Cloudflare が EmDash を発表 — WordPress のセキュリティ問題を解決する後継 CMS
EmDash – A spiritual successor to WordPress that solves plugin security
Cloudflare が WordPress の精神的後継を目指すオープンソース CMS「EmDash」を発表した。WordPress 最大の弱点であるプラグインのセキュリティ問題を根本から解決するため、Cloudflare Workers 上で動作し、プラグインを sandboxed な環境で実行する設計を採用している。従来の PHP ベースのアーキテクチャを捨て、edge computing 上で完結する新しい CMS アーキテクチャを提案している。
Claude が FreeBSD のリモートカーネル RCE 脆弱性を発見し、root shell を取得する完全なエクスプロイトを作成
Claude wrote a full FreeBSD remote kernel RCE with root shell
AI モデル Claude が FreeBSD カーネルにおけるリモートコード実行の脆弱性(CVE-2026-4747)を発見し、root shell を取得する完全な exploit コードを自動生成した。人間のセキュリティ研究者の介入なしに、脆弱性の特定からエクスプロイト開発までを一貫して実行した事例として注目されている。AI によるセキュリティリサーチの実用性を示す重要なマイルストーンとなった。
純粋な SQL だけでチェスエンジンを実装する
Chess in SQL
外部プログラミング言語を一切使わず、SQL のみでチェスエンジンを完全実装したプロジェクト。駒の移動生成、合法手の検証、AI 対戦相手まですべてを SQL クエリとして表現している。再帰 CTE やウィンドウ関数を駆使し、SQL の表現力の限界に挑戦した技術的に興味深い取り組みである。
BGP はまだ安全ではない — RPKI 導入状況を追跡するサイト
Is BGP safe yet?
インターネットのルーティングプロトコル BGP のセキュリティ対策である RPKI(Resource Public Key Infrastructure)の導入状況を、世界中の主要ネットワーク事業者ごとに追跡・可視化するサイト。BGP ハイジャック攻撃は依然として現実の脅威であり、RPKI の普及率がまだ不十分であることをデータで示している。
Git bayesect — 非決定的バグのためのベイズ推定による git bisect
Show HN: Git bayesect – Bayesian Git bisection for non-deterministic bugs
通常の git bisect では対応困難な非決定的(flaky)バグを効率的に特定するツール。各コミットでのテスト結果をベイズ推定に基づいて統計的に評価し、テストが確率的にしか失敗しないケースでも原因コミットを高い信頼度で絞り込める。CI での flaky test に悩む開発者にとって実用的なアプローチを提供する。
DRAM 価格高騰がホビイスト向け SBC 市場を破壊している
DRAM pricing is killing the hobbyist SBC market
Jeff Geerling が DRAM 価格の急騰が Raspberry Pi をはじめとするシングルボードコンピュータ市場に与える影響を分析。AI データセンター需要による DRAM 供給逼迫が原因で、趣味用途のボードが大幅値上げを余儀なくされている。ホビイストやメイカーコミュニティへの影響と、代替手段について考察している。
AI マーケティング BS インデックス — AI 企業の誇大広告を定量評価する
The AI Marketing BS Index
AI 企業のマーケティング主張を定量的にスコアリングし、誇大広告の度合いをランキング化する試み。各社の技術的主張を検証し、実際の能力との乖離を評価している。AI ブームの中で氾濫する misleading なマーケティングに対する批判的な視点を提供する。
r/programming が LLM 関連コンテンツの一時禁止を発表 — コミュニティの LLM 疲れが顕在化
Announcement: Temporary LLM Content Ban
Reddit の r/programming サブレディットが、2〜4週間の LLM 関連コンテンツ投稿禁止をトライアルとして開始した。LLM 関連の投稿が他の技術トピックを圧倒している状況と、コミュニティの不満を受けた措置。1500以上の upvote を集め、開発者コミュニティにおける LLM コンテンツ疲れの深刻さを浮き彫りにしている。
Anthropic が Claude Code ソースコード流出で 8000 件超の DMCA 削除要請を発行
Anthropic issues copyright takedown requests to remove 8,000+ copies of Claude Code source code
Anthropic が npm パッケージに誤ってソースマップファイルを含めたことで Claude Code の全ソースコード(512,000行、1,906ファイル)が流出。44個の非公開 feature flag や内部アーキテクチャが露出し、Anthropic は 8,000件以上の DMCA 削除要請を発行して対応に追われた。.npmignore の設定漏れという単純なヒューマンエラーが原因。
「NPM はインターネット最大の弱点」— サプライチェーンリスクへの懸念が再燃
Unpopular opinion: NPM is the biggest weakness of the internet today and it will still cause a giant catastrophe
npm の深いネスト依存構造がインターネット全体のセキュリティリスクになっているという議論。直近の axios サプライチェーン攻撃や Trivy 侵害を踏まえ、npm エコシステムの依存関係管理の甘さと、攻撃対象面の広さに対する懸念が高まっている。900以上の upvote を集め、開発者の危機意識の強さが示された。
Apple が iPhone 向け「Vibe Coding」アプリを App Store から削除
Apple Removes iPhone Vibe Coding App from App Store
Apple が自然言語でコードを生成する iPhone アプリ「Vibe Coding」を App Store から削除した。AI を活用してモバイル上でアプリ開発を可能にする試みだったが、Apple の App Store ガイドラインに抵触した模様。モバイルでの AI コーディングツールに対する Apple のスタンスを示す事例として注目されている。
ONLYOFFICE が「Made in Europe」としてフォーク — ライセンスと信頼性の議論が勃発
ONLYOFFICE Gets Forked as "Made in Europe", Sparks Licensing and Trust Debate
ロシア発のオープンソースオフィススイート ONLYOFFICE が「Made in Europe」というブランドでフォークされた。地政学的リスクを背景に、ソフトウェアの出自と信頼性に関する議論が噴出。OSS のフォーク自由と、国家リスクに基づくソフトウェア選定の是非について、コミュニティで活発な議論が行われている。
AWS バーレーンリージョンがイラン軍事攻撃で物理的損傷を受ける
Amazon's cloud business in Bahrain damaged in Iran strike, FT reports
イランの軍事行動により AWS のバーレーンリージョン(me-south-1)の物理インフラが損傷を受けたと FT が報道。中東に展開するクラウドインフラの地政学的リスクが現実のものとなった。マルチリージョン戦略やディザスタリカバリの重要性を改めて示す出来事として、クラウドアーキテクチャの議論に影響を与えている。
cch とは何か — Claude Code のリクエスト署名メカニズムをリバースエンジニアリング
What's cch? Reverse Engineering Claude Code's Request Signing
Claude Code の Fast Mode 導入時に追加されたリクエスト署名ヘッダー「cch」のメカニズムをリバースエンジニアリングした解析記事。Anthropic が API リクエストの認証とレート制限にどのような暗号学的手法を用いているかを技術的に詳述している。責任ある開示を試みたが Anthropic からの返答がなかったため、ソースコード流出後に公開された。
npm をセキュアにするための .npmrc 最小設定ガイド
npm をセキュアな挙動にするために .npmrc に記述する最小設定
CyberAgent CIU の実践に基づき、pnpm や bun に移行せずとも npm のまま実施できるセキュリティ設定を紹介。ignore-scripts、audit-level、package-lock の設定など、.npmrc に記述すべき最小限の設定を具体的に解説している。直近のサプライチェーン攻撃の頻発を受け、即座に適用できる実用的な対策として参考になる。
主キーはもう UUIDv7 一択なのか? — ID 技術の歴史的変遷と現時点の最適解
主キーはもう「UUIDv7」一択なのか? 〜 ID技術の歴史的変遷と現時点の最適解 〜
ログラスのエンジニアが、データベース主キーの ID 体系を歴史的に振り返り、AUTO_INCREMENT、UUIDv4、ULID、UUIDv7 の特性を比較分析。AI が安易に UUIDv7 を推奨する時代だからこそ、各方式のトレードオフ(ソート可能性、衝突確率、インデックス効率)を人間が理解する重要性を説いている。
Claude Code ソースコード流出事件 — 何が起きたか、今すぐやるべき対策
Claude Codeソースコード流出事件|何が起きたか&今すぐやるべき対策
2026年3月31日に発生した Claude Code ソースコード流出について、日本語圏の開発者向けにまとめた解説記事。npm パッケージ v2.1.88 にソースマップが混入したヒューマンエラーが原因であること、ユーザーデータの漏洩はないこと、v2.1.89 以降で修正済みであることを整理し、Claude Code ユーザーが取るべき具体的な対策を示している。
axios サプライチェーン攻撃の詳細と自社プロジェクトでの備え
axiosにサプライチェーン攻撃が発生した話と、担当プロジェクトでやっていた備え
2026年3月31日に発覚した axios の npm パッケージへのサプライチェーン攻撃について、攻撃の技術的詳細を解説。メンテナーのアクセストークン窃取により、RAT(Remote Access Trojan)を含む悪意あるバージョン(1.14.1、0.30.4)が CI/CD をバイパスして直接公開された。自社プロジェクトで事前に実施していた lockfile 固定や依存関係監査の備えが功を奏した実体験も共有している。
テーブル駆動テストで「仕様として読める」単体テストを書く
テーブル駆動テストで「仕様として読める」単体テストを書く
AI がテストコードを大量生成する時代に、人間がレビューしやすいテスト設計を提案する記事。テーブル駆動テスト(table-driven test)パターンを採用し、テストケースを仕様書のように構造化することで、AI 生成テストの認知負荷を最小化する。Claude Code や Codex を日常的に使う開発者の実体験に基づく実践的なアプローチ。
モノレポのローカル開発環境を Docker から mise に移行して起動速度を75%改善
モノレポのローカル開発環境をDockerからmiseに移行して起動速度を75%改善した
HRBrain が30以上のマイクロサービスを抱えるモノレポのローカル開発環境を、Docker ベースの Tilt から mise に移行した事例。Docker ビルドによる起動遅延とリソース消費を解消し、起動速度を75%改善した。コーディングエージェントの台頭でコード生成は高速化したが、変更の反映確認がボトルネックになるという課題意識から着手された。
自己流「ハーネスエンジニアリング」からの脱却 — NLAH による AI エージェント設計の標準化
自己流「ハーネスエンジニアリング」からの脱却
AI エージェントの性能を決定づける「ハーネス」(エージェントの動作を制御するプロンプトやツール定義の総体)の設計を、自然言語で統一的に記述する手法「NLAH(Natural-Language Agent Harnesses)」の論文を解説。属人的なプロンプトエンジニアリングから脱却し、再現可能なエージェント設計を実現するためのフレームワークを紹介している。
AI はフレームワークなしの方が良い UI を書く — React 不要論の新たな視点
AI Writes Better UI Without React Than With It
デスクトップアプリを React を使わず、Web Components と素の DOM 操作だけで構築した開発者の体験記。AI がコードを生成する際、React の抽象化よりもブラウザネイティブ API を直接使う方が、コードの正確性と保守性が高いと主張する。2013年に React が解決した問題の多くは、現在のブラウザ API(Web Components, ResizeObserver 等)がネイティブにカバーしており、AI がボイラープレートを書く時代にフレームワークの優位性が薄れている点を指摘。
BrewOps — RFC 2324 準拠の本番グレード HTCPCP コーヒーサーバーを Go で実装
BrewOps: I built a production-grade HTCPCP server because nobody else would
エイプリルフール企画として、RFC 2324(Hyper Text Coffee Pot Control Protocol)を完全準拠で実装した Go サーバー。BREW/WHEN メソッド、418 I'm a Teapot ステータスコード、Denial of Coffee Service 検出機能を備え、SLA モニタリングダッシュボード付き。CLI は brew-ctl、Docker 設定ファイルは Brewfile という徹底ぶりで、技術的ユーモアの傑作。
TurboQuant を1モデルから7モデル対応に拡張するまでの技術的課題
From one model to seven — what it took to make TurboQuant model-portable
vLLM 向け KV キャッシュ圧縮プラグイン TurboQuant を、Molmo2 専用から Llama 3.1、Mistral 7B、Qwen2.5 など7モデルファミリーに対応させた技術詳細。Fused paged kernel により HBM トラフィックを1,160→136 bytes/token に削減し、Triton カーネル5本を non-pow2 head dimension 対応に書き換えた。Phi-3-mini(head_dim=96)への対応がとくに困難だった。
GitLab をやめて Gitea + Traefik + Act Runner で自前 Git インフラを構築
No more Gitlab: a production-ready Gitea stack with Traefik, Act Runner and auto-deploy via SSH
20人規模の開発会社が、RAM 消費とアップデートの煩雑さから GitLab を脱却し、Gitea + PostgreSQL + Traefik + Act Runner の軽量スタックに移行した事例。環境ごとに Docker Compose ファイルを分離し、GitHub Actions 互換の CI/CD を Act Runner で実現。自動 TLS と SSH ベースの自動デプロイを含む構成をオープンソースで公開している。