記事一覧

CISA KEV、Fortinet・Microsoft・Adobe 7件を一斉追加（4月13日）

FortiClient EMSのSQLインジェクション（CVSS 9.1）を含む7件が実悪用確認でKEV入り。連邦機関はFortinetのみ4月16日、残り6件は4月27日が期限。

ShowDocのファイルアップロードRCE（CVE-2025-0520）が5年越しで実攻撃に

2020年に公開されたShowDocのCVSS9.4ファイルアップロード脆弱性が、2026年4月にVulnCheck Canariesのハニーポットで初の実悪用を確認。2,000以上の露出インスタンスが中国を中心に残存する。

LLMは「怠惰」になれない

Bryan Cantrillの「The Peril of Laziness Lost」を読んだ。LLMは書くコストがゼロで抽象化の動機がないため、人間が「削るエンジン」として機能し続けなければシステムは肥大化する。

exp(x) - ln(y) だけで全初等関数を表現するEML演算子

exp(x) - ln(y) という1つの二項演算子と定数1だけで、四則演算・三角関数・対数・円周率まで表現できるという論文を読んだ。NANDゲートの連続数学版という触れ込みだが、実際どこまで使えるのか調べた。

ローカルVision LLMでキャラ画像からRPGパラメータを抽出できるか試した

Gemma、Qwen2.5-VLなどのローカルVision LLMにキャラクターの立ち絵やドット絵を入力し、RPG風のステータスをJSON形式で返せるか実験した記録。

2026年4月13日の日記

2026年4月13日の日常を記録した日記

AnthropicのキャッシュTTL無告知変更とClaude Codeクォータ枯渇の構造

Claude Code Max 5xは「Proの5倍」だが基準値は非公開。使用量確認手段はターミナル起動時のグラフや/usageなど相対表示のみで、クォータの分母が不明。TTL無告知変更と1.5時間でのクォータ枯渇を通じて浮き彫りになった、Anthropicのクォータ不透明性。

MicrosoftのFoundry Local正式リリース、アプリにバンドルして配布できるローカルAIランタイム

アプリのビルドに約20MBのネイティブライブラリとして組み込めるローカルAIランタイム。ONNX RuntimeベースでGPU/NPU自動選択、OpenAI互換APIでPhi・Qwen・Mistral等をオフラインで動かせる。

「同僚をAIに蒸留する」OSSを見て、自分の蒸留方法を調べた

colleague.skill、yourself-skill、nuwa-skillなど「人間蒸留」OSSが中国を中心に爆発的に広がっている。同僚を蒸留するツールを見て「逆に自分を蒸留したら？」と思い、実際のやり方を調べた。

axiosがprototype pollutionのgadgetとしてHTTPヘッダ注入を許していた CVE-2026-40175

CVE-2026-40175: 3月のサプライチェーン侵害とは別件。axiosの設定マージがprototype pollution経由の汚染値をHTTPヘッダに流し、CRLF注入からSSRFまで連鎖する。1.15.0で修正済み。

2026年4月12日の日記

2026年4月12日の日常を記録した日記

Adobe Acrobat Reader、悪用中のゼロデイにパッチ配布（CVE-2026-34621 / APSB26-43）

2025年12月から悪用が続いていたAdobe Acrobat ReaderのプロトタイプPollution RCEに、2026年4月11日にパッチが配布された。CVSS 8.6、Priority 1。72時間以内の適用が推奨される。