技術

axiosメンテナが語った北朝鮮UNC1069の手口、偽Slackに招待されTeams会議でRATを踏んだ

axiosポストモーテムでメンテナJason Saaymanが語ったソーシャルエンジニアリングの全容。偽企業のSlackワークスペース、偽Teams会議、RAT経由の端末掌握。2FAもOIDCも突破された。

React2Shell悪用キャンペーン UAT-10608が766台のNext.jsホストから認証情報を大量窃取

Cisco Talosが追跡する攻撃グループUAT-10608がCVE-2025-55182（React2Shell）を使って766台のNext.jsホストを侵害。DBクレデンシャル、SSHキー、AWS/Stripe/GitHubトークンを自動収集するNEXUS Listenerの実態を解説する。

OpenClawのSSHサンドボックスにシンボリックリンク経由の脱出、CVSS 8.8

OpenClawのSSHサンドボックス同期処理にシンボリックリンクのバリデーション不備が見つかり、AIエージェントが任意のローカルファイル読み書きでサンドボックスを脱出できる脆弱性。GHSA-fv94-qvg8-xqpw、CVSS 8.8。

SwiftLMはTurboQuantとSSDストリーミングをMetalシェーダーに統合したSwift製LLM推論サーバー

Apple Silicon専用のMLX推論サーバーSwiftLMが、TurboQuant V2+V3ハイブリッドKVキャッシュ圧縮とNVMe SSDエキスパートストリーミングをネイティブMetal実装で提供する。

CloudflareがWordPress後継のサーバーレスCMS「EmDash」をベータ公開

Astro 6.0ベースのフルスタックサーバーレスCMS「EmDash」が登場。V8 isolateによるプラグインサンドボックスでWordPressのプラグイン脆弱性問題に終止符を打つ。

GitHub Copilot CLIの/fleetコマンドで複数エージェントを同時実行する

Copilot CLIに追加された/fleetコマンドの仕組みと使い方。タスクを自動分割してサブエージェントを並列ディスパッチし、依存関係を考慮しながら実行する。

Chrome 146のDawnにuse-after-free、2026年4件目のゼロデイが実環境悪用

WebGPU実装DawnのUAF脆弱性CVE-2026-5281がin-the-wildで悪用確認。Chrome 146.0.7680.177/178へのアップデートが必要。

TRL v1.0がメジャーリリース、LLMポストトレーニングの安定基盤へ

HuggingFaceのLLMポストトレーニングライブラリTRLがv1.0に到達。Stable/Experimental二層モデルの導入、GRPO・DPO・SFTなど主要手法の安定化、非同期GRPOのロードマップが示された。

See-throughでアニメ立ち絵を23レイヤーに自動分解してPSD出力した

単一のアニメイラストから前髪・後ろ髪・服などを自動分解、隠れた部分をインペイント補完。LayerDiff + Marigoldベースの実装を試す。

Adobe Creative Cloudがhostsファイルを勝手に書き換えている

Adobe CCのWAMコンポーネントがWindowsのhostsファイルにdetect-ccd.creativecloud.adobe.comのエントリを無断で追加し、ブラウザからインストール検出を行っている。仕組みの解析と、大手ソフトがOSの主導権を奪うパターンの整理。

IT界隈の名前被り列伝

Sakana AIのNamazuを見て全文検索エンジンを思い出した世代のために、ソフトウェアやサービスの名前が別物と衝突している事例を集めた。

Claude Codeのソースコード全公開とOpenAI Codexのトークン窃取脆弱性が同時期に発覚

Claude Codeのnpmパッケージにソースマップが同梱されて51万行超のTypeScriptが丸見えになった件と、OpenAI Codexのブランチ名コマンドインジェクションでGitHubトークンが窃取可能だった件をまとめた。