朝刊
注目トピック 13
Marimo RCE CVE-2026-39987: Python AI ノートブックが公開10時間以内に悪用 セキュリティ / CVE
インタラクティブ Python ノートブックツール Marimo の RCE 脆弱性 CVE-2026-39987 が、公開後わずか10時間以内に実際に悪用されていることが確認された。攻撃者はノートブックのセル実行機能を経由して任意コードを実行し、開発環境を起点にシステム全体へのアクセスを試みる。AI / ML 開発者が日常的に使うツールが標的となっており、侵害後はデータパイプラインやクラウドクレデンシャルへのアクセスが可能になるため被害が広がりやすい。Marimo を使用しているプロジェクトは即時のバージョンアップと実行環境の分離 (コンテナ・サンドボックス) を検討すること。
GlassWorm Campaign: Zig 製ドロッパーが複数の開発者向け IDE に感染 セキュリティ / CVE
GlassWorm キャンペーンが Zig 言語製のドロッパーを悪意ある IDE 拡張機能として配布し、VS Code や JetBrains 製品を含む複数の開発環境に感染させている。Zig は低レベルシステム言語でセキュリティツールの検知が難しく、攻撃者がアンチウイルス回避目的で採用しているとみられる。IDE が侵害されると、コードリポジトリ・CI/CD パイプライン設定・クラウドクレデンシャルすべてに直接アクセスされるため被害の深刻度が高い。すべての開発者は現在インストール済みの拡張機能の出所と権限を確認し、不審なものを即時削除すること。
CPUID サーバー侵害で CPU-Z・HWMonitor にマルウェアが混入、約6時間配布 npm サプライチェーン
CPU-Z・HWMonitor の配布元 CPUID の配布 API が侵害され、公式サイトのダウンロードリンクが約6時間にわたってマルウェア入りの実行ファイルに差し替えられた。CPUID は PC の CPU / ハードウェア診断に使う人気ツールの提供元で、世界中の開発者・IT エンジニアが定期的にインストールするため感染者数が多数に上る可能性がある。侵入経路は配布用 API の認証不備とみられ、CI/CD パイプラインや配布インフラのアクセス制御がいかに重要かを改めて示している。同様の配布サーバーを持つ OSS プロジェクトは API キーのローテーション・CDN 設定の審査・バイナリ署名検証の強化を急ぐべき。
Renovate & Dependabot: 自動更新ボットが新たなマルウェア配布経路に npm サプライチェーン
GitGuardian が、Renovate や Dependabot などの自動依存関係更新ツールがマルウェア混入パッケージの自動マージ経路として悪用されている実態を報告した。悪意ある npm / PyPI パッケージが公開されると数分以内に自動 PR が作成・automerge されるケースが観測されており、人間のレビューが介在しないワークフローが標的にされている。AI エージェントによる PR 自動承認が普及すればリスクはさらに高まる可能性があり、サプライチェーン攻撃の窓口として今後最も注意が必要な経路のひとつ。対策として automerge の対象をパッチバージョンのみに絞り、新規パッケージ追加・メジャーバージョンアップは必ず人間のレビューを通す設定が推奨される。
小型モデルも Mythos と同じ脆弱性を発見できた — AI セキュリティの Jagged Frontier AI / LLM
Claude Mythos Preview が発見した脆弱性群のうち一部は従来の小型モデルでも発見可能だったと分析した AISLE の調査。「AI セキュリティにおける Jagged Frontier (参差たる境界線)」として、タスク種別によって大型モデルが圧倒的に優れる分野と小型モデルで十分な分野が並存することを論じており、HN で 930 ポイントを超えた。Mythos のような最先端モデルへのアクセスがなくても、適切なプロンプト設計と小型モデルの組み合わせで自動脆弱性スキャンが実用段階にあることを示している。セキュリティチームへの LLM 導入を検討している組織は、コスト効率の観点でモデル選択の戦略的議論を今すぐ始めるべき。
ShinyHunters が Rockstar Games の Snowflake 連携経由でデータ窃取を主張 セキュリティ / CVE
ShinyHunters グループが Rockstar Games の Snowflake 連携で使われていた認証情報を悪用してデータを窃取したと主張し、4月14日までに公開すると警告している。侵害には Anodot (Snowflake の分析プラットフォーム) を経由したアクセスが使われた模様で、GTA VI 開発情報や顧客データが含まれる可能性がある。2024年の大規模 Snowflake 侵害以降、MFA 適用の徹底が強調されてきたが、今回も同様の認証不備が起点とみられる。Snowflake を使用しているすべてのサービスで MFA の強制・サービスアカウントのアクセス最小化・ログ監査を即時実施すべき。
Citizen Lab: 法執行機関が Webloc の広告データで 5億台以上のデバイスを追跡 セキュリティ / CVE
Citizen Lab の新報告書が、法執行機関が Webloc のモバイル広告ネットワーク経由で 5億台以上のデバイスの位置情報をリアルタイムで追跡していた実態を明らかにした。広告業界が収集した位置情報データが政府機関に販売・提供されており、令状なしの監視に利用されていた。これは単なる広告技術の問題ではなく、エンドユーザーのプライバシー権と市民監視に直結する構造的問題として国際的な注目を集めている。アプリ開発者は自身のサービスに組み込んでいる広告 SDK が収集するデータの第三者提供条件を改めて精査し、必要に応じてプライバシーポリシーを見直すべき。
Rust から Go に移行して P95 レイテンシが 50ms → 10-15ms、16k QPS でも安定 Go
16k QPS のリアルタイム広告入札サービスを Rust + ONNX Runtime から Go に移行した結果、P95 レイテンシが 50ms から 10-15ms に改善したという実例報告が r/golang で 280 以上の upvote を集めた。Rust では古い crate の互換性問題や ONNX 依存関係が慢性的な悩みだったのに対し、Go では eviction-on-write キャッシュと軽量な推論ライブラリの組み合わせで課題を解消した。Go のシンプルさとエコシステムの安定性が、レイテンシに厳しいリアルタイム処理でも十分な性能を発揮することを示す好事例。smart-stay-platform など Go 本番サービスのキャッシュ・プーリング設計を見直す際の参考として価値がある。
Angular コンパイラを Rust (Oxc) + AI で最大 20 倍高速化 — VoidZero JS / TS
VoidZero が Rust ベースの JavaScript ツールチェーン Oxc を使って Angular コンパイラを書き直し、最大 20 倍の高速化を達成したと報告した。実装プロセスでは AI によるコード変換アシストを積極的に活用しており、コンパイラ開発への AI 適用の実例としても参考になる。Vite / Rolldown と同様に JS ツールチェーンの Rust 化が加速しており、大規模 Angular プロジェクトのビルド時間が劇的に短縮される見込み。フロントエンドの標準ビルドツールが大きく変わりつつある転換点を示す記事で、smart-stay-platform-frontend 側のツールチェーン評価の参考になる。
Cloudflare グローバルネットワーク外部容量が 500 Tbps を突破 インフラ
Cloudflare のグローバルネットワーク外部容量が 500 Tbps を超え、これまでに記録された最大規模の DDoS 攻撃を吸収できる規模に達した。Web 全体のトラフィックの 20% 以上をルーティングできる容量で、創業16年での達成となる。成長戦略として大都市への大型 DC 集中から中規模都市への分散へシフトしたことが功を奏したと解説されており、可用性とレイテンシの両方が改善している。CDN / DNS / Workers で Cloudflare を使っているサービスは、より大規模な DDoS への耐性が実質的に向上しており、特別な対応なく恩恵を受けられる。
Keeping a Postgres Queue Healthy: デッドタプルと autovacuum の戦い DB
PostgreSQL をジョブキューとして使った場合に発生するデッドタプル問題と autovacuum が追いつかなくなるリスクを実測値付きで詳解した記事。高頻度の INSERT/DELETE サイクルが続くと、テーブルが静かに肥大化しクエリパフォーマンスが劣化する問題が具体的に示されており、`autovacuum_vacuum_cost_delay` や `autovacuum_vacuum_scale_factor` などのチューニングポイントも紹介されている。PlanetScale が提供する Traffic Control 機能を使ったワークロード分離・バキューム競合の防止例も具体的に解説されている。smart-stay-platform の予約テーブルや非同期ジョブ処理を Postgres で運用している場合は autovacuum 設定を点検する価値がある。
GPT Image 2 preview: OpenAI 次世代画像生成モデルのサンプルが大量共有 AI / LLM
OpenAI の次世代画像生成モデル GPT Image 2 の生成サンプルが Reddit で大量に共有され、1000 upvotes を超える話題となった。GPT Image 1 と比較して物理的整合性 (眼鏡の反射・解剖学的な正確さ) が大きく向上しており、実在人物と区別がつかないほどリアルな肖像写真の生成が可能になっている。コミュニティからは技術的な驚きと同時にフェイク生成リスクへの懸念が上がっており、ディープフェイク対策ツールのアップデートが急務とみられる。正式な OpenAI 発表はまだなく、限定プレビューまたはコミュニティによる早期発見の可能性がある。
AI エージェントのベンチマークをどう破ったか — Berkeley RDI の研究 AI / LLM
カリフォルニア大 Berkeley の RDI センターが、主要 AI エージェント評価ベンチマークの構造的欠陥を系統的に突いて上位スコアを達成したプロセスを報告した。テスト環境へのデータ漏洩・タスク記述の曖昧さ・評価者 LLM 自体のバイアスなど複数の欠陥が特定されており、HN で 290 ポイントを獲得した。OpenAI や Anthropic が公表するベンチマークスコアをそのまま信頼するのは危険で、実環境での性能と大きく乖離している可能性を明確に示している。自社サービスへの LLM エージェント組み込みを検討する際は、マーケティング用スコアではなく実ユースケースでの独自評価を必ず行うべき。
セキュリティ / CVE 5
Marimo RCE CVE-2026-39987: Python AI ノートブックが公開10時間以内に悪用
インタラクティブ Python ノートブックツール Marimo の RCE 脆弱性 CVE-2026-39987 が、公開後わずか10時間以内に実際に悪用されていることが確認された。攻撃者はノートブックのセル実行機能を経由して任意コードを実行し、開発環境を起点にシステム全体へのアクセスを試みる。AI / ML 開発者が日常的に使うツールが標的となっており、侵害後はデータパイプラインやクラウドクレデンシャルへのアクセスが可能になるため被害が広がりやすい。Marimo を使用しているプロジェクトは即時のバージョンアップと実行環境の分離 (コンテナ・サンドボックス) を検討すること。
GlassWorm Campaign: Zig 製ドロッパーが複数の開発者向け IDE に感染
GlassWorm キャンペーンが Zig 言語製のドロッパーを悪意ある IDE 拡張機能として配布し、VS Code や JetBrains 製品を含む複数の開発環境に感染させている。Zig は低レベルシステム言語でセキュリティツールの検知が難しく、攻撃者がアンチウイルス回避目的で採用しているとみられる。IDE が侵害されると、コードリポジトリ・CI/CD パイプライン設定・クラウドクレデンシャルすべてに直接アクセスされるため被害の深刻度が高い。すべての開発者は現在インストール済みの拡張機能の出所と権限を確認し、不審なものを即時削除すること。
ShinyHunters が Rockstar Games の Snowflake 連携経由でデータ窃取を主張
ShinyHunters グループが Rockstar Games の Snowflake 連携で使われていた認証情報を悪用してデータを窃取したと主張し、4月14日までに公開すると警告している。侵害には Anodot (Snowflake の分析プラットフォーム) を経由したアクセスが使われた模様で、GTA VI 開発情報や顧客データが含まれる可能性がある。2024年の大規模 Snowflake 侵害以降、MFA 適用の徹底が強調されてきたが、今回も同様の認証不備が起点とみられる。Snowflake を使用しているすべてのサービスで MFA の強制・サービスアカウントのアクセス最小化・ログ監査を即時実施すべき。
Citizen Lab: 法執行機関が Webloc の広告データで 5億台以上のデバイスを追跡
Citizen Lab の新報告書が、法執行機関が Webloc のモバイル広告ネットワーク経由で 5億台以上のデバイスの位置情報をリアルタイムで追跡していた実態を明らかにした。広告業界が収集した位置情報データが政府機関に販売・提供されており、令状なしの監視に利用されていた。これは単なる広告技術の問題ではなく、エンドユーザーのプライバシー権と市民監視に直結する構造的問題として国際的な注目を集めている。アプリ開発者は自身のサービスに組み込んでいる広告 SDK が収集するデータの第三者提供条件を改めて精査し、必要に応じてプライバシーポリシーを見直すべき。
Claude + Humans vs nginx: CVE-2026-27654 の発見プロセスを振り返る
Claude AI が nginx の CVE-2026-27654 を発見した後、人間の研究者が担ったコンテキスト判断・エクスプロイト実証・パッチ設計の役割を詳細に振り返った技術記事。AI はバグのロケールと仮説を素早く提示できる一方、本当に悪用可能かどうかを判断し、CVE として報告するプロセスは依然として人間の専門知識に依存する点が整理されている。Claude Code などの AI ツールを脆弱性調査に活用し始めている実務者に向けて、人間と AI の分業ロールを明確にする際の一次資料として価値がある。nginx を本番で使用しているサービスは CVE-2026-27654 の影響範囲を確認しておくこと。
Go 5
Rust から Go に移行して P95 レイテンシが 50ms → 10-15ms、16k QPS でも安定
16k QPS のリアルタイム広告入札サービスを Rust + ONNX Runtime から Go に移行した結果、P95 レイテンシが 50ms から 10-15ms に改善したという実例報告が r/golang で 280 以上の upvote を集めた。Rust では古い crate の互換性問題や ONNX 依存関係が慢性的な悩みだったのに対し、Go では eviction-on-write キャッシュと軽量な推論ライブラリの組み合わせで課題を解消した。Go のシンプルさとエコシステムの安定性が、レイテンシに厳しいリアルタイム処理でも十分な性能を発揮することを示す好事例。smart-stay-platform など Go 本番サービスのキャッシュ・プーリング設計を見直す際の参考として価値がある。
Go + React: 13状態×15イベントの状態遷移を1つの型テーブルに統合する
Go バックエンドと React フロントエンドで複雑な状態遷移を「型で閉じ込めた1つのテーブル」に統合する設計手法を解説した Zenn 記事。13状態×15イベントというリアルな規模で、Go の型システムを使って exhaustive な状態遷移を表現する方法が丁寧に紹介されている。不正な状態遷移をコンパイル時に検出できるため、ランタイムエラーの根本的な削減につながる。smart-stay-platform の予約ステータス管理など、複数状態を持つバックエンドフローの設計改善に直接応用できるパターン。
【基礎】go fix を使って Go コードを自動的に近代化する
`go fix` コマンドと `//go:fix` ディレクティブを使って、古い API 呼び出しを新しい API に自動書き換えする方法を Go Blog が解説する。ライブラリのバージョンアップに際して利用者全員のコードを機械的に更新できる仕組みで、import パスの変更から関数シグネチャの変更まで対応できる。チームで管理している内部ライブラリを刷新する際に、利用側への負荷を最小化しながら段階的に移行できる強力なツール。社内共有パッケージの API を安全に発展させたいエンジニアに特におすすめ。
【基礎】Go by Example: Channels — goroutine 間のデータ受け渡し
Go の並行処理の基盤であるチャネルを実行可能コード付きで解説する定番サイト。`make(chan int)` でチャネルを生成し `<-` 演算子で送受信する基本構文から、バッファなし・バッファ付きチャネルの動作の違いまで例示している。「メモリを共有して通信するな、通信によってメモリを共有せよ」という Go の設計哲学を実際に手を動かしながら体感できる。次の Select ページと合わせて読むと複数チャネルを同時に扱うパターンも習得でき、goroutine リークの防止にもつながる。
【基礎】Effective Go: エラーハンドリングと panic / recover
Go 公式ドキュメント Effective Go のエラーハンドリングセクション。複数の戻り値でエラーを返す Go 独自のパターン・`error` インターフェースのカスタム実装・panic と recover を使う場面と使わない場面の使い分けを網羅する。他言語経験者が Go に移行する際に最も戸惑う「例外機構がない設計」を身につけるための必読セクション。smart-stay-platform の gRPC サービス間通信でのエラー伝播設計や、API Gateway のエラーレスポンスの統一にも直接応用できる内容。
JS / TS 2
Angular コンパイラを Rust (Oxc) + AI で最大 20 倍高速化 — VoidZero
VoidZero が Rust ベースの JavaScript ツールチェーン Oxc を使って Angular コンパイラを書き直し、最大 20 倍の高速化を達成したと報告した。実装プロセスでは AI によるコード変換アシストを積極的に活用しており、コンパイラ開発への AI 適用の実例としても参考になる。Vite / Rolldown と同様に JS ツールチェーンの Rust 化が加速しており、大規模 Angular プロジェクトのビルド時間が劇的に短縮される見込み。フロントエンドの標準ビルドツールが大きく変わりつつある転換点を示す記事で、smart-stay-platform-frontend 側のツールチェーン評価の参考になる。
The End of Eleventy: SSG のリブランドが Gatsby の失敗を繰り返す?
人気静的サイトジェネレーター Eleventy が「Build Awesome」としてリブランドし $40k のクラウドファンディングで資金調達したことを批判的に分析した記事。著者は Gatsby や Stackbit がたどった「商業化→衰退」のパターンを繰り返すと主張しており、コア開発者の独立性を失った SSG が長期的に信頼できるかという問いを投げかけている。Eleventy を使っている個人ブログ・ポートフォリオ・ドキュメントサイトは、今後のメンテナンス継続性を注視する必要がある。次世代 SSG として Astro や SvelteKit が引き続き有力な代替候補として挙がっている。
npm サプライチェーン 2
CPUID サーバー侵害で CPU-Z・HWMonitor にマルウェアが混入、約6時間配布
CPU-Z・HWMonitor の配布元 CPUID の配布 API が侵害され、公式サイトのダウンロードリンクが約6時間にわたってマルウェア入りの実行ファイルに差し替えられた。CPUID は PC の CPU / ハードウェア診断に使う人気ツールの提供元で、世界中の開発者・IT エンジニアが定期的にインストールするため感染者数が多数に上る可能性がある。侵入経路は配布用 API の認証不備とみられ、CI/CD パイプラインや配布インフラのアクセス制御がいかに重要かを改めて示している。同様の配布サーバーを持つ OSS プロジェクトは API キーのローテーション・CDN 設定の審査・バイナリ署名検証の強化を急ぐべき。
Renovate & Dependabot: 自動更新ボットが新たなマルウェア配布経路に
GitGuardian が、Renovate や Dependabot などの自動依存関係更新ツールがマルウェア混入パッケージの自動マージ経路として悪用されている実態を報告した。悪意ある npm / PyPI パッケージが公開されると数分以内に自動 PR が作成・automerge されるケースが観測されており、人間のレビューが介在しないワークフローが標的にされている。AI エージェントによる PR 自動承認が普及すればリスクはさらに高まる可能性があり、サプライチェーン攻撃の窓口として今後最も注意が必要な経路のひとつ。対策として automerge の対象をパッチバージョンのみに絞り、新規パッケージ追加・メジャーバージョンアップは必ず人間のレビューを通す設定が推奨される。
インフラ 3
Cloudflare グローバルネットワーク外部容量が 500 Tbps を突破
Cloudflare のグローバルネットワーク外部容量が 500 Tbps を超え、これまでに記録された最大規模の DDoS 攻撃を吸収できる規模に達した。Web 全体のトラフィックの 20% 以上をルーティングできる容量で、創業16年での達成となる。成長戦略として大都市への大型 DC 集中から中規模都市への分散へシフトしたことが功を奏したと解説されており、可用性とレイテンシの両方が改善している。CDN / DNS / Workers で Cloudflare を使っているサービスは、より大規模な DDoS への耐性が実質的に向上しており、特別な対応なく恩恵を受けられる。
Cloudflare がポスト量子暗号への完全移行目標を 2029 年に設定
Cloudflare が量子コンピュータ開発の加速を受け、全サービスでのポスト量子暗号への完全移行目標を 2029年に設定した。TLS 1.3 + Kyber ハイブリッドスキームの展開状況と各プロトコルへの影響が詳細に解説されており、現在の暗号化通信が将来の量子攻撃 (Harvest Now, Decrypt Later) によって遡及的に解読されるリスクへの対策として移行を進める方針が示されている。自社サービスで mTLS や独自証明書管理を行っている場合は、ポスト量子対応の証明書・暗号ライブラリへの移行計画を 2026-2027 年のうちに検討し始めるべきタイミング。
【基礎】Kubernetes: Pod とコンテナの基本概念
Kubernetes 公式ドキュメントの Pod セクション。Pod がコンテナの基本デプロイ単位として機能する仕組み・単一コンテナ Pod と複数コンテナ Pod の使い分け・init containers の役割・Pod のライフサイクル (Pending / Running / Succeeded / Failed) を体系的に解説している。Cloud Run や GKE を使う前提知識として Pod の概念を正確に理解しておくことは、コンテナ化サービスのデバッグ・スケーリング設計・ヘルスチェック設定に直結する。GCP 系のコンテナサービスを扱う全エンジニアが一度目を通すべき基礎ドキュメント。
DB 3
Keeping a Postgres Queue Healthy: デッドタプルと autovacuum の戦い
PostgreSQL をジョブキューとして使った場合に発生するデッドタプル問題と autovacuum が追いつかなくなるリスクを実測値付きで詳解した記事。高頻度の INSERT/DELETE サイクルが続くと、テーブルが静かに肥大化しクエリパフォーマンスが劣化する問題が具体的に示されており、`autovacuum_vacuum_cost_delay` や `autovacuum_vacuum_scale_factor` などのチューニングポイントも紹介されている。PlanetScale が提供する Traffic Control 機能を使ったワークロード分離・バキューム競合の防止例も具体的に解説されている。smart-stay-platform の予約テーブルや非同期ジョブ処理を Postgres で運用している場合は autovacuum 設定を点検する価値がある。
SQLite 3.53.0 リリース: 3.52.0 の撤回を経た大型リリース
SQLite 3.53.0 が 4/11 に公開された。3.52.0 は問題があり撤回されたため、2バージョン分の変更が一度にまとめて含まれる大型リリースとなっている。目玉は新しいクエリ結果フォーマット機能 (Query Results Formatter) で、テーブル・CSV・JSON など出力形式を柔軟に制御できるようになった。Python 標準ライブラリ・iOS・Android に SQLite が組み込まれているため、影響範囲は広い。Simon Willison が Claude Code を使ってこのフォーマッターの WebAssembly プレイグラウンドをモバイルからその場で構築したエピソードも紹介されており、AI ツールの実用性を示す副読み物としても興味深い。
【基礎】PostgreSQL WINDOW 関数入門: ランキング・移動平均・行間比較
PostgreSQL 公式チュートリアルの WINDOW 関数セクション。`OVER()` 句を使って GROUP BY なしに集計を行う強力な機能で、ランキング・移動平均・累積合計・行間比較などを SQL 単体で表現できる。`ROW_NUMBER()` / `RANK()` / `LEAD()` / `LAG()` など頻出関数を実際のクエリで例示しており、ひとつひとつの動作が追いやすい構成になっている。複雑な分析クエリや集計レポートを書く場面で ORM を超えて生 SQL を書く必要がある場合に、この構文を知っているかどうかでコード量と可読性が大きく変わる。
AI / LLM 4
小型モデルも Mythos と同じ脆弱性を発見できた — AI セキュリティの Jagged Frontier
Claude Mythos Preview が発見した脆弱性群のうち一部は従来の小型モデルでも発見可能だったと分析した AISLE の調査。「AI セキュリティにおける Jagged Frontier (参差たる境界線)」として、タスク種別によって大型モデルが圧倒的に優れる分野と小型モデルで十分な分野が並存することを論じており、HN で 930 ポイントを超えた。Mythos のような最先端モデルへのアクセスがなくても、適切なプロンプト設計と小型モデルの組み合わせで自動脆弱性スキャンが実用段階にあることを示している。セキュリティチームへの LLM 導入を検討している組織は、コスト効率の観点でモデル選択の戦略的議論を今すぐ始めるべき。
GPT Image 2 preview: OpenAI 次世代画像生成モデルのサンプルが大量共有
OpenAI の次世代画像生成モデル GPT Image 2 の生成サンプルが Reddit で大量に共有され、1000 upvotes を超える話題となった。GPT Image 1 と比較して物理的整合性 (眼鏡の反射・解剖学的な正確さ) が大きく向上しており、実在人物と区別がつかないほどリアルな肖像写真の生成が可能になっている。コミュニティからは技術的な驚きと同時にフェイク生成リスクへの懸念が上がっており、ディープフェイク対策ツールのアップデートが急務とみられる。正式な OpenAI 発表はまだなく、限定プレビューまたはコミュニティによる早期発見の可能性がある。
AI エージェントのベンチマークをどう破ったか — Berkeley RDI の研究
カリフォルニア大 Berkeley の RDI センターが、主要 AI エージェント評価ベンチマークの構造的欠陥を系統的に突いて上位スコアを達成したプロセスを報告した。テスト環境へのデータ漏洩・タスク記述の曖昧さ・評価者 LLM 自体のバイアスなど複数の欠陥が特定されており、HN で 290 ポイントを獲得した。OpenAI や Anthropic が公表するベンチマークスコアをそのまま信頼するのは危険で、実環境での性能と大きく乖離している可能性を明確に示している。自社サービスへの LLM エージェント組み込みを検討する際は、マーケティング用スコアではなく実ユースケースでの独自評価を必ず行うべき。
MiniMax M2.7 (754B) が HuggingFace で公開: ただしライセンスに注意
中国発の MiniMax が 754B パラメータの大型モデル MiniMax-M2.7 を HuggingFace で公開した。ただしライセンスは OSI 定義のオープンソースではなく商用利用には別途契約が必要で、コミュニティからは DOA (Dead on Arrival) ライセンスと批判されている。オープンウェイトの大型モデルが次々と公開される中で、ライセンスの制約を見落とすと商用プロダクトへの組み込みで問題が生じるリスクがある。日本語や英語の実用ベンチマーク結果はまだ限られており、本格的な評価は今後のコミュニティテストを待つ必要がある。