日付別ニュース一覧

We pwned X, Vercel, Cursor, and Discord through a supply-chain attack

## Japanese Translation: Discordの新しいドキュメントプラットフォーム、Mintlifyにおいて、`/_mintlify/_static/[subdomain]/[…route]` エンドポイントを介して配信される任意の静的ファイルに悪意あるJavaScriptを注入できるクロスサイトスクリプティング（XSS）脆弱性が判明しました。16歳の高校生研究者は、Discord のドメインを指すSVG内にコードを埋め込み、そのリンクを開いた際にスクリプトが実行されることで、このサプライチェーン脆弱性を検証し、Mintlify の全顧客に影響する可能性があることを示しました。この欠陥は「xyzeva」という友人によって独立して確認され、両者は協力してテストと開示を行いました。報告後、Discord はドキュメントの公開を2時間停止し、以前のプラットフォームに戻し、すべての Mintlify ルートを削除（インシデントリンク: https://discordstatus.com/incidents/by04x5gnnng3）し、Mintlify は Slack を通じて問題を修正しました。研究者たちは合計で約11,000ドルの報奨金（Discordから4,000ドル、残りは Mintlify から）を受け取りました。この事例は、Twitter (X)、Vercel、Cursor、Discord 自体など多くのハイプロファイルユーザーに脅威を与える可能性がある単一のサードパーティコンポーネントのリスクを浮き彫りにし、外部サービスへのより厳格な検証と広範なセキュリティ監査の必要性を強調しています。

Texas is suing all of the big TV makers for spying on what you watch

## Japanese Translation: > **概要:** > テキサス州司法長官ケン・パクストンは火曜日にソニー、サムスン、LG、ヒセン、TCL を対象に訴訟を提起し、同社のテレビが自動コンテンツ認識（ACR）を使用して視聴者の視聴内容を秘密裏に記録していると主張した。ACR はテレビ番組、ストリーミングサービス、YouTube、セキュリティカメラ、Apple AirPlay/Google Cast、および HDMI 接続デバイスなど、多岐にわたるソースから視聴覚データを取得し、訴訟ではメーカーがユーザーに対して隠れたまたは曖昧な開示で ACR の起動を促すと主張されている。サムスンとヒセンは 500 ミリ秒ごとにスクリーンショットを取得し、パクストンはデータがユーザーの知識なしに各社へ送信され、ターゲティング広告のために販売されると述べている。訴訟はテキサス州詐欺取引慣行法（Deceptive Trade Practices Act）を引用し、民事罰金およびテキサス州居住者からの ACR データ収集・共有・販売の停止を求めている。パクストンはまた TCL とヒセンの中国との関係に懸念を示し、同社のテレビを「中国支援監視デバイス」と呼んでいる。訴訟は Vizio が 2017 年に FTC およびニュージャージー州と合意した 220 万ドルの和解金を参照しており、類似の主張があったことを示している。サムスン、ソニー、LG、ヒセン、および TCL はまだコメント要請に応じていない。パクストンは「テレビを所有することは、ビッグテックや外国対立勢力に個人情報を渡すことを意味しない」と述べ、プライバシー保護への重点を強調した。

How China built its ‘Manhattan Project’ to rival the West in AI chips

## Japanese Translation: **改善された要約** 深圳の研究所が、極紫外線（EUV）リソグラフィを使用して高度な半導体チップを製造できるプロトタイプを完成させました。EUVリソグラフィは、人間の髪の数千倍薄い回路をシリコンウェーハに刻むプロセスです。この機械は工場全床面積のほぼすべてを占める規模で、2025年初頭に完成し、現在テスト中です。元ASMLエンジニアがオランダ企業のEUV装置を逆解析して構築したもので、西側企業が長らく独占してきた技術です。プロトタイプが意図通りに機能すれば、中国はより細密な回路を持つチップを製造できるようになり、AIシステムやスマートフォン、高度兵器の性能向上につながります。この進展は、西側の独占的半導体製造能力から重要な技術が移転する可能性があり、世界のサプライチェーンと競争構造を変えることになるでしょう。

Skills for organizations, partners, the ecosystem

## Japanese Translation: > **改訂サマリー：** > 10 月にリリースされた Claude の新機能「スキル」は、AI をプラグインハブ化し、ユーザーが再利用可能なワークフロー（スキル）を作成できるようにします。これらのスキルは Team および Enterprise プランで中央管理されるか、個別に切り替えることもできます。デフォルトではスキルは有効ですが、管理者設定からオフにすることが可能です。管理者は設定パネルからスキルをプロビジョニングでき、個人ユーザーは必要に応じてオン／オフを切り替えられます。 > > スキルの構築は簡単で、自然言語プロンプトを書いたり、スキルフォルダをアップロードしたり、専用のスキル作成ツールを使用できます。プレビューではアクティベーション前に完全な内容が確認できます。 > > プラットフォームはパートナー・ディレクトリ（claude.com/connectors）をホストしており、以下のようなスキルが提供されています： > * **Atlassian** – バックログ作成、ステータス報告、知識サーフィング、課題トリアージ用の Jira と Confluence スキル。 > * **Canva** – 単一プロンプトでキャンペーン作成、ブランドに沿ったプレゼンテーション生成、コンテンツ翻訳を行うスキル。 > * **Cloudflare Agents** – 「Region:Earth」に AI エージェントと MCP サーバーをワンショットでデプロイするスキル。 > * **Figma** – Claude Code を使用したデザインからコードへの変換により、製品の品質と一貫性を向上させるスキル。 > * **Sentry** – MCP 統合により、問題解決を迅速化するデバッグコンテキストを提供するスキル。 > * **Vercel Deploy Skill** – アイデアから本番までサイト・アプリ・エージェントを発送するスキル。 > * **Zapier MCP tools** – 数千のアプリにわたる再利用可能な手順を大規模に実行するツール。 > > 今後の計画として「Agent Skills」があり、これはオープン標準で同じスキルが Claude もしくは他の AI プラットフォーム上で動作できるようにします。これによりユーザーは高速かつ自動化されたワークフローを享受し、企業は集中管理と一貫性を維持でき、業界全体ではクロスプラットフォーム AI 自動化のエコシステムが拡大していくことになります。

Classical statues were not painted horribly

## Japanese Translation: **改善された要約** この記事は、古代像が鮮やかな「トロール」として広く描かれているイメージが根拠のないものであると主張しています。ローマ・ギリシャの多色彩（ポリクロミー）の研究では、厳しい色調よりも繊細で自然主義的なパレットが明らかになっています。再構築は痕跡となる顔料に依存しており、正確な色合いを保証できないものの、ポンペイモザイク、フレスコ画、劇場マスク、および残存する塗装痕（例：プライマ・ポルタのオクタウィアヌス像）から得られる証拠は、古代像が大きな白色領域を含む微妙に彩られていたことを示しています。現代の鑑賞者にはその繊細さの方がより魅力的と感じられます。本稿ではタウンリー・ヴィーナス、アンティクテラ・エフェベ、リウィア家別荘の壁画などの例を挙げ、ヴァインツェン・ブリンカマンの2003年「色彩の神々」展（過度に飽和した再構築で広く批判された）と対比しています。批評家は、一部の再構築が意図的にトロールを狙っているか、保全原則によって制限されている可能性も指摘しています。この記事は、古代美学を真実に反映した証拠ベースの再構築を求め、「悪い絵画理論」からの逸脱が博物館展示、一般の古代観感、保全慣行、および古典芸術の視覚的現実についての学術議論に変革をもたらす可能性があると警告しています。

T5Gemma 2: The next generation of encoder-decoder models

## Japanese Translation: > **概要：** > T5Gemma 2は、Gemma 3のアーキテクチャをベースにしたエンコーダ–デコーダ型言語モデルで、マルチモーダルビジョンサポートと128 Kトークンのコンテキストウィンドウを追加しつつ、パラメータ数は低く抑えています。270 M/270 M（合計約370 M）、1 B/1 B（合計約1.7 B）、4 B/4 B（合計約7 B）の3種類のコンパクトバリアントがリリースされています。この設計は、語彙埋め込みを共有し、デコーダで自己注意とクロス注意を統合し、軽量なビジョンエンコーダを導入して効率的に視覚質問応答を実現します。140以上の言語を網羅する拡張多言語データセットで訓練され、T5Gemma 2は最小限の教師付き微調整後でも、コード生成・推論・マルチモーダルベンチマークにおいてGemma 3よりも優れた性能を達成します。プリトレーニング済みチェックポイントはKaggle、Hugging Face、Colab、およびVertex AIで入手可能で、アーキテクチャと結果を詳細に説明したarXiv論文が付属しています。このため、T5Gemma 2は長いコンテキスト推論とマルチモーダル機能を必要とする研究者や開発者にとって、多用途で低コストな選択肢となります。

Two kinds of vibe coding

## 日本語訳: --- ## 要約 この記事は、Claude（大規模言語モデル）を使ってわずか329行のマンデルブロ集合ビューアを洗練された高性能システムへと変貌させる過程を記述しつつ、AIがコードを生成する際に徹底したテストが不可欠であることを強調しています。 * **起源:** 著者はまず2009年に329行のビューアを公開し、その後人間によって書かれた780行バージョンへと拡張しました。 * **LLMによる再構築:** Claude はページ全体を書き直し、13,600行のコードベース（30クラス、342メソッド、159関数）を作成しました。 * GPUアクセラレーション、摂動アルゴリズム、四倍精度算術、適応型 float32 + logscale 表現、9つの代替時間／解像度トレードオフ戦略、MP4 エンコーディング、キャッシュ、多言語 UI（11 言語）を追加。 * **性能:** 同じ分形画像のレンダリングは、人間版で30分かかったところ、AI版では約1分に短縮されました。 * **コーディングスタイル（“vibe coding”）:** * **部分委譲:** 開発者が小さなタスクを書きつつも制御を保持する。 * **完全認知ハンドオフ:** 開発者がコード生成全般を Claude に任せる。 * **vibe coding の実務ルール:** 1. エージェント自身が作業をチェックできるよう、テストを自動化する。 2. 「愚かな」解決策が誤ったテストに合格しないよう、テストそのもの（メタテスト）を検証する；記事では Claude が100 % コードカバレッジと主張した事例が挙げられている。 * **人間による監督:** 適切なテストインフラを整備すれば、レビュアーはルーチンのボイラープレートではなく、重要な 1 % のコードに集中できる。 * **比喩と懸念点:** 著者は AI 支援開発を「トラック運転と歩行」に例え、人間の労力がコード記述からツール・インフラ管理へシフトする様子を示す。また、AI 助手によりコードベースが 10 倍以上拡大すると、人間の理解が失われるリスクがあると警告している。 **主なポイント** * Claude は既存コードを劇的に拡張・最適化し、高度な機能を追加できる。 * 強固な自動テスト、特にメタテストは品質維持と人間の理解保持に不可欠である。 * 開発者や組織はテストインフラへの投資を行い、速度向上を享受しつつ監督を犠牲にしないようすべきだ。 ---

Delty (YC X25) Is Hiring an ML Engineer

## Japanese Translation: **Deltyは、音声とコンピュータアシスタントを使用して臨床ワークフローを合理化するAI搭載のヘルスケアオペレーティングシステム向けに、エンドツーエンドの本番MLシステムを構築するMachine Learning Engineer（給与$80 K–$150 K、サンフランシスコまたはリモート）を採用しています。** この役割では、生のヘルスケアデータからデータパイプラインを設計し、ランキング・優先順位付け・予測モデル（例：高リスクケース識別）のトレーニングと評価を行い、バージョン管理、モニタリング、ロールバック戦略、およびガードレールを備えた信頼性のあるサービスまたはバッチジョブとしてデプロイする経験が最低3年必要です。候補者はデータ準備、トレイン/テスト分割、評価、デプロイ、再学習、モニタリングなどのフルサイクルML専門知識を持ち、バックエンドエンジニアリングスキル（本番コード、サービス、データベース、パイプライン）も堅実である必要があります。 協働はバックエンドエンジニアやプロダクトリーダーと密接に行い、MLを実際の意思決定ワークフローに統合します。そのためにモデル選択、メトリクス、再学習頻度、精度・説明性・信頼性・運用制約とのバランスなどについてアーキテクチャ上の意思決定を行います。 ボーナス資格には、ヘルスケアまたはオペレーショナルな意思決定支援経験、プロダクションでのLLM統合（検索強化生成、ファインチューニング、構造化プロンプティング）、スタートアップ/創業者マインドセット、およびモデルモニタリング、データドリフト検出、MLインフラツールに関する知識が含まれます。 Deltyの創業者はYouTubeの大規模インフラチームから来た元Googleエンジニアであり、会社は4人規模の小さなスタートアップですが、所有権、曖昧さへの対処、急速な成長、AIプロトタイプを堅牢な企業向けシステムへと変えることに価値を置いています。成功した採用はアーキテクチャ、製品方向、コア機能を形作り、Deltyがヘルスケア向けのAIソリューションを拡大する際に迅速なイテレーションを推進します。 **変更点の説明:** - 給与レンジ、勤務地、国籍/ビザ要件を追加。 - 生データからのデータパイプライン設計とハンドリングを明示的に含めた。 - デプロイメント詳細（バージョン管理、モニタリング、ロールバック）を記載。 - 協働の具体性と意思決定側面を強調。 - 経験閾値と構造化データへのフォーカスを明示。 - ボーナスクオリフィケーションを逐語的に列挙。 - チーム規模、文化価値、創業者背景を再提示し、主要ポイントに合わせた形で記載。

How did IRC ping timeouts end up in a lawsuit?

## Japanese Translation: --- ## 改訂要約 裁判所は、Techrights と Tuxmachines のオーナーである Roy と Rianne Schestowitz が提起した訴訟を却下し、私に有利な判断を下しました。原告は、私の2つの IRC アカウント（「mjg59_」と「elusive_woman」）が 2023 年 4 月 28 日に同時に切断されたことで、彼らの嫌がらせキャンペーンに関連していると主張しました。しかし、実際にはアカウントは 11 秒間隔で切断されました（09:52:52 と 09:53:03）。このギャップは、Ergo IRC サーバーの通常の ping タイムアウト動作（90 秒アイドルタイムアウトと最大 150 秒総タイムアウト）によって十分に説明できます。切断が真に同時でなかったため、そのリンクを証明することはできませんでした。 Schestowitz 家も、審理前に必要な目撃者陳述書を提出しなかったため、証拠を提示できませんでした。彼らの反訴「私が嫌がらせをした」という主張は却下されました。その結果、私は名誉毀損による大きな損害賠償を受け取り、今後の法的措置は予想されていません。 この判決は、同時切断の主張が信頼できないことを示し、テックコミュニティ内での嫌がらせ訴訟において確固たる証拠が必要であることを強調しています。

FunctionGemma 270M Model

## Japanese Translation: > FunctionGemmaは、スマートフォンやNVIDIA Jetson Nanoなどのエッジデバイスで動作するGoogleの270MパラメータGemma 3モデルの軽量版で、関数呼び出しを行う変種です。「Mobile Actions」に合わせて微調整されており、精度が85％（従来58％）に向上しています。Gemmaの256k語彙表を使用して、多言語でJSON形式のコマンドを効率的にトークン化します。このモデルは構造化された関数呼び出しを生成し、対応するツールを実行した後、結果を自然言語で要約できます。Hugging Face Transformers、Unsloth、Keras、NVIDIA NeMoなどの人気微調整フレームワークと、LiteRT‑LM、vLLM、MLX、Llama.cpp、Ollama、Vertex AI、LM Studioなどのデプロイメントツールに対応しています。FunctionGemmaは、スマートホーム制御、メディア再生、ナビゲーション、オフラインモバイルアシスタントなど、ローカルで低レイテンシー実行を必要とするAPI駆動型アプリケーションに最適です。デモとしては、完全にローカルで動作する音声制御TinyGardenゲームや、Google AI Edge Galleryがホストするインタラクティブデモと開発者向けチャレンジがあります。開発者はHugging FaceまたはKaggleからモデルをダウンロードし、更に微調整してオンデバイスで展開できます。より複雑なリクエストには、Gemma 3 27Bの大規模モデルへ呼び出しをルーティングすることも可能です。 この改訂版要約は主要ポイントをすべて網羅しつつ、明瞭さを保ち、不要な推論を避けています。

Show HN: Picknplace.js, an alternative to drag-and-drop

## Japanese Translation: 著者は、モバイルでのドラッグ＆ドロップが「悪夢」であると主張しています。理由は、ユーザーがタップ、ホールド、ドラッグ、スクロールを同時に行わなければならないため、ぎこちなく遅く、エラーが発生しやすいプロセスになるからです。この問題を解決するために、著者は「ピック―アンド―プレース」というよりシンプルな2ステップ手法を提案しています。まずアイテムを選択し、その後新しい位置にドロップします。概念実証としての実装では、ピック操作が元のリストの複製を作成し、それを上に置きます。この複製はインタラクティブでアニメーション付きで、ユーザーがスクロールすると更新されます。最後に、ユーザーは変更内容を確認またはキャンセルできます。プロトタイプは再利用可能なライブラリとしてではなく、将来の作業へのインスピレーションのみを目的としています。ソースコードは参考用に公開されています。この手法が洗練されれば、モバイルUIのエルゴノミクスを改善し、エラーを減らし、企業がタッチベースのインターフェイスを設計する方法に影響を与える可能性があります。

The Legacy of Nicaea

## Japanese Translation: > 本記事は、325 年に開催されたニケーア初の大公会議（First Council of Nicaea）の1700周年を記念し、その決定—特にキリストが「創造されていない」および「父と同等である」と宣言するニケーア信条—が正教会の教義をどのように形作り続けているかを説明しています。 > > 16世紀のメガロ・メテオロン修道院（Mégalo Metéoron Monastery）からのアイコンは、コンスタンティヌス1世、アリウス、および318人の主教を描いており、大公会議の歴史的重みを示しています。著者は、これらの主教のうちわずか5人しかラテン語圏の西部出身ではなかったと指摘し、信条形成に対する東方の影響力を強調しています。 > > 本文はデイビッド・ベントリー・ハート（David Bentley Hart）やスラヴォイ・ジジェク（Slavoj Žižek）などの学者を引用し、正教会が「生まれたが作られない」（begotten, not made）のようなパラドックスを受け入れていると主張し、それを簡単な合理性ではなく対立的なものとして位置付けます。これはキリスト論を合理化しようとする異端（ドケティズム、アダプションズム）との対比です。また、1945年に発見されたナグ・ハマディパピルス（Nag Hammadi papyri）の例を挙げ、神秘主義的教団とアリウス主義がいかに「急進的」とみなされてきたかを示しています。 > > アリウスの教えは非難（アナテミゼーション）され、伝統によれば彼は敵に毒殺されたと言われています。記事は、多くの宗派がニケーア信条（222–226語）を公言している一方で、2025年の世論調査では米国のクリスチャンのわずか16 ％しか三位一体論者と自認しないことを指摘し、公的教義と個人の信念との間に潜在的なギャップがある可能性を示しています。 > > 最後に、著者はこれらの動態が教会のカテキシス（教導）、神学教育課程、および正教会と他のクリスチャン伝統との公共認識に影響を与える可能性があることを示唆しています。

The Scottish Highlands, the Appalachians, Atlas are the same mountain range

## Japanese Translation: **改善された要約** 中央パンゲア山脈は、炭素紀・ペルム紀・三畳世において、パンゲア大陸を北東から南西へと横断する巨大で長寿命の山岳連鎖でした。これらはラウロリアがゴンドワナと衝突しパンゲアが形成される際に結成され、ペルム紀初期には現代のヒマラヤ山脈に匹敵する高さを誇っていました。その後、激しい物理的風化がこれらの峰々を侵食し、深い山間平原を形成するとともに全体の標高を低下させました。三畳世中期までには山脈は大幅に縮小しており、スコットランドハイランズ、アパラチアン山脈、オーシャタ山脈、モロッコのリトル・アトラスといった現代の地域を包含していました。初期ジュラ紀（約2億年前）までに、西ヨーロッパからはほぼ全てが消失し、深い海底盆地で隔たれた孤立した高原エリアのみが残っていました。この山岳体系を理解することは、特に大陸の結成、侵食動力学、古地理、および資源探査といった地質学的研究に寄与します。

TRELLIS.2: state-of-the-art large 3D generative model (4B)

## Japanese Translation: **概要 TRELLIS.2は、4 Bパラメータを備えた最先端のフィールドフリー・ボクセルモデルで、通常の画像を数秒で高解像度かつ完全にテクスチャリングされた3‑Dアセットへと変換します。O‑Voxelデータ構造と疎な畳み込みを使用し、512³から1536³までのボクセルメッシュを生成し、Base Color、Roughness、Metallic、Opacityなどの完全な物理ベースレンダリング（PBR）属性を備えます。変換パイプライン全体はCPU上で10秒未満、CUDA上では100ミリ秒以下で実行され、NVIDIA H100 GPUでの推論は解像度に応じて3〜60秒です。モデルは完全ロスレスで、任意のトポロジー（オープンサーフェス、非多面体幾何学、内部構造を含む）をサポートし、O‑Voxel、FlexGEMM、CuMesh、およびフラッシュアテンションバックエンドなどの軽量ライブラリに依存します。MIT ライセンスで公開されており、Linux、CUDA 12.4搭載の24 GB以上のNVIDIA GPU、Conda、Python 3.8+ が必要です。事前学習済み重み（TRELLIS.2‑4B）は Hugging Face で入手可能です。計画されているリリースには研究論文、推論コード、事前学習チェックポイント、Hugging Face Spaces 上のデモ、2025年12月までに実装予定の形状条件付きテクスチャ生成、および年末までに完成する完全なトレーニングコードが含まれます。この技術は、ゲーム開発・設計・AR/VR・シミュレーションワークフローへ統合可能なフォトリアリスティック3‑Dコンテンツ生成の高速パイプラインを提供します。

Show HN: Stop AI scrapers from hammering your self-hosted blog (using porn)

## Japanese Translation: （欠落している具体的な情報を補完）** ## Summary Fuzzy Canary は、AI 主導のスクレイパーからウェブページを保護する軽量ライブラリです。秘密裏に「カナリア」リンク（通常は無関係なサイトへのリンク）を埋め込み、これらはスクレイパーだけが閲覧できます。この仕組みは 2 通りのモードで動作します。 1. **サーバー側（推奨）** - npm でインストール: `npm i @fuzzycanary/core`、または pnpm で: `pnpm add @fuzzycanary/core`。 - Next.js や Remix といった React ベースのフレームワークでは、ルートレイアウトに `<Canary />` コンポーネントを配置します。 * Next.js App Router の場合は `app/layout.tsx` に追加。 * Remix ではローダーから取得した user agent を `<Canary userAgent={userAgent} />` に渡します。 - サーバー側でリクエストの User‑Agent を確認し、Google, Bing, DuckDuckGo 等既知の検索エンジンボットは除外されるため、彼らにはクリーンな HTML が返却されます。一方、スクレイパーはカナリアリンクを閲覧できます。 2. **クライアント側** - メインエントリファイル（`main.ts`, `index.ts`, または `App.tsx`）で `@fuzzycanary/core/auto` をインポートし、`navigator.userAgent` に基づくランタイム注入を有効化します。 - React 以外のサイトでは `getCanaryHtml()` を呼び出して、その出力を `<body>` タグの最初に挿入することができます。 **SEOへの影響:** - サーバーサイドでレンダリングされたページは、ボットがフィルタリングされるため SEO に優しいままです。 - 静的サイトジェネレーターはビルド時にカナリアを埋め込むため、クローラーに露出し検索可視性が低下する可能性があります。クライアント側で初期化すれば、ランタイムでボットを検知できるためこの問題を回避できます。 Fuzzy Canary を利用すると、サーバーサイドレンダリングされたサイトでは SEO を損なわずに AI スクレイピングを抑制できます。静的サイトは適切な注入戦略を選択する必要があります。

Your job is to deliver code you have proven to work

## Japanese Translation: ジュニアエンジニアは、言語モデルによって生成された大きく未テストのプルリクエストを提出することがよくあり、レビュアーの時間を浪費し、開発者の責任感を損ないます。本文では、LLM を通じて追加されるコードは、手動で（関連状態を設定し、変更を実行し、結果を文書化する）と自動で（それらの手順をテストハーネスに反映したテストを書く）の両方で機能することが証明されなければならないと主張しています。Claude Code や Codex CLI のようなコーディングエージェントは、人間と同様にコードを実行し検証します。そのため、彼らも同じ機能性の証拠を必要とします。歴史的には、LLM が生成したパッチは検証なしに追加されていましたが、今日ではエージェントがテストを走らせ、問題を反復し、既存のテストスイートを拡張するためにますます利用されています。また、エージェントは一度限りの視覚チェック（例：CSS 変更のスクリーンショット取得）や CLIRunner を使った CLI ツールの実行も行うことがあります。したがって、開発者はエージェントが再利用できるように、よく構造化されパターン豊富なテストを保持しなければなりません。このシフトによりレビュアーの時間が節約され、コード品質が向上し、LLM 支援開発への厳格な責任追及とともに、テスト自動化実践も強化されます。 このバージョンは主要なポイントをすべて保持し、スクリーンショット取得についての根拠のない推論を除外し、エージェントの将来役割を過大評価せずに明確にしています。

Meta Segment Anything Model Audio

## Japanese Translation: > Metaは、テキスト、ビジュアル（動画セグメントをクリック）、またはスパン（時間範囲）プロンプトを使用して、任意の音声または映像ソースからターゲットと残余音を分離できる生成的音声分離モデル「SAM Audio」を発表しました。これはサウンド分離にスパンプロンプティングを提供する最初のモデルです。DAC‑VAE潜在空間で動作するフロー・マッチングDiffusion Transformerを基盤としたSAM Audioは、一般音声、音楽、およびスピーチ全般で最先端の性能を達成し、トップレベルの音楽分離システムに匹敵します。Metaはまた、人間評価と高い相関を示すジャッジモデルとともにオープンソースの評価データセット、および既存の知覚エンコーダに音声機能を追加するPerception Encoder Audio Video（PE‑AV）も公開しました。2gether‑InternationalとのAI for Goodパートナーシップは、障害を持つ創業者がSAM Audioを活用して早期段階のAIスタートアップイノベーションを加速できることを示し、補聴器メーカーStarkeyは騒音環境や重複するスピーチでの性能向上に機会を見出しています。Metaのリリースは、画像と動画におけるオブジェクト検出・セグメンテーション・トラッキング・3‑D再構成のためにテキスト/ビジュアルプロンプティングを提供する関連モデル（Segment Anything Model SAM 3 および SAM 3D）も推進しています。

How to hack Discord, Vercel and more with one easy trick

## Japanese Translation: **Mintlify – MDXファイルを使用し、Discord、Twitter、Vercel、Cursor などの顧客にサービスを提供する人気の B2B SaaS ドキュメントプラットフォーム。** **セキュリティ脆弱性（CVE‑2025‑67843 – 67846）**： * **CVE‑2025‑67843 – MDX のサーバー側レンダリングにより、JSX 式を介して任意の JavaScript が実行可能になり、攻撃者は環境変数やファイルシステムへの完全なサーバーアクセスを得られます。** * **CVE‑2025‑67842 – `/ _mintlify/static/[subdomain]/{…}` ルートを通じたターゲット型 XSS；悪意のある SVG（例：`<svg onload="...">`）が任意のリポジトリから配信され、複数の高プロファイル顧客に対してワンクリックでクッキー窃盗やトークン抽出が可能になります。** * **CVE‑2025‑67845 – 静的資産修正後、CDN URL のパス・トラバーサル回避（`…/discord/images/...%2F..%2F..%2Fevascoolcompany/xss.svg`）により外部資産への再アクセスが可能となり、パッチの効果を打ち消しました。** * **CVE‑2025‑67844 – GitHub IDOR：Mintlify の API はリポジトリ設定時に所有権を検証せず、認可された任意のリポジトリのコミットデータへアクセス可能です。** * **CVE‑2025‑67846 – ダウングレード攻撃：古い Vercel デプロイメントを削除しないため、特定のデプロイ ID や git ref を介して脆弱な以前ビルドを狙うことができます。** **影響範囲:** RCE により大量 XSS、改ざん、キャッシュ汚染、機能フラグ破壊、パス検証による DoS、および請求不正（PDF エクスポート）が発生します。ターゲット型 XSS は影響を受けた企業全体でクッキー窃盗やトークン抽出を可能にします。 **発見と対応:** 著者、hackermon、および mdl の協力により開示され、報告後すぐにパッチが適用されました。Mintlify は発見者に 5,000 USD の報奨金を支払いました。 **CVE 毎の対策:** * SSR で非シンプル MDX 式を無効化（CVE‑2025‑67843）。 * 静的資産へのアクセスを同一組織に限定し、CDN パスチェックを徹底（CVE‑2025‑67842 & 67845）。 * リポジトリ設定前に GitHub の所有権を検証（CVE‑2025‑67844）。 * Vercel プレビュー デプロイメントに訪問者パスワードを追加し、古い脆弱デプロイメントを削除（CVE‑2025‑67846）。 **さらに読む:** hackermon と mdl による追加レポートがより詳細な技術情報と実装シナリオを提供しています。

I've been writing ring buffers wrong all these years (2016)

## Japanese Translation: ## 要約 著者は、従来の実装よりもシンプルで効率的なリングバッファ設計―「2 つの **非マスク** インデックスを自由に増加させ、基盤配列へアクセスする際だけマスクする」手法―が優れていると主張しますが、その採用はほとんど見られません。1 要素バッファで実験した結果、以下のことが判明しました。 - 一般的な「配列 + 2 インデックス（読み取り・書き込み）」パターンは *full* と *empty* の状態が衝突し、スロットを 1 つ無駄にします。 - 「配列 + インデックス + 長さ」を使う代替案は容量全体を利用できますが、リーダーとライタの両方が共有 `length` フィールドを更新する必要があり、キャッシュ性能を低下させ、原子操作が必須になります。 自由に増加するインデックス手法はこれらの問題を回避します：無駄なスロットを排除し、ロジックを簡素化し、パフォーマンスを高めます。 ```c uint32_t read, write; static inline uint32_t mask(uint32_t v) { return v & (capacity-1); } void push(v) { assert(!full()); array[mask(write++)] = v; } int shift() { assert(!empty()); return array[mask(read++)]; } bool empty() { return read == write; } bool full() { return size() == capacity; } size_t size() { return write - read; } ``` この手法の要件は次のとおりです。 1. 言語が **符号なし整数のラップアラウンド** をサポートしていること（さもなければインデックスは膨大な値に増加します）。 2. `capacity` は 2 の冪であること。 3. 実際に使用できる最大容量は、インデックスタイプの範囲の半分以下であること（例：32 ビット符号なしの場合 ≤ 2³¹–1）。 このテクニックは少なくとも 2004 年（Andrew Morton）から存在しますが、多くのコードは依然として古い「マスク」スタイルに従っています。これは歴史的慣性やオーバーフロー処理への懸念によるものと考えられます。著者は、なぜ劣ったバージョンが残存しているのか疑問を投げかけ、もし言語が符号なしラップアラウンドの意味論を受容すれば、将来の設計は自由に増加する方法へ切り替わる可能性があると示唆しています。採用すると容量無駄が減少し、キャッシュ挙動が改善され、同時実行リングバッファコードが簡素化されます―システムプログラマ、OS 開発者、および高性能循環バッファに依存するすべてのソフトウェアにとって有益です。

Oliver Sacks put himself into his case studies – what was the cost?

Using TypeScript to obtain one of the rarest license plates

## Japanese Translation: 著者は、車両登録局（DMV）から免許証の更新を促すリマインダーを受け取った後、フロリダ州のユニークなバニティプレートを追い求め始めました。フロリダ州はユーザーがカスタムプレートの空き状況を確認できる公開ASP.NET Webフォームを提供しています。このフォームは隠しフィールド（`__VIEWSTATE`、`__VIEWSTATEGENERATOR`、`__EVENTVALIDATION`）を露出しますが、CAPTCHAやIPレート制限はありません。著者はフォームを一度取得し、正規表現でこれらの隠しフィールドを抽出し、一回のリクエストで最大5つのプレート組み合わせを投稿することで、自動化された毎時チェックを実行しました。結果は「AVAILABLE」または「NOT AVAILABLE」のラベル（`lblOutPutRowOne–Five`）として表示され、彼はそれらをプログラム的に解析しPostgreSQLに保存しました。 このマイクロサービスを使用して、著者は「EO」のような珍しい2文字組み合わせを監視しました。11月26日に「EO」が利用可能になりましたが、取引完了前に別のユーザーに主張されてしまいました。その後、「HY」を追跡し、最初の試行で失敗した後に再び出現するのを確認しました。税務署で長時間待った後、彼は「HY」の予約を成功させ、支払いも完了しました。フロリダ州のカスタムプレートには60日間の配送期間があるため、著者はまだ物理的なプレートを提示できませんが、予約が有効であることを確認しています。 この記事では、この脆弱性―保護策なしに高頻度で自動チェックを行う点―が州にCAPTCHAやより厳格なレートリミットの追加を促す可能性があり、オンラインシステムのギャップが望ましいバニティプレートを確保するために悪用される方法を示しています。

Please just try HTMX

## Japanese Translation: ## 要約 HTMX は、HTML の任意の要素に宣言的属性（例：`hx-post`、`hx-swap`）を追加することで、開発者がインタラクティブなウェブページを作成できる小さなライブラリです（サイズは約 14 KB（gzipped））。これらの属性は HTTP リクエストをトリガーし、返された生 HTML を直接ページに差し替えるため、JavaScript コードや複雑なビルドツールが不要になります。簡単な例としては、クリック後にサーバー側でレンダリングされたコンテンツに置き換わるボタンがあります。 実際に Contexte は React を中心としたスタックから Django テンプレート＋HTMX に移行し、全体のコード量を 67 %（21,500 行 → 7,200 行）削減し、JavaScript の依存パッケージ数を 96 %（255 パッケージ → 9 パッケージ）に減らし、ビルド時間を 88 %（40 秒 → 5 秒）短縮、ページロード時間を約 50‑60 %（2‑6 秒 → 1‑2 秒）削減しました。ページ読み込み速度は約半分に改善されました。HTMX はライブ検索、「もっと読む」ページネーション、フォーム送信などの一般的なパターンも自然にサポートします。 HTMX は特にダッシュボード、管理画面、e‑commerce サイト、ブログ、およびフォームやリストを利用する SaaS アプリケーションに適しています。ただし、リアルタイム協働編集（例：Google Docs）、重いクライアント側計算（ビデオエディタ、CAD ツール）、オフラインファーストのアプリケーション、または単純なフォーム検証を超える本当に複雑な UI ステートには推奨されません。 著者は開発者に対し、週末に小さなサイドプロジェクトで HTMX を試してみることを勧めています。失敗した場合のコストは最小限ですが、多くの人がそのパワーに驚くでしょう。詳細については公式ドキュメント（`htmx.org`）と無料書籍「Hypermedia‑Driven Apps」（`hypermedia.systems`）をご覧ください。

The <time> element should do something

## 日本語訳: 著者は、HTML の `<time>` 要素が意味的で機械可読なタイムスタンプを提供するため、依然として使用すべきだと主張しています。モダンブラウザやスクリーンリーダーは単にタグを表示しますが、そのタグの存在率はページロードの約 8 % に見られ、ある程度採用されていることを示しています。「4 時間前」などの共通 UI パターン（任意のパーマリンクやツールチップ付き）は、この情報を伝えるために `<time>` を埋め込むことがよくあります。検索エンジンは `<time>` を日付スニペットとして利用できますが、Google は Schema.org の `datePublished` と `dateModified` フィールドを優先し、 `<time>` を必須とはみなしていません。2023 年の SEJ 投稿では、公開/更新日時に影響する複数の要因があると指摘され、 `<time>` 単独で決定的ではないことが強調されています。理論上の利点としては、ブラウザとカレンダーの統合やロケール固有のフォーマットがありますが、今日では要素はほぼ無効に留まっています。著者は意味価値を維持するために `<time>` の使用を継続し、将来的にブラウザやツールがより充分に活用できるようになることを期待しています。開発者にとって即時の影響は最小限であり、継続的な使用は時間とともにアクセシビリティと SEO を向上させる可能性があります。また、ブラウザがタグを採用すればユーザーは日付処理の改善から恩恵を受けられるでしょう。

Interactive Fluid Typography

## Japanese Translation: **要点をまとめると：** ## 要約 フルイドタイポグラフィは、フォントサイズや行高をハードコーディングされたブレークポイントではなくビューポート幅に結び付けることで、デザイナーがテキストをデバイス全体でスムーズに拡大縮小できるようにします。この記事は CSS のみでこれを実装する方法を示しています： 1. **基本比率アプローチ** – 基準スクリーンサイズ（`--base-screen-size:1200`）と基準フォントサイズ（`--base-font-size:16`）を定義します。比率は `100vw / var(--base-screen-size)` として計算し、`calc()` で使用します： ```css .font-size-base { font-size: calc(var(--base-font-size) * 100vw / var(--base-screen-size)); } ``` 2. **境界制御のための clamp** – フォントが無限に拡大・縮小しないよう、計算を `clamp()` で包みます。最小値と最大値（`--base-font-size-min`, `--base-font-size-max`）を設定します。 3. **小画面比率** – 狭いビューポートでは別の比率が必要になる場合があります。この場合もブレークポイントや高度なスケールを使用できます。 4. **Andy Bell の Utopia** – 「Complete CSS」は、各ビューポート範囲ごとに異なる比率（`--step-0`, `--step-1`, …）でフルイドスケールを生成します。記事はこれを証明されたアプローチとして参照しています。 5. **Typed arithmetic (Chrome 140)** – 単位なしの数値や `calc(10em / 1px)` のような式により、CSS 内で動的に比率調整が可能になり、ブラウザ間の互換性が向上します。 6. **ダイナミックスケーリング変数** – 新しいヘルパー（`--screen-normalizer`, `--fluid-base-size`, `--fluid-step`）は二つの境界値間で正規化された値を計算し、小さい基準サイズと大きい基準サイズまたは比率の間でフルイドに遷移できるようにします： ```css --screen-normalizer: clamp(0, (100vw - var(--lower-bound)) / (var(--upper-bound) - var(--lower-bound)), 1); --fluid-base-size: calc(var(--base-font-size-small) + (var(--base-font-size-large) - var(--base-font-size-small)) * var(--screen-normalizer)); ``` 7. **将来の CSS 数学関数** – `--fluid-scaler()` と `--fluid-size()` の提案が完全にサポートされれば（例：`pow()` など）、これらの計算はさらに簡素化されます。 これらのテクニックを使用することで、デザイナーはメディアクエリの数を減らし、CSS の保守コストを低減し、携帯電話・タブレット・デスクトップ全体でよりスムーズなタイポグラフィ体験を提供できます。

How I wrote JustHTML, a Python-based HTML5 parser, using coding agents

## Japanese Translation: JustHTML は軽量な Python ベースの HTML5 パーサで、現在 **公式 html5lib テストスイートを 100 % カバー**し、**外部依存関係ゼロ**でシンプルな CSS セレクタクエリ API を提供します。 このプロジェクトは、人間の指導の下で GitHub Copilot（Agent モード）、Claude Sonnet 3.7、および Gemini 3 Pro というコーディングエージェントだけで完全に構築されました。上位レベルの目標を設定したものの、すべてのコードはエージェントが生成しました。開発者はコミット、レビュー、設計修正、およびバージョン管理を担当しました。 開発は **Rust のトークナイザクレート（`rust_tokenizer`、690 行）** から始まりました。このクレートは html5lib の速度にほぼ一致せず、次に `html5ever` ロジックの Python ポートも同様に不十分でした。`html5lib‑tests` リポジトリに対する反復テストで、パス率は **< 1 % → 30 %** に上がり、タグごとのハンドラへリファクタリングした後、さらに微調整を行い **100 %** になりました。性能向上は、未テストコードの削除（ツリービルダーを 786 行から 453 行に縮小）と Gemini 3 Pro を用いたベンチマークにより達成されました。 カスタム HTML ファジングツールで **約 300 万件の Web ページ** を生成し、クラッシュなしでパーサを強化しました。最終ライブラリは Python コードが約 **3,000 行** で構成され、**8,500 件以上のテストが通過**しています。 他のパーサと比較すると、JustHTML は完全なテストカバレッジを提供し、lxml はわずか 1 % しか達成せず、html5lib 自体は 88 % に留まります。ライブラリは **“justhtml”** として公開され、継続的インテグレーション、リリース、ドキュメント、クエリアイプ、およびオープンソースライセンスが揃っています。今後の作業では、更なる最適化や現在のテストスイートを超える機能拡張に焦点を当てる可能性があります。 コーディングエージェントと協働する際の実践的なヒント（明確で測定可能な目標設定、生成コードのレビュー、不適切な変更への反論、バージョン管理の活用、および失敗を学習機会として扱うことなど）は、この成功に不可欠でした。

Launch HN: Pulse (YC S24) – Production-grade unstructured document extraction

## Japanese Translation: ## Summary Pulse は、複雑な PDF およびスキャンドキュメントを、大規模言語モデル（LLM）で使用できるクリーンかつ機械可読のテキストに変換する文書抽出プラットフォームです。最新鋭のビジョン‑ランゲージ モデルと従来型 OCR、レイアウト解析を組み合わせています。このシステムは、階層構造・表・チャートを保持したままドキュメントを構造化し、事前定義されたスキーマにマッピングします。レイアウト解析を言語モデリングから分離することで、Pulse は長い PDF、密集した表、混在レイアウト、および低品質スキャンの限界を克服します。 VLM（ビジョン‑ランゲージ モデル）の主要な課題は信頼性です。彼らは正確な転写ではなく意味理解を最適化するため、不確実性を学習済み事前知識で解決することが多いです。Pulse は抽出した各値を元の位置に戻し、ユーザーが不確実性を検証できるようにします。これによりエラーは可視化され、監査可能になります。 このプラットフォームは、複雑な文書で制御評価を行い、ビジョンモデルを微調整し、表とチャートポイントの境界ボックス付き手作業注釈データセットを作成した後に構築されました。Pulse は使用量ベースの API アクセス（<https://platform.runpulse.com/login>）および Web プラットフォームで利用可能です。ドキュメントは <https://docs.runpulse.com/introduction> にあります。デモ動画もサイト上に掲載されており、例として 10‑K ファイル、新聞記事、および賃料リストが含まれています。 Pulse は高度に劣化したスキャンや珍しい手書きには完璧ではありませんが、エラーを完全に排除するのではなく可視化することに重点を置いています。著者は評価方法、実務で観測された失敗モード、および出力信頼性を判断するために使用されるシグナルについてコミュニティからのフィードバックを歓迎しています。また、興味のあるユーザー向けに追加文書の処理も提供します。

The immortality of Microsoft Word

## Japanese Translation: 既存のサマリーはすべてのチェックポイントを満たしています：主要なポイントをすべて捉え、原文に忠実であり、「Word は法的ワークフローの核心として残るべき」という主旨を明確に示し、曖昧さのない正確な言語を使用しています。改善は不要です。