記事一覧

2026年4月1日の日記

新年度初日、チョコクリームパンで始まりマクドナルドで終わった日

TRL v1.0がメジャーリリース、LLMポストトレーニングの安定基盤へ

HuggingFaceのLLMポストトレーニングライブラリTRLがv1.0に到達。Stable/Experimental二層モデルの導入、GRPO・DPO・SFTなど主要手法の安定化、非同期GRPOのロードマップが示された。

See-throughでアニメ立ち絵を23レイヤーに自動分解してPSD出力した

単一のアニメイラストから前髪・後ろ髪・服などを自動分解、隠れた部分をインペイント補完。LayerDiff + Marigoldベースの実装を試す。

Adobe Creative Cloudがhostsファイルを勝手に書き換えている

Adobe CCのWAMコンポーネントがWindowsのhostsファイルにdetect-ccd.creativecloud.adobe.comのエントリを無断で追加し、ブラウザからインストール検出を行っている。仕組みの解析と、大手ソフトがOSの主導権を奪うパターンの整理。

IT界隈の名前被り列伝

Sakana AIのNamazuを見て全文検索エンジンを思い出した世代のために、ソフトウェアやサービスの名前が別物と衝突している事例を集めた。

Claude Codeのソースコード全公開とOpenAI Codexのトークン窃取脆弱性が同時期に発覚

Claude Codeのnpmパッケージにソースマップが同梱されて51万行超のTypeScriptが丸見えになった件と、OpenAI Codexのブランチ名コマンドインジェクションでGitHubトークンが窃取可能だった件をまとめた。

2026年3月31日の日記

前日の疲れで寝坊して弁当を作る時間がなかった日

CloudflareがClient-Side SecurityのGNN+LLM検出を全ユーザーに開放、誤検知を200分の1に削減

Cloudflareがクライアントサイドの悪意あるスクリプト検出にGNNとLLMの2段カスケードを導入し、ユニークスクリプトあたりの誤検知率を1.39%から0.007%に削減。有料アドオンだったAdvanced機能をセルフサーブ顧客にも開放した。

週間1億DLのaxiosがnpmで乗っ取られ、クロスプラットフォームRATを投下

axios 1.14.1と0.30.4にpostinstallフック経由でRATドロッパーを仕込む偽依存関係plain-crypto-jsが注入された。メンテナアカウント侵害からC2通信、自己消去までの攻撃チェーン全容。

OllamaがMLXバックエンドに移行、Apple Siliconでのローカル推論が劇的に高速化

Ollama 0.19がApple SiliconでのバックエンドをMLXに切り替え、プリフィル1810トークン/秒・デコード112トークン/秒を達成。NVFP4量子化サポートとキャッシュ改善も同時投入された。

Qwen3.5-35B-A3Bでctx-sizeを4096→65536にしたらVRAM 800MB増で速度も変わらなかった

Qwen3.5-35B-A3BはSSM+Attentionハイブリッドで40層中10層しかKVキャッシュを使わない。llama-serverでctx-sizeを4096→65536に拡張してもVRAM増加は800MB、速度低下ゼロ。q8_0 KV量子化の実測とTurboQuantの現状も。

OpenCodeに未認証RCEとXSS経由RCEの2件、220,000超のインスタンスが露出

オープンソースAIコーディングエージェント「OpenCode」にCVE-2026-22812（CVSS 8.8）とCVE-2026-22813（CVSS 9.4）が公開された。無認証HTTPサーバーとMarkdownレンダラーのXSSを経由してシェルコマンドが実行される。PoCが公開済みで、220,000超のインスタンスがネットに露出している。