Dbook

先ほどAnthropicから先日リークされていたClaude Mythosの性能が公開されましたが、少なくともベンチマーク上では、本当に久しぶりの飛躍的進歩と言っていいレベルだと思います。 Anthtopicが「性能が高すぎてセキュリティ危機が起きる」と懸念していたのもなるほど納得。 さすがにこれはOpenAIと立場が完全に逆転したと言ってもいいでしょう。

We just released Gemma 4 — our most intelligent open models to date. Built from the same world-class research as Gemini 3, Gemma 4 brings breakthrough intelligence directly to your own hardware for advanced reasoning and agentic workflows. Released under a commercially permissive Apache 2.0 license so anyone can build powerful AI tools. 🧵↓

「axios？使ってないから関係ないわ〜」 と思ったそこのあなた。 残念ながら、たぶん使ってる。 自分の package.json に axios って書いてなくても、 あなたの node_modules の奥底に、axiosは静かに住んでいる。 これが「推移的依存」という名の見えない地雷。 𝗦𝗹𝗮𝗰𝗸 𝗕𝗼𝘁 作ってる？→ axiosいる 𝗡𝗲𝘀𝘁𝗝𝗦 使ってる？→ axiosいる 𝗧𝘄𝗶𝗹𝗶𝗼 でSMS送ってる？→ axiosいる 𝗦𝗲𝗻𝗱𝗚𝗿𝗶𝗱 でメール配信？→ axiosいる 𝗚𝗼𝗼𝗴𝗹𝗲 𝗠𝗮𝗽𝘀 使ってる？→ axiosいる 𝗖𝗼𝗻𝘁𝗲𝗻𝘁𝗳𝘂𝗹 使ってる？→ axiosいる 𝗗𝗲𝗲𝗽𝗟 で翻訳してる？→ axiosいる 𝗙𝗶𝗴𝗺𝗮 𝗔𝗣𝗜 叩いてる？→ axiosいる 𝗝𝗶𝗿𝗮 連携してる？→ axiosいる 𝗪𝗼𝗼𝗖𝗼𝗺𝗺𝗲𝗿𝗰𝗲？→ axiosいる 𝗣𝗼𝘀𝘁𝗺𝗮𝗿𝗸？→ axiosいる 𝗠𝗮𝗶𝗹𝗴𝘂𝗻？→ axiosいる 𝗠𝗮𝗶𝗹𝗰𝗵𝗶𝗺𝗽？→ axiosいる 𝗗𝗼𝗰𝘂𝗦𝗶𝗴𝗻 で電子署名？→ axiosいる 𝗦𝘁𝗿𝗲𝗮𝗺 𝗖𝗵𝗮𝘁？→ axiosいる 𝗻𝟴𝗻 で自動化？→ axiosいる 𝗣𝗹𝗮𝗶𝗱 で金融API？→ axiosいる 𝗥𝗮𝘇𝗼𝗿𝗽𝗮𝘆 で決済？→ axiosいる 𝗧𝘆𝗽𝗲𝗳𝗼𝗿𝗺？→ axiosいる 𝗡𝗼𝗰𝗼𝗗𝗕？→ axiosいる 𝗡𝗼𝘃𝘂？→ axiosいる 𝗕𝗶𝘁𝗹𝘆？→ axiosいる 𝗦𝗲𝗻𝗱𝗯𝗶𝗿𝗱？→ axiosいる 𝗦𝗔𝗣 𝗖𝗹𝗼𝘂𝗱 𝗦𝗗𝗞？→ axiosいる 𝗧𝘆𝗽𝗲𝘀𝗲𝗻𝘀𝗲？→ axiosいる 全部、中に axios が入ってる。 これらの週間DL合計だけで 𝟯,𝟬𝟬𝟬万超え。 しかも今回の攻撃が本当に恐ろしいのは、 axios のソースコード自体は 𝟭行も変わってないこと。 dependencies に 𝟭行追加しただけ。 たったそれだけで、npm install した瞬間に遠隔操作マルウェアが静かに降ってくる。 しかも実行後に 𝘀𝗲𝗹𝗳-𝗱𝗲𝘀𝘁𝗿𝘂𝗰𝘁 する。痕跡ゼロ。 あなたがaxiosを「使って」なくても、 あなたの依存ツリーの奥の𝗦𝗗𝗞が、 勝手にaxiosの最新版を引っ張ってきて、 あなたのマシンに鍵を渡す。 「自分のpackage.jsonに書いてない」は 「影響ない」ではない。 𝗻𝗽𝗺 𝗹𝗶𝘀𝘁 𝗮𝘅𝗶𝗼𝘀 叩いてみて。