隠す「アンダーカバーモード」、正規表現によるユーザーのフラストレーション検知、未リリースの自律エージェントモード KAIROS など、多数の興味深い内部実装が明らかになった。
Ollama が Apple Silicon 上で MLX バックエンドに移行 — 最大2倍の高速化
Ollama is now powered by MLX on Apple Silicon in preview
Ollama 0.19 のプレビュー版が Apple の機械学習フレームワーク MLX をバックエンドに採用した。M5 チップでは GPU Neural Accelerators を活用し、prefill 性能が 1,154 tokens/s から 1,810 tokens/s に、decode 性能が 58 tokens/s から 112 tokens/s に向上。NVIDIA の NVFP4 フォーマットもサポートし、本番推論環境と同等の精度をローカルで再現可能になった。
Microsoft Copilot の利用規約に「エンターテインメント目的のみ」と明記
Microsoft: Copilot is for entertainment purposes only
Microsoft が個人向け Copilot の利用規約を更新し、出力は「エンターテインメント目的」であり、専門的なアドバイスとして依拠すべきではないと明記した。年間数百億ドルを AI に投資しながらも、出力の正確性について法的責任を負わない姿勢が鮮明になり、HN コミュニティでは AI ツールの信頼性と責任の問題について議論が活発化している。
OpenAI が評価額8,520億ドルで資金調達ラウンドを完了
OpenAI closes funding round at an $852B valuation
OpenAI が8,520億ドル(約127兆円)の評価額で新たな資金調達ラウンドを完了した。IPO を視野に入れた動きとみられる。AI 業界への巨額投資が続く中、Microsoft が同四半期に2008年以来最悪の株価下落を記録するなど、AI 投資のリターンに対する市場の懸念が表面化している。
Google の時系列基盤モデル TimesFM — 2億パラメータ、16K コンテキスト
Google's 200M-parameter time-series foundation model with 16k context
Google Research が時系列予測の基盤モデル TimesFM を公開した。2億パラメータで16,000トークンのコンテキスト長を持ち、ゼロショットで多様な時系列予測タスクに対応する。需要予測、異常検知、金融データ分析など幅広い用途が想定されており、事前学習済みモデルとして公開されているため、ドメイン固有のデータでファインチューニングなしでも利用できる。
「スロップ」は必ずしも未来ではない — AI 生成コードの品質が経済的に選択される理由
Slop is not necessarily the future
コードレビューツール Greptile のブログが、AI 生成の低品質コード(スロップ)が主流にならないと主張。経済的インセンティブの観点から、保守しやすい高品質なコードの方が長期的にコスト効率が良く、AI モデル間の競争が激しい現在、信頼性の高いコードを生成するモデルが市場で勝つと論じている。Node.js 作者 Ryan Dahl の事例も引用されている。
Shopify CEO の PR は永遠にマージされないだろう — AI コーディングの誇大報道を検証
Prediction: The Shopify CEO's Pull Request Will Never Be Merged Nor Closed
Shopify CEO Tobi Lütke が AI ツール autoresearch で Liquid パーサーを53%高速化したと報じられたが、実際の PR を検証したところ、テストが3件失敗しており、コードの可読性も低い。メディアは一次ソースを確認せず「CEOが凄いことをした」と報道したが、コードはそのままではマージ不可能。しかし CEO の PR を閉じる勇気のあるメンテナーもいないだろう、という皮肉な予測。
Bun のバグが Claude Code ソースコード流出の根本原因か
A bug in Bun may have been the root cause of the Claude Code source code leak
Claude Code のソースマップ流出事件の原因として、Bun のフロントエンド開発サーバーにおけるバグが浮上した。本番ビルドでもソースマップが誤って配信される問題が GitHub Issue として報告されている。Anthropic が npm パッケージに .map ファイルを含めてしまった背景に、このビルドツールの不具合があった可能性が指摘されている。
curl 作者 Daniel Stenberg が語る「信頼するな、検証せよ」
Don't trust, verify (curl, Daniel Stenberg)
curl の作者 Daniel Stenberg が、サプライチェーン攻撃が頻発する現状を踏まえ、ソフトウェアの信頼性検証の重要性を論じた記事。依存関係の盲目的な信頼を戒め、署名検証、ハッシュチェック、ビルドの再現性確認など、開発者が実践すべき具体的な検証手法を解説している。
Microsoft が2008年以来最悪の四半期を記録 — AI 投資への懸念が背景
Microsoft closes worst quarter on Wall Street since 2008 on AI concerns
Microsoft の株価が2026年第1四半期に約25%下落し、2008年の金融危機以来最悪の四半期パフォーマンスとなった。巨額の AI インフラ投資に対するリターンへの不透明感が主因。Copilot の利用規約で「エンターテインメント目的のみ」と記載されたことも投資家心理に影響し、AI バブルへの懸念が顕在化している。
Gmail でアカウントを削除せずにメールアドレスの名前部分を変更可能に
Gmail now lets you change your old email name without deleting account
Google が Gmail のメールアドレスにおけるユーザー名部分の変更機能を提供開始した。これまでアドレスを変えるにはアカウントを新規作成する必要があったが、既存アカウントのまま変更できるようになった。Reddit r/technology で5,700以上の upvote を獲得し、長年要望されていた機能として注目を集めている。
サプライチェーン攻撃から身を守るために最低限設定しておきたいこと
サプライチェーン攻撃から身を守るために最低限設定しておきたいこと
2026年3月に相次いだサプライチェーン攻撃(Trivy GitHub Actions 侵害、LiteLLM への波及、axios メンテナーアカウント乗っ取り)を受け、開発者が最低限取るべき防御策をまとめた記事。npm の lockfile-only インストール、GitHub Actions のハッシュピンニング、CI での依存関係監査の自動化など、即座に実行可能な対策を具体的に解説している。
【緊急】axios がサプライチェーン攻撃を受ける — 2026年3月31日
【緊急】axios がサプライチェーン攻撃 2026.03.31
axios@1.14.1 と axios@0.30.4 が侵害され、マルウェアを含むバージョンが公開された経緯と対応策を日本語で速報した記事。侵害バージョンの特定方法、安全なバージョンへのダウングレード手順、package-lock.json での確認方法を具体的に説明。影響を受けたプロジェクトでの即座の確認と対応を呼びかけている。
Ubie における1年間のセキュリティ分析 AI エージェントの運用
Ubieにおける一年間のセキュリティ分析AIエージェントの運用
ヘルステック企業 Ubie がセキュリティアラート分析に生成 AI エージェントを1年間運用した知見をまとめた記事。EDR、WAF、クラウドセキュリティサービスなどからのアラートを AI が自動分析するシステムの設計と、実運用で得られた精度・コスト・運用負荷のバランスについて詳述。セキュリティ分析における AI 活用の実践的なベストプラクティスを提示している。
完全自律のコーディングパイプラインを作った
完全自律のコーディングパイプラインを作った
Ramp、Stripe、Uber など大手企業が自律型コーディングエージェントを内製している事例を紹介し、同様のパイプラインを個人で構築した実践記録。PR の約30%がエージェント経由で作成される Ramp の事例や、週1,000件以上の PR を完全自動生成する Stripe の仕組みに触れつつ、エージェントにコードを書かせるための具体的なアーキテクチャ設計を解説している。
自己進化する運用エージェントの設計と実装 — 3層メモリで AI が AI を育てる
自己進化する運用エージェントの設計と実装 〜 3層メモリで AI が AI を育てる AIOps の世界 〜
AWS Japan の記事で、運用タスクを実行するたびに学習し改善される AI エージェントの設計パターンを解説。短期記憶(セッション内コンテキスト)、中期記憶(タスク間の知識)、長期記憶(組織的ナレッジ)の3層メモリ構造により、同じミスを繰り返さず自律的に改善するエージェントの実装方法を、LangChain の Ambient Agent コンセプトと絡めて論じている。
Go にはなぜ例外がないのか
Goにはなぜ例外がないのか
Go が try-catch 型の例外処理ではなく、エラーを戻り値として扱う設計を選んだ理由を掘り下げた記事。冗長に見えるエラー処理の背後にある設計思想として、明示的なエラーフローの可読性、goroutine をまたぐエラー伝播の困難さ、パフォーマンスへの影響を解説。他言語との比較を通じて Go のエラー哲学を体系的に整理している。
ユニットテストは2種類ある — AI 時代に壊れないテスト設計
ユニットテストは2種類ある。AI時代に壊れないテスト設計
AI がコードを生成する時代において、ユニットテストの役割を再定義する記事。開発中に処理の動作確認をする「探索的テスト」と、仕様を保証する「契約的テスト」の2種類を区別し、AI 生成コードに対しては後者を重視すべきと提言。AI にテストを書かせる際の設計原則と、テストが壊れにくいアーキテクチャの作り方を具体的に解説している。
100万局のチェスゲームを Rust で15秒で処理する
Processing 1M Chess Games in 15 Seconds with Rust
Python の python-chess で25分かかっていた100万局の PGN パース・トークナイズ処理を Rust で書き直し15秒に短縮した実践記。ストリーミング処理でメモリ使用量を一定に保つアーキテクチャ、ゼロアロケーションの PGN パーサー設計、入力→フィルタ→出力の3層パイプラインなど、Rust の強みを活かした具体的な最適化手法が解説されている。
Cursor は安全か?100アプリをスキャンした結果、67%に重大な脆弱性
Is Cursor Safe? I Scanned 100 Apps. 67% Had Critical Vulns.
GitHub 上の Cursor で生成された本番アプリ100個をセキュリティスキャンした結果、67%に重大な脆弱性が見つかった。最も多いのは IDOR(43%)で、認証チェックなしにデータベースのレコードにアクセスできる状態。次いでフロントエンドのみの管理者権限チェック(28%)、ハードコードされたシークレット(22%)が続く。AI 生成コードのセキュリティリスクを具体的なデータで示している。
AI エージェントがアプリを操作するのではなく、アプリそのものになるべき — Rust と WebAssembly で300以上のツールを構築
AI agents shouldn't control your apps; they should be the app
OSS ライブラリ NextTranslate と Teaful のメンテナーが、Claude Code を活用して3週間で300以上のツールを Rust + WebAssembly で構築した Kitmul の開発記録。画像背景除去、音声分離、PDF 圧縮などの処理をすべてクライアントサイドで完結させ、サーバーにファイルをアップロードしない設計を実現。AI コーディングエージェントが開発速度をどう変えるかの実例として注目されている。