News bits
一覧を見る AnthropicとMozilla、AIを用いたセキュリティ向上に関する協業を発表
AnthropicとMozilla、AIを用いたセキュリティ向上に関する協業を発表
AnthropicはMozillaとの協業により、AIを用いたソフトウェアセキュリティの向上に共同で取り組むことを発表した。この提携は、AIを活用するセキュリティ研究者とオープンソースのメンテナがどのように協力すべきかを示す新たなモデルとして位置づけられている。本発表において、開発環境等に影響を与える特筆すべき制約は報告されていない。
同協業では、AIが生成した大量のバグ報告によってメンテナが過重な負担を抱える課題の解決に焦点を当てた。AnthropicはClaudeを用いて最小限のテストケース、詳細な概念実証(PoC)、および修正パッチの候補をまとめて提出し、Firefoxチームが迅速に報告を検証できる体制を検証した。また、「task verifier」と呼ぶ仕組みを使用し、LLM自身が脆弱性の修正と機能の維持を検証することで、生成されたパッチの信頼性を向上させている。
参考文献
GPT-5.4リリース
GPT-5.4リリース
OpenAIは、業務用途向けに設計されたフロンティアモデル「GPT-5.4」および「GPT-5.4 Pro」をリリースした。 現在、ChatGPT、API、Codexを通じて利用可能。
主な特徴:
- 知識業務能力の向上
- スプレッドシートやプレゼンテーション、ドキュメントの作成・編集において一貫性のある処理が可能
- コンピュータ操作能力のネイティブサポート
- 画面認識を通じたマウスおよびキーボード操作に対応するcomputer toolを提供
- 画像理解と視覚認識の強化
- 画像入力ディテールレベルにoriginalを追加し、最大6K解像度までの画像認識に対応
- パフォーマンス改善とコンテキスト拡張
- 問題解決に用いるトークン数を削減し処理速度を向上したほか、最大100万トークンのコンテキストを維持
ChatGPT(GPT-5.4 Thinking)経由の利用においては、思考計画を事前に提示し、回答途中で進め方の調整が可能。 API開発者はcomputer toolを利用することで、複数アプリケーションを跨ぐエージェントワークフローを構築可能。
ChatGPT Codex app Windows版提供開始
ChatGPT Codex app Windows版提供開始
Codexを含むChatGPTプラン向けに、Windowsデスクトップ向けCodex appの提供を開始。
主な機能:
- 複数エージェント対応
- 複数のCodexエージェントの並行実行が可能
- 独立したワークツリー
- 確認可能な差分の編集、破棄、Pull Requestへの変換に連携
- ワークフローの統合
- アプリからのChatGPTサインインに対応
- アプリ、CLI、IDE間でツールを切り替えることなく継続的な作業が可能
詳細についてはUsing Codex with your ChatGPT plan参照。
Google検索のAI ModeにCanvas追加
Google検索のAI ModeにCanvas追加
米国ユーザー向けにGoogle SearchのCanvas in AI Modeの提供を開始。クリエイティブな文章作成やコーディングタスクに対応し、プロンプトからのWeb上の最新情報やGoogleのKnowledge Graphを活用したプロトタイプ作成が可能になる。
利用手順:
- 米国版Googleにアクセスする
- Google Searchの AI Mode を開く
- ツールメニュー(+)からCanvasを選択する
- 作成したいものを記述する
投稿一覧
S3 Transfer Manager 移行メモ
非推奨になったfeature/s3/manager@v1.22.0からfeature/s3/transfermanager@v0.1.2 への移行メモ。
CSSのみで実装する指向性ヘッダーアニメーション
JavaScriptによるスクロール位置の監視が必須であった複雑なヘッダーアニメーションも、Scroll State Queriesを使えばCSSのみで実装することが出来る。
GTM + iframe + クロスドメインにpostMessageで対応する
公式でも紹介されるリンカー設定だが、計測が不安定になる可能性が拭えず、設定が複雑になるケースが多いため、postMessageを利用したイベント委譲型の計測が有効な場合がある。
Scroll Container内の絶対配置またはAG Gridのバグ
Scroll Containerが包含ブロックでない場合、内部の隔離されていない絶対配置された要素はScroll Containerの外側に配置されるため、ページの高さが大きくなるといった意図しない挙動を引き起こす。
Slackのsubteam IDとchannel IDをまとめて取得する
Slackをブラウザで開き、次のスクリプトを検証ツールのConsoleで実行すれば、現在表示されているグループメンションのsubteam IDをまとめて取得できる。
Agent Skillsを簡単に作成して共有する
Agent SkillsのSkill Creatorを利用した作成、add-skillを利用したインストール、Skillのチーム内共有のすすめ
RenovateでGitHub ActionsのSHA Pinningを手軽に行う
GitHub Actionsでサードパーティのアクションを利用する際、バージョンをタグで指定しているケースをよく見かけるが、セキュリティの観点からは推奨されない。GitHub公式ドキュメントでは、アクションを不変なリリースとして利用する唯一の方法として、SHA Pining、つまりコミットSHAにピン留めすることを推奨している。
VitestのカバレッジレポートをGithub Actionsで添付する実装例
davelosert/vitest-coverage-report-actionを利用することで簡単にVitestのカバレッジレポートを添付することが出来る。
npmパッケージ公開のOIDC Trusted publishingへの移行
OIDC Trusted publishingを用いたnpmパッケージの公開方法およびTrusted publishingのメリットと制約について。
RenovateとDependabotのレビュワーを一元管理する
RenovateとDependabotを併用する場合、CODEOWNERSファイルを活用することでレビュワー設定を一元管理できる。
GitHub releases APIを用いたXR Animatorの自動更新
GitHub Releasesにある最新のリリース情報は固定のURLから取得できる。これを使って自動更新やUI上から更新をサポートしていないXR Animatorの自動更新をサポートする。
GASにサービスアカウントは利用できない
Google Apps Script (GAS)には、コードをリポジトリで管理しCI/CDで自動的に同期したい需要が強くある。 さらにチーム開発であれば、個人アカウントに依存しないWorkload Identityやサービスアカウントを利用したい需要も発生する。
GASのproject keyからscript idを取得する
Google Apps Scriptのログを見ると、なぜかscript idを含まず非推奨であるproject key含んでいる。他にもdeployment idやprocess id、user keyなどを含んでいるが、これらからログがどのScriptと紐づいているか特定することは困難に思える。
VercelでSubdomain Takeover出来るのか
少なくとも現在はVercelでSubdomain Takeoverを行うことは難しい。
ModalとDialogの分類
ModalとDialogは混同されることがあるが、そもそもレイヤーの異なる概念である。 ここでは混同の解消を目的に、これら及び関連用語の大まかな説明を行い、より正しい分類を示す。