よし|中3エンジニア
71 posts
@yoshi_dev1212
14 y/o | プログラミング💻 | AIがあなた専用のカリキュラムを作る学習アプリ「Codering」(@codering_app)を開発中。小3から独学し、エラーで苦戦した経験から「誰もが学び続けられる環境」を目指しています。|フォローするとプログラミングの「楽しさ」と「最新知識」が手に入ります!
個人開発者は身分を明かさず匿名で金を稼ぐべき!日本終わった!みたいなポストが数回流れてきたけど、探しても本名も会社名も出てこないような、表での露出のない方なんて怖すぎて、とても決済したいと思えない 支払ったら支払ったでその先どこにお金が流れるか読めないし
Claude CodeやCodexを使ってて思ったんだけど、Webサイト作るの、Wordpressじゃなくて静的HTMLでいいよね?
絶賛話題になってるaxiosのサプライチェーン攻撃。 こういうのが起きるとエンジニアは割とXとかですぐ情報を追って対処できる気がするが、昨今の「非エンジニアだけど生成AIでプロダクトを作って公開!」みたいな人たちはどうなのかな。 そもそもこの情報に気づかない可能性が高い気もしている。 生成AIが「作る」ことの壁を壊したのは素晴らしいことだと思ってて、個人的にはどんどんやるべきと思ってるんだがソフトウェアとかサービスって作ったらもれなく運用が始まるわけで。 ちゃんと意識したり仕組み整えていないと古いバージョンの脆弱性が報告されてもそれに気づく手段がない。Dependabotのような仕組みも、そもそもGitHubでバージョン管理していなければ機能しない。しかも今回は逆に働く。 エンジニアにとっての当たり前が、非エンジニアにとっては当たり前じゃないし、それは責められることでもない。だからといって「危ないからやめろ」とブレーキをかけるのも違うと思ってて、生成AIでガンガン作れる時代の利点は活かすべきだと思う。 問題は、本人が知らないこと、意識にないものをAIで整えさせることはできないということ。公開後の運用やセキュリティを支えるガードレールを整えることが必要なんだと思うが果たしてどんな感じのものだといいのか。 公開前のセキュリティチェックはあくまでも公開時点のものであるのでね。 なんてことを非エンジニアとの1 on 1で話していた。
【拡散希望】 npm週間1億DLの axios が乗っ取られました。 リードメンテナーのアカウントが乗っ取られ、RATが仕込まれた偽バージョンがnpmに公開されています。 現在進行系。 axios@1.14.1 と axios@0.30.4 にRATが仕込まれています。npm install した瞬間にマルウェアが実行されます。 ✅ 安全なバージョン: 1.14.0 / 0.30.3 ❌ 危険: 1.14.1 / 0.30.4 macOS、Windows、Linux全対応。ペイロード実行後に自己消去。プロの仕事です。 npm install を今すぐ止めてください。 全容をまとめました↓
