記事一覧

OpenAI Codexのサンドボックス迂回をZDIがゼロデイとして公開

ZDI-26-305として公開されたOpenAI Codexのサンドボックス迂回脆弱性。悪意あるJavaScriptを含むリポジトリをCodexで処理した場合に、サンドボックス外でユーザー権限のコード実行へつながるとされる。

LinuxカーネルのCopy Fail（CVE-2026-31431）はページキャッシュを書き換えてrootを取る

CVE-2026-31431 Copy Failは、LinuxカーネルのAF_ALGとalgif_aeadの組み合わせでページキャッシュへ4バイトを書き込めるローカル権限昇格バグ。コンテナやCIランナーではホスト侵害につながる。

信頼度スコアで文書抽出の人手確認を絞る

フィールド単位の信頼度スコアで人手確認を絞る設計と、freee MCPで仕訳自動化を試して踏んだOCR・閾値の壁。

パスワード定期変更を確率で見る

パスワードの定期変更や文字種強制がどれだけ防御になるのかを、漏洩確率・エントロピー・ユーザー行動の数字で見る。

Xiaomi MiMo-V2.5はMacやROCmで動かせるのか

Xiaomi MiMo-V2.5のウェイト公開後、Mac/ROCmとクラウドGPU（RunPod/GCE）での実行可否を調べた。手元機ではまだ厳しいが、RunPodの4x H200で約14ドル/時間、GCE SpotのH100なら約1.6ドル/時間で動かせる。

2026年4月29日の日記

2026年4月29日の日常を記録した日記

Z-AnimeはZ-Image系のアニメ特化フルファインチューンだった

SeeSee21/Z-AnimeがZ-Image Baseのフルファインチューンであることを確認し、AIO版をM1 Max 64GBのローカルComfyUIで動かしてt2i・i2i・NSFW通り具合まで検証した。

Google検索の4月末変動とSearch ConsoleやGA4の遅れ

Google検索で4月27日から28日にかけて未確認の順位変動が報告された。March 2026 core updateは4月8日に完了済みで、Search ConsoleやGA4の遅延とは分けて見る。

AIイラストを漫画モノクロに変換するときグレスケではなくスクリーントーンにしたい話

カラーのアニメ系AIイラストを漫画原稿風のモノクロへ変換する検証ログ。AI再生成系は色残りか顔変化のどちらかに寄り、決定論的なローカル処理だけだと機械的に見える。次に試すべき方向（Anima にグレスケ専用LoRAを載せる案、See-throughで部位分離してから機械合成する案）まで整理する。

Playwright MCPにbrowser_dropが入ってドラッグ操作が普通のツールになった

Playwright MCP v0.0.71でbrowser_dropが追加された。MCPクライアントからLocator.dropを呼べるようになり、ドラッグ&ドロップ系UIをevaluateやmouse.move連鎖でごまかす場面が減る。ドラッグ中の中間イベント発火やCSS動的変化のスクリーンショット検証についても整理した。

AI生成APIに潜むIDOR問題とCursorが見逃す3パターン

CursorやClaude Codeが生成するAPIでは、認証ミドルウェアが入っていてもリソース単位の所有者チェックが抜けることがある。IDOR/BOLAの基本、典型パターン、DBクエリ時点で所有権を絞る修正を整理する。

74HC595の7セグ表示がちらつく理由とQUAD7SHIFTのラッチ設計

74HC595を2個使う7セグ表示で起きるちらつきとゴーストは、電源よりもラッチ境界の置き方で起きることがある。QUAD7SHIFTの実装から表示更新の境界を見る。