技術

TeamPCPがtelnyx Python SDKをPyPI汚染、WAVオーディオに埋め込んだペイロードでAPI認証情報を窃取

2026年3月27日、telnyx Python SDK v4.87.1/4.87.2がPyPIで汚染された。TeamPCPがWAVファイルにペイロードを隠蔽する手法でOpenAI・Anthropic・AWS・GCPの認証情報を収集する。月間742K DL。

LangChainとLangGraphに3件の脆弱性、ファイル・秘密情報・会話履歴が漏洩

LangChain CoreとLangGraphに3件の独立した脆弱性が公開された。デシリアライゼーションによる秘密情報窃取、SQLインジェクションによる会話履歴漏洩、パストラバーサルによる任意ファイル読み取りと、それぞれ異なるデータクラスを侵害する。

2026年3月のWebプラットフォーム新機能、スクロールトリガーアニメーションとGrid Lanes

Chrome 146のスクロールトリガーアニメーション、Safari 26.4のGrid Lanes（Masonry）、Firefox 149のCloseWatcherなど2026年3月に安定版ブラウザに入った機能をまとめた。

HyperAgents、「改善の仕方」の改善はコーディング以外にも転移する

Meta AIのHyperAgentsは改善戦略そのものを最適化するメタ認知的自己修正を実現。コーディング以外の4ドメインで自己改善が動き、別ドメインで獲得した改善戦略の転移や永続メモリの自発的獲得が観察された。

Chroma Context-1、フロンティアLLMと同等の検索性能を20Bパラメータで実現

Chromaが公開した20Bパラメータの自己編集型検索エージェント。コンテキストを動的にプルーニングしながらマルチホップ検索を行い、フロンティアモデルの1/10コスト・最大10倍速のレイテンシで同等以上の精度を示す。重みはApache 2.0で公開。

GitHub Actionsの2026年セキュリティロードマップ

tj-actionsやTrivy供給チェーン攻撃を受けたGitHubが、依存関係ロック・スコープ付きシークレット・Layer 7エグレスファイアウォールを軸にCI/CDパイプラインの攻撃面を削減する計画を公開した。

ComfyUIアプデ後にQwen Image Editが10分かかるようになった原因を特定した

MPSのBF16演算がFP16の2倍遅い問題と、FP16 Attentionバグが重なって発生した速度劣化の原因と対策

GTG-1002のClaude Code悪用とGitHub CopilotのAI学習データ収集

中国国家支援グループGTG-1002がClaude CodeをMCP経由で悪用した自律スパイ攻撃の6フェーズ攻撃チェーンとMITRE ATT&CK対応、Claude Code/MCPの既知CVE、GitHub Copilotが4月24日からAI学習に使うポリシー変更。

ARC-AGI-3発表、インタラクティブ推論でフロンティアAIが1%未満

François Cholletらが新ベンチマークARC-AGI-3を公開。ゴール不明の未知環境を自律探索するインタラクティブタスクに、2026年3月時点のフロンティアLLMはすべて1%未満しか達成できていない。

HypuraのNVMeストリーミングとTurboQuantのKVキャッシュ量子化

llama.cppのmmap設計を脱却してNVMe 3層配置でDenseモデルもストリーミングするHypuraと、極座標変換で量子化定数オーバーヘッドを排除するTurboQuant。Flash-MoEとの設計比較、KVキャッシュ圧縮が実際に効くシナリオの整理も。

TeamPCPがLiteLLM PyPIパッケージを汚染、50種以上の認証情報を窃取するマルウェアを埋め込む

LiteLLM 1.82.7/1.82.8がPyPIで約46分間汚染された。TeamPCPがTrivyのCI/CDを通じてPyPIトークンを盗み、SSHキー・AWS・Kubernetes・Docker認証情報など50種以上を収集するマルウェアを注入。フォークボムの副作用で発覚した。

Claude CodeにAWSデプロイ機能、GitHubのCode SecurityにAI検出が追加

AWSがClaude Code/Cursor向けの「Agent Plugins for AWS」を公開し、インフラ設計からデプロイまでを自動化。同日、GitHubはCodeQL非対応のShell・Dockerfile・Terraform・PHPを補うAI脆弱性検出をCode Securityに追加した。