2026/05/11 8:36

PS3エミュレータ開発チームが、AIによって作成されたプレスリリースでサーバーを溢れさせることを控えたいと、丁寧な要請を発しています。

RSS: https://news.ycombinator.com/rss

要約▶

Japanese Translation:

2026 年 5 月 9 日、RPCS3 チーム（2011 年以来のプレイステーション 3 エミュレータープロジェクトで、ライブラリの約 70% が動作可能になっています）は、X に投稿する開発者に対して、AI で生成された「slop」コードの提出を停止するよう警告しました。同チームは無断で AI を利用したコードの提出者を禁止する厳格なポリシーを宣布しました。チームは、現在の AI の出力はよく使えず、少人数のボランティア維持者層に過度な負担をかけているため、開発者はデバッグとコーディングを手作業で学ぶ必要があると強調しました。ある開発者は冗談めかして「AI slop としてこれまで見てきたようなものは決して手書きでは書けないでしょう」と述べています。この状況は、2 月に AI で生成されたプルリクエストの急増により維持者が圧倒され、混乱を管理するために追加の人員の採用を検討したことのある Godot エンジンのプロジェクトが直面してきた近年の課題と酷似しています。その結果、RPCS3 は直ちに新しい規則を施行します：AI の使用は全開示が必要であり、それ以外の場合は禁止処分となり、エミュラートの堅牢性と信頼性を保つために高品質で人間による審査を受けた寄与が確保されることを保証します。

本文

PlayStation 3 エミュレータのオープンソースプロジェクト、RPCS3 の開発チームが本日、X（旧 Twitter）を通じてユーザー宛に非常に丁寧かつ礼儀正しく、「GitHub リポジトリへの AI ベースの低品質コード（"AI slop code"）によるプルリクエストの提出を控えてほしい」と訴えました。その直後の返信コメントでは、自らの「雰囲気でコーディングする（vibe coding）」ような無責任な行動を正当化しようとしている、AI 脳化したテックブロサーに対しては「石蹴り」（＝見捨てる）と辛辣に切り捨て、礼儀は厳しくなりつつも読むには格段の面白さがあります。

RPCS3 は 2011 年から存在しており、それ以来この間も、多数の利用者が選択する PS3 エミュレータとしての地位を不動のものにしてきました。過去に使ったことがある方なら、私に言わせるまでもなく、RPCS3 が極めて印象的なソフトウェアであることはご承知のとおりでしょう。ここ数年で、開発チームは多くの GitHub への貢献者をサポートしつつも、PlayStation 3 のゲームライブラリの約 70％を完全プレイ可能な状態まで進化させてまいりました。

RPCS3 宛に「AI slop code」を含むプルリクエストの提出はやめてください。これ以上の無断投稿者についてはBAN を実施する方針です。調べるべきことを調べるにはオンライン上に十分な情報源が存在します。あなたが理解できないまま生成し、動作もしない「スlop」を生成する代わりに、デバッグやコーディングを学ぶための適切なリソースがあります。— RPCS3 (@rpcs3) 2026 年 5 月 9 日

これこそが現在に至る状況の核心です。RPCS3 を運営している方々は、GitHub ページを塞ぎ込んでいた無用の AI 生成コードに対し、十分に我慢できなくなったのです。「RPCS3 宛に『AI slop code』を含むプルリクエストの提出はやめてください。これ以上の無断投稿者については BAN を実施する方針です」と X の投稿で明言されました。「あなたが理解できないまま生成し、動作もしないスlopを生成する代わりに、デバッグやコーディングを学ぶための適切な情報源はオンライン上に十分存在します」と付け加えました。

これは比較的穏やかな表現ですが、その後の返信コメントでは少し厳しくなりました。ただし、この厳しさには完全に正当な理由があります。私が見つけた最も印象的な返信の一つは、「チームが AI スlop と見分けがつく人間作成のコードを本当に拒否していないとどうやって確認できるのか？」と問われた際に、「あなたが想像するよりもはるかに汚い AI スlop を我々が目にしているんだから、そんなものを手書きで記述することは不可能です」という返答でした。

残念ながら、GitHub で開発者が AI 生成のプルリクエストに埋もれられる事例はこの初めてではありませんし、おそらく最後になるでしょう。昨年 2 月には、Godot エンジンのプロジェクトマネージャーである Rémi Verschelde が、「Godot の GitHub ページは AI 生成のプルリクエストで完全に氾濫しており、'slop'への対処を専門とするメンテナンスメンバーを新たに雇おうと考えている」と述べました。

同じ日のほかのニュース

一覧に戻る →

2026/05/11 2:19

ローカル AI が標準となる必要があります。

## Japanese Translation: 開発者は、安定的なアプリケーションと厳格なプライバシーを確保するため、脆弱であるクラウドホスト型モデルよりも、Apple 製の組み込みローカル AI ツール（`SystemLanguageModel` および `LanguageModelSession` など）を優先すべきです。外部サーバーへの依存は、課金問題やサービス停止時にサービスがクラッシュするという致命的な障害点を生じさせると同時に、機密ユーザーデータを保持リスクおよび潜在的な侵害に晒すことになります。対照的に、データ処理を安全にデバイス上で実行することにより、不必要なサーバー経由の迂回とベンダー依存を排除し、アプリケーションを強固なものに保てます。「Brutalist Report」という iOS クライアントは、典型的なクラウドソリューションに見られる複雑なアカウント要件を回避するため、ネイティブ API を使用して完全にローカルで記事のサマリーを生成する優れた例です。長いコンテンツの場合には、テキストをチャンク化（約 10k 文字）し、各チャンクごとに事実のみを含むノートを作成した後、それらをローカルで統合して最終的なサマリーを生成する推奨ワークフローがあります。このワークフローの将来形としては、`@Generable` および `@Guide` といった Swift の構造体を使用し、構造化された AI 出力を強制して非構造化データのようなデータをそのまま受け取るのではなく、UI が一貫したフィールドを確実にレンダリングできるようにする方向性が考えられます。この変化により、ユーザーは情報がデバイスから離れることがないと信頼できるようになります。企業にとって、ローカルモデルの導入は、AI をコストが高く予測不能な外部依存体から、サマリー化や分類を効率的に行い、ユーザー所有データを扱いながらレート制限や停止時間への心配なしに運用可能な信頼性の高い低コストサブシステムへと変革させます。開発者は、クラウドモデルを真に必要な場合のみ使用し、ローカル AI をノベルティなチャットボックスではなく、予測可能で信頼できる動作を持つ subsystem として扱うべきです。

2026/05/11 10:23

手書きコーディングに戻ろうとしています。

## Japanese Translation: k10s（NVIDIA クラスター運用者向けの GPU 意識型 Kubernetes ダッシュボード）の構築から得られた主な教訓は、AI は機能の迅速な提供に優れている一方で、システムアーキテクチャにおいては頻繁に失敗し、倒壊しやすいコードベースを導き込む点にある。Go と Bubble Tea フレームワークを用いた「vibe-coded」アプローチで 30 週間週末にわたり開発を進めたチームは、7 ヶ月間で 234 コミットを実現したにもかかわらず、深刻な構造的欠陥が蓄積しており、最終的にこの作業の約 70% が破棄された。これには `model.go` に収められたコード行を約 1,690 行も含まれている。プロジェクトは以下の 5 つの批判的アーキテクチャ上の失敗に直面した：AI がシステム不変則を無視し（結果として散在する `nil` 代入が発生）、キーハンドリングが地獄のように困難になる「神オブジェクト」と単一構造体設計に依存した、GPU に焦点を当てた範囲を超えた機能の蔓延を引き起こす「速度の幻想」におびやかされた、構造化データを不安全な位置指定式配列へと平坦化したこと、そして goroutine から直接の状態変異を許容しチャンネルを用いなかったことを通じて状態遷移を誤って扱った。将来の失敗を防ぐため、このプロジェクトはシステムを Rust で再実装中である。この移行により厳密な所有ルールが強制され、コーディング前にアーキテクチャ（インタフェース、メッセージ型など）を明示的に設計することが求められ、AI の支援が長期的な構造的完全性を損なうのではなく支えるように確保される。 ## Text to translate: **Improved Summary:** The primary lesson from building k10s—a GPU-aware Kubernetes dashboard for NVIDIA cluster operators—is that while AI excels at rapid feature delivery, it frequently fails at system architecture, leading to a codebase prone to collapse. Using a "vibe-coded" approach with Go and the Bubble Tea framework over 30 weekends, the team accumulated deep structural flaws despite making 234 commits in seven months; ultimately, ~70% of this work was discarded, including approximately 1,690 lines of code in `model.go`. The project faced five critical architectural failures: AI ignored system invariants (leading to scattered `nil` assignments), defaulted to a "god object" single-struct design making key handling a nightmare, succumbed to the "velocity illusion" causing feature creep beyond the GPU focus, flattened structured data into unsafe positional arrays, and mishandled state transitions by allowing direct mutations from goroutines instead of using channels. To prevent future failure, the project is rewriting the system in Rust. This transition enforces strict ownership rules and requires designing architecture (interfaces, message types) explicitly before coding, ensuring AI assistance supports rather than undermines long-term structural integrity.

2026/05/11 2:43

インシデントレポート：CVE-2024-YIKES

## Japanese Translation: ソースコードのサプライチェーン攻撃は、`left-justify`（週ごとのダウンロード数が 8.47 億回）という侵害された JavaScript の依存関係に起因し、その結果、Python ツールの `snekpack` を介して数百万人の開発者に影響を及ぼしました。`snekpack` は、悪意のあるライブラリ `vulpine-lz4` を統合した後にマルウェアを配布しました。このインシデントは Day 1 に発生し、Google AI Overviews で提示されたフィッシングリンクに引っかかり、 maintainer の Marcus Chen が被害にあうことで始まり、複数パッケージレジストリ（`.npmrc`、`.pypirc`、Cargo、Gem の認証情報）の認証情報が漏洩し、引渡条約のない国にあるサーバーに到達しました。当初、「Critical」から「Catastrophic」と評価が変更されたものの、Day 3 に関連性の/crypto マining ウォーム (`cryptobro-9000`) が誤って脆弱なマシンを `snekpack` のアップグレードによってパッチ適用したため、「Somehow Fine」と宣言されました。攻撃チェーンには以下が含まれていました： - 悪意のある `vulpine-lz4` ビルドスクリプトは、ホスト名がトリガー（例："build"、"ci"）に一致する場合マルウェアを実行しました。 - 不正なアップデートでは、reverse shells が Tue デイのみ有効になるように、そしてデフォルトシェルを `fish` に変更するなどの機能を追加されました。 - 企業大手（Fortune 500 社）はソーシャルメディアを通じて認識し、ある VP はマウイ島でこの事実に気づきました。インシデントは Day 3 の 15:22 UTC に解決され、CVE-2024-YIKES は Week 6 に割り当てられ、ウォームによって約 420 万台の_MACHINE_ が救助された（ただしその C2 サーバーも侵害されていた）と推定されます。根本原因には、弱いレジストリ認証、AI 生成のフィッシングリンク、不十分な CI/CD の衛生管理があり、ユーモラスに「犬が Kubernetes を食べ、YubiKey が失われた」という形で表現されました。是正措置には、`vulpine-lz4` のリファクタリング（Rust に書き直し）、アーティファクト署名の実装（2022 年第 3 四半期からバックログされていた）、強制的な MFA の導入、847 の推移的依存関係の監査が含まれます。このインシデントは、自動化されたビルドパイプラインにおける重要なギャップと、将来の攻撃を防止するための厳格な依存関係監査の必要性を示しています。