00:02
まだ5月なんですけど、暑すぎませんか?どうなっているんですか?
いやー、だいぶ暑いですね。もう夏って感じ。
こっち32度とか最高気温にいってて、なんか玄関開けた瞬間に、暑っ!って感じだったんですけど、そっち大丈夫でした?
こっちも、えっとでも結構いい温度は行ってたけど、そっちほどではないかな?
あー。いやー、たまらんですね。
もう、まだつびの対策を始めなきゃいけなくて、あのー、首に巻く冷えるやつとかあるじゃないですか。
なんか常温で冷えるみたいなやつ。 ジェルみたいなやつ? そうそうそう。
ああいうのとかももう首に巻き始めて、もうそろそろ帽子もかぶりつつ、扇風機も片手持ちながらとか、
そんな本当に真夏対策をしていかないと熱中症で倒れそうだなーって感じの気温でしたけど。
いやー、日傘いいっすよ日傘。 日傘も大事だね。
帽子もいいけれど日傘の方が風が通るし、影のできる。 面積が大きいから。
子供がいるとね、片手塞がってるのきついんだよね。 あーなるほどねー。じゃあ麦わら帽子か。
そう。
子供もいつ熱中症になるかわからんしっていう。 ニュースでやってたクールスポット?
街中で熱中症になりかけたりとか、やばいって思ったら、なんか駆け込んで進んでいい場所みたいなのが、
ニュースになるくらいにはマジでヤバそうなんで。 ちょっとチェックしとかないとね。
まだ5月だから、まあまあ夏対策この程度ええやろうって言って舐めてかかるとマジで倒れる気がするんで、皆さんお気をつけください。
本当、梅雨はどこ行ったんでしょうという感じではありますけど。 本当にね。梅雨明けたらこれくらいの暑さになるっていうのがね、あの日本らしい感じがあったんですけど。
まあ梅雨前からこうですね。
ということで、暑さに気をつけていただきつつ、もう今日は本編の方行きたいと思います。
Claude Designの機能と実用性の検証
1個目、噂のクロードデザイン使ってみたってことで、アイレットメディア、KDDIさんのテックブログのところからの引用になります。
長いのでかいつまんで、あの重要なセクションのところだけ言っていきます。
クロードデザインが何かって言うとですね。
クロードというセセイアイモデルを作っている会社アンソロピックが出しているサービスの一つです。
チャットGPTとかと同じくSaaSのサービスになっていて、ウェブで使えるクロードデザインというGUIアプリになっています。
できることなんですけれども、名前の通りですね。
ウェブUIとかデザインを考えるための専用ツールという形になっています。
企画とか、こんなUI作りたいなとか思った人がチャットに入力したりとか、適当なスケッチブックへの絵ですね。
こんなレイアウトでこんな軌道があってとか、あとはインスパイアリスペクトという意味での強豪多捨とか、
ここのサイズのこんな感じのイメージなんだよねみたいなスクリーンショットとか足し合わせながらセセイアイにインプットさせていって、
自分が思い描いている通りのUIデザインに仕上げていくってことができる、そんなツールになっています。
今までもセセイアイに頼むようにいろんなことができたんじゃないのって言われれば、もちろんそうなんですけれども、
クローズデザインはその辺をフルサポートしていて、その用途により特化して使いやすくなっているっていうのが特徴になっています。
生成されたものがですね、そのままソースコードに落とし込めるっていうところですとか、
共有機能とかがあって、デザイナーが考えたものを上司に見てもらったりとか、エンジニアに見てもらったりとか、いろんな共有っていうのも可能になっていて、
チーム開発がしやすいような、そんなものになっています。
昔からこういったデザインからそのソースコードへっていうのはよくある話で、
フィグマとかキャンバーとかいろんなサービスでそういうことをサポートしようとしてきたんですけれども、
どこまでいってもデザイナーからエンジニアに渡る過程でちょっとハードルがあってなかなか浸透しなかったっていうのが正直あるんですけれども、
このクロードデザインで作られたものっていうのはそのままソースコード開発が得意なクロードコードにも連携させられるっていうことで、
UIから実際のソースコードへの一気通貫な開発っていうのがしやすくなっているというものになります。
もちろんその生成される品質っていうのは、生成AIに全部フルスクラッチで作らせたときの品質レベルにしかならないので、
本当に大規模な商用開発っていったところには向かない可能性はあるんですけれども、
あんまりウェブサービスとかどういうふうに作れるのかとか全然知らない人でもそれなりにウェブ上で動くものが作れるっていったところで注目を集めているものになっています。
実際、クロードデザインどんなもんだっていうのをいろいろ触れる状態にしていろいろポチポチ触ってみたので、
この後デモ的にも紹介しようかなと思うんですが、基本的に優秀だなと思うのが、
どんなことをやりたいんですかっていったときにチャットで聞かれるんじゃなくて、選択式の候補がいっぱい出てくるっていうのが非常に便利なポイントになっています。
では、このテックブログの中では学習サイトについて作りたいっていう話をすると、
どんなことを学びたいのかとか、コンテンツの形式どんな形ですか、クイズ小テスト形式ですかとか、
どういうユーザー層に届けたいんですかっていったようなデザイン生成に必要な質疑っていうのがバーッと出てきます。
それをクリックしていってこういうのをお願いしますっていったら、ある程度の目標をバーッと作ってくれるというものになっています。
作られたデザインもですね、その場で直接細かいところを修正できて、解像度ですとか色味ですとかっていうのを本当にIDというか、
直接そのソースコードを見ずにGUIでポチポチ数字を変えるような、そういった開発行為っていうのもできるし、
生成AIにもっと修正させるということもできるような、そういうものになっています。
SaaS上でちゃんとバージョン管理的なものも用意されているので、前のバージョンと今回のバージョンの違いとか、
そういったのもちゃんと出せるようになってますし、エクスポーとして途中から今までの開発の仕方に取り込むっていうのもできるというところが、
結構クロードデザインの面白いところかなと思います。
早速画面共有している方を出してもらいたいんですけれども、
出せたらちょっと教えてください。
はい、変えました。
これがクロードデザインのトップページになっています。
クロードデザインのトップページからは、このプロトタイプ、スライドデッグ、フロムテンプレート、アザーという中から、
いくつか選択して好きなものを作っていきます。
今回はせっかくなので、リカログ、このポッドキャストのホームページのデザインを改修するっていうのを依頼してみました。
ちょっとQP3分間クッキング的に話しちゃうんですけれども、
現在リカログっていうポッドキャストやっていて、
それのホームページっていうのもあるんだけど、ちょっとデザインがチープなので見直したいですというところでいくと、
先ほどのテックブログにあったようなクエッションズっていうのがずらーっと並んでてですね、
どういうものを既存のものの中から活かしたいのか、どういうUIが欲しいのかっていったようなものだしとか、
複数案並べて比較できるようにしてほしいとか、そういった選択肢がバーッと出てきて、それについてポチポチ答えましたというところからバーッと検索したりとか、
HTML作ってくれたりとかっていうのをずーっとやってくれて、最後終わりましたよということで、
バージョン1,2,3の比較ができるようになりましたというところになっています。
右側のほうでですね、ちょっと画面が小さいんであれですけど、
リカログのホームページリデザインっていうことで、例えば今の色味のところですね、
ホームページに使っているロゴの色味とかをそのまま使いながら、
黒いデザインだとこんな感じの色味にしてみてはどうでしょうかとか、
最新のポートキャストについてはその場ですぐ再生できるようにして、
古いものだけリンク開いたらそこで再生するっていうデザインにしてみたらどうでしょうかとか、
そこをダークとライトを入れ替えてみて、ライトモードではこんな色味にしてみてはどうでしょうかとか、
そういったこういう3つのデザイン案というのが出されていて、
これをそれぞれ直接触ることもできるというような形になっています。
このエディットでOとかを選択すると、これはどういうオブジェクトでどんなサイズでとかパーッと出てくるというようなものになっている状態ですね。
もちろんこれを直接編集するってことは、いわゆるHTMLでいう固定解像度、
例えばフルHDだったらそれのサイズの固定サイズの属性がそのままベタっと張られていて、
最近のレスポンシブルデザイン、画面サイズを動かしたりした時にUIがきれいに動くとか、
そういった状態には当然なっていないわけですけれども、
ベースとなるデザインイメージというのはここでぼちぼち触りながらいろいろしていけるというところになっています。
ここから実際のソースコードに落とす段階で、
ここをレスポンシブルデザインにしたりとかヘッダーを共通化させたりとか、
そういうことを支持していけば、実際のホームページが立ち上がっていくわけですけれども、
そこは作業者がこのページをUIデザイナーから開発者に引き継いでいけば、
同じプラットフォームを使い続けていく過程で、
エンジニアの知識をここに足していって、そういったことも含めていけるということになるので、
かなり一気通貫な開発プラットフォームとしては面白いんじゃないかなと思っての紹介でした。
ありがとうございます。
見る限りだいぶ強力ですごいですね、という感じですね。
さっきの初回のアンケートに回答した後はどのくらいやり取りをしたんですか?
俺は何もしてないです、これ。
なので、そこの吹き出し以降は全部生成AIが自動ログで出してきたやつで、
右側の3がポン出しで出てきたってことね。
そう。
だいぶすごいですね。勝手にやっておいてくれる。
せっかくなんで、動作させてみようかなと思うんですけど、パッと見どれが一番気に入りました?
うーんと、1案。
V1。
V1かな。2案もちょっと見せてもらっていい?
2案は何がどうなっているの?
1案のちょっと文字をでかくしたりしましたって感じ?
もうちょっとあれかな?ラジオ局っぽくなったのかな?
こっちの方がトピックスとかはパラムになってて読みやすいようになってますね。
こっちはハッシュタグ系か?
そうだね。だからいっぱいあって、とりあえずこれだけ目立たせようっていうUIとしては1案だけど、
本当にニュースですみたいな感じで出てきて、
基本ここの一番上しか見なくていい。ここはアーカイブですみたいなフライトでかなりメリハリを大きくしているのが2案目かな。
ライトにすると?
ライトにするとこんな感じ。
3案目はどんな感じですか?
3案目はかなり踏み込んだというか、突っ込んだものになっている。
ちょっと変えてみようかなって感じですね。
ここの223っていうシャープ223のところの表現はちょっとダサい気がしますけど、
ここの再生ボタンのところとかは非常にポッドキャストっぽくなってるかなって感じですかね。
そうね。なんかいい感じのアルバムアートワーク的なのがあれば、
今アルバムアートワークって仕事だと思うけど、ちょうどいいんだと思うけど、そういうのがないから、
右側、左側がちょっとしょっぱくなってる感じですね。
そうですね。確かにそう。
ただアイコン、画像ないからな。
うち、そうするとV1が一番シンプルでいいかしらという感じはしますかね。
ただV1の中でも、ここがもうちょっとこうなるといいとかあります?
V1が一番私が期待したデザインだと思います。
その上で、例えばポッドキャスト再生…
あ、ごめんなさい。
オーディオ再生か。再生部分のQIがシンプルすぎるので、
他のV2やV3のようなUIにして欲しいですっていう、すごいざっくりしたことを言ってみます。
ちなみにこれ、今なんかカーソルカタカタしてる感じのV1の中で…
これ多分CSSでこういうアニメーションにしてる。
加工中だからそれが見えてるって感じ?
いや、これ多分そういうアニメーションを設計してる。
設計したのか。
テックブログだからCSSっぽくしてるってことね。
ほんとだ、アニメーションだな。
ちょっとどこがそのアニメーション部分なのかってパッと分かんないけど。
まあまあちょっと時間かかるのでやってみます。
これどうなんでしょうね。
いい面は本当にポン出しでこれが出してくれるのはすごいと思うけど。
これをもらった後にエンジニアがこれのちょい辺で実装できるレベルまでいくんだろうかってところがやってみると分かんないね。
そうですね。基本的にはすぐにはいけなくて。
ここから出力されるのは従来のUIデザイン系と同じくHTMLとCSSの本当にベタベタに書かれたものしか出てこないと思います。
なのでそれを公開したら本当にこのサイズこの解像度の絵がパンと出てきて
ブラウザ上で確かにこれは見えてるんだけどそれはウェブページを作ったと言わんだろうみたいな感じの
そういうものがポン出して出てきちゃうので
それを実際の本当に配信できるどんな端末で見ても違和感のないUIに仕上げていくっていうのは
開発が必要になってくるんじゃないかなと思いますね。
そうですね。
なのでなんかデータでもらっても結局1から自分で手で書いた方が早いみたいな感じになっちゃうとちょっともったいないなというところがありですね。
その辺がやっぱり今の生成AIのいいところだと思うんですけど
そのHTMLとCSSのレイアウトデザインさえあれば最新のそのウェブデザインのフレームワークに落とし込み直して本当にちゃんと開発できる
エンジニアが一から作った場合はこういう風に開発するよねっていうのに乗せ替えるっていうことにおいては生成AI非常に強力なので
結構そこの間を埋めてくれるっていうのは生成AIの得意分野になってきてますね。
なるほど。きっちゃないの出されてもそれをそういうコーディングが得意なAIに解釈してもらえばまともなものが出てくると。
そうですね。
なるほどなるほど。確かにそれはそんな気がしますね。
もう完全にこれは下書きですっていうインプットの仕方にする生成AIに対してこういうデザインがいいっていうのをデザイナーから受け取りました。
AだけじゃなくてHTMLとCSSでこんな形だということで連絡をもらいましたのでこれをベースとして最新のそのウェブフレームワーク準拠な
ウェブアプリっていうのを開発してくださいみたいな依頼の仕方をするとちゃんとそこと比較しながら作り上げていってくれるっていうそんな感じですかね。
そうか。それでやると確かにいいかもしれない。
ちょっとまだ時間かかってそうですけどちょっと素案としてUIのところを変えたようなものとかも出てきているのでこういうチャットのやり取りをしながら進めてもいいですし
ドローとかコメントで直接書き込みながらもうちょっとここがこうなればくらいのところで書いておいてここから細かいところを詰めていくのはもう後レビューしながらエンジニアと詰めたらいいから最終的に企画段階とか上司にこういう感じでいきたいと思いますっていうことを承認もらうレベルだとこれでいいとかそういう使い方になってくるのかなという感じですかね。
今いじれます?まだいじれないから生成中だから。
いいや、いじれますよ。
いじれますか。
どこをいじりたいですか。
例えば文字とかだとだいたいわかるんだけど、例えばその再生ボタンとかいじれるの?
それはいじりなさそうだね。
再生ボタン、これエディットモードにしてないからになるんですけど、再生オンオフした時にこうなりますとか、シークバーは操作できないのか。それはちょっとできなさそう。
どこまでいじるのかなって感じだけど。
これは一個一個完全に別CSSなんですごいいい感じになってますね。
すごい感じですね。
だからこれは多分こういうデザインとストリームの再生機能になるようなコンポーネントをインターネット上で探してきてそれを採用してくださいとかはちゃんと言っていかないと実際の行動にはなっていかなさそうな感じがしますね。
デザイン系は生書きしてあるから難しい感じか。
そうですね。
文字を変えるとかは全然できると。
単純に文字が入っているだけだから機能を載せようと思ったら別で機能を載せないといけないか。
そうですね。本当にUIだけですね。
それを例えば10秒10秒にしたいと言ってもなかなか。
そうですね。
SSAIも本当に微小差分。ここを15秒と30秒ですけど15秒と15秒にしてくださいみたいなのをチャットで言うと、
SSAIにとってそれがどこまでのスコープなのかっていうのがあんまり分からなくて、余計なところまで変えられないっていうのがあるので、あんまり細かいところまでこのデザインツールで詰めすぎると逆に手戻りが大きくなると思います。
ざっくり作ってあんだしですでやって、その清書は人間がやるなり別で調整するなりがやっぱりやった方が効率的ってことね。
そうですね。その辺の考え方は従来のUIデザイン系のツールと開発者というかエンジニアに渡すときのやり方とそんなに差がないんじゃないかなって気はしますけど。
作り方による気がしますけど、それはそうですね。
はい、こんな感じですかね。
そうですね。ということで、こういうツールが出てきたってことは当然いろんな分野でこれくらい特化したものっていうのが徐々に開発されていくと思いますし、
各社ね、去年度くらいまでだととりあえず自分たちのところに性性愛入れてみたっていうところがあったと思うので、
それがさらに洗練されてくればここまで確かに性性愛がうまくその仕事のスタイルも含めて組み込まれてるなって見える世界まで来ると思うので、
そういうのがリリースされたらぜひ身近なところでも体験してみてはどうでしょうかという紹介でした。
はい。
画面共有は戻してもらってありがたいです。
はい、戻しました。
BunのAIによるZig→Rustへの大規模移植
じゃあ次の話、ちょっと残り2件私からしゃべる話。
ちょっとソフトウェア的にテクニカルなので、ついてこれなかったらいろいろ質問してもらっていいんですけれども。
一つ目がBURNが6日でラストにかけ変わった件ということで禅の記事です。
まずこのBURNって何やねんっていう話からなんですけれども、
BURNはJavaScriptをそのまま動かせるようにするツールです。
JavaScriptっていうプログラミング言語はブラウザ上でよく動いているものになっていて、
先ほどUI部分しかないですねっていうのをクロードデザインのところで話してたと思うんですが、
再生ボタンを押したらこんな風に振る舞ってくださいとか、
シークバーを動かしたらこんな風に動いてくださいとか、
そういったところのロジックを組み込むのがJavaScriptというプログラミング言語になるんですけれども、
基本的にブラウザで動くように設計されている関係上、
そのままでは簡単には自分のパソコン上で動くプログラミング言語ではないというものです。
ただ、そういったプログラミング言語であっても、
今は非常に様々なライブラリーがあって、
JavaScriptだけで動かして処理したいってこともかなり多くあります。
そういった中でそういったJavaScriptを動かせる環境としてBURNっていうのが出てきています。
有名なところだと、先ほども出てきたクロードデザインのバックエンド、裏側ですね、
のところもこういったBURNで動いていたりというところで、
最近注目されだしているというツールになります。
なので、世の中的にはかなり多くの利用者がいて、
影響範囲もかなり大きいフレームワークなんですけれども、
これのソースコードっていうのが、
もともと別のプログラム言語で書かれていたんですけれども、
ラストという別の言語に6以下で置き換わったということで、
衝撃が走っているというニュースになっています。
やられたこととしては、もともと70万行くらいだった別のプログラミング言語のものを、
ラストという言語に置き換えようという試みで、
実際取り込まれましたようなものです。
これがすごい衝撃になっているのは、
約96万行の行動っていうのを取り込んだ以上は、
何かしら品質をチェックされて取り込むっていうのが、
基本的なソフトウェア開発の考え方になるはずなんですが、
そこが無視されているといったところで、
AIにおける開発とは何ぞやっていうのが、
改めていろんな人が考え出している状態になっています。
率直に言って、この100万行、誰もレビューしてないっていうのがあります。
100万行あるので、仮に1行レビューしたとしても、
100万行は11.5日かかりますと。
現実的なレビュー時間で言うと、
60行あたり1時間っていうのが現実的だという統計もあるので、
100万行っていうのは大体2年くらいかかるような、
そういった物理量なんですけれども、
6日で生成されて5日で取り込んだというくらいの短時間になっています。
これで一番考えさせられているのは、
それを取り込んでよいと判断したことが一番のポイントになっています。
そもそも何でこんな活動をすることになったのかなんですけれども、
実際このBurnというフレームワークで、
実際いろんなところで疲れ出したときに、
ちょっと大きな不具合があって、
メモリリークみたいなことが起きて、
利用者のメモリを食いつぶして、
エラになって落ちるっていったような状態になっていて、
このメモリリーク問題を解決しなきゃいけなかったという話と、
今現在のBurnに書かれていたプログラミング言語っていうのが、
開発者が少なすぎて維持できないと。
新しい人が入ってきても、
何そのプログラミング言語っていう状態になっちゃってた。
最後がそのプログラミング言語の開発元が、
生成AIによる開発は全拒否っていう扱いになっていて、
この生成AI時代に開発スピードを保てないっていう課題があって、
このラストというのに置き換えることになりました。
ラストっていうのは、
世間一般に言うと、
パフォーマンスと安全性の面で非常に優位であるという言語になっていて、
アメリカだったか日本だったかちょっと忘れましたけど、
政府機関系のプログラミング言語は、
ラストで統一せよというような、
お達しが通達が出るくらいの、
ちゃんと安全性の確保されたプログラミング言語になっています。
なのでこのラストに置き換えることによって、
そういった安全性とか不具合、
今致命的になっている不具合が出なくなるんじゃないかという期待も込めて、
ラストに置き換わっているというところなんですけど、
現実を見るとですね、
生成AIに単に置き換えさせただけ、
プラスアルファ、そのラストのチェック機構というのをスキップする、
unsafeというタグがあるんですけれども、
それが大量に入っていて、
結局そのラストというプログラミング言語で、
守ろうとしている安全性というのが全然確保されないと。
元々のプログラミング言語も新しいプログラミング言語も、
速度の面ではそんなに差のない言語比較になっているので、
別にパフォーマンスが良くなっていないというところで、
大きく変換されたとはいえ、
元々の課題感3つというのが本当に解決したのかというのが、
まだ疑問が残っている状態だし、
むしろこの変更によって、
未知の幕を大量に取り込んでしまっただけじゃないか、
というような懐疑的なことも非常に、
いろんなコミュニティで言われている状態です。
ここでいろんなエンジニアが考え出しているポイントとしては、
これが生成AIを使って開発するということにおける極地みたいな扱いになっていて、
人の作業を手伝うというわけじゃなくて、
今あるソフトウェアとか新しいものを作っていく上で、
生成AIに全部任せて、
それの最後の責任だけ取るというような扱いなんですけど、
人間には絶対責任を取れないだろうという物流に対して、
どういう判断でその作業を進めていくのか、
それが生成AIをどこまで信用しても、
不具合があったとしても後で解決できるというレベルに落とし込めているのか、
その辺の判断や考え方、基準というのが今後は大きく変わってくるんじゃなかろうかという問いかけになっていて、
この場で紹介したかったなと思っての内容です。
はい、そうですね。
最後の問いに関しては製品によるんじゃないという気がすごいしますが、
流れとしてはこのBURNというソフトウェアのJIGという言語が、
ちょっと使いづらかったからラストに変えたいという背景があった。
そこに対してアンソロピックが持っているアプリケーションなので、
AIにやらせればいいじゃんっつって全部AIにやらせたと。
ちょっとこのBURN自体の重要性とか社会的影響度が測りかねているんですけど、
許容できるんだったらやればいいんじゃないかなっていう感じで思っていて、
どんどんやればいいんじゃないかなと思っています。
そうですね。BURNの社会的影響度で言うと、
世界のITエンジニアのうち2、3割の環境には入っているんじゃないかなくらい。
でもどうなんだろうな。
その状況でメモリーリークが起こってて大問題になってたんですね。
それに対してラストで書き換えた。
結局メモリーリークがなくなったかどうかわかんない。
わかんない。そうですね。
ただメモリーリークの原因は元々わかっていて、
JIGという元々の言語仕様によって発生しやすい状態になった。
ごめんなさい。言い方が悪いわ。
元々のJIGのプログラミング言語構造的に起きていた。
起こすことができるところで起きていた。
そうそうそう。
ラストは作り的にそういうことがならないようになっているので、
原理的にはより発生しえない。
そう、そういうじゃないですよね。正しい解釈。
アンセーフでチェックを無視しているので、
無理くり発生するかもしれない。
そう、先ほど言ったラストで担保されているっていうのは、
ラストというプログラミング言語がコンパイルするプログラミング言語なんですね。
なので実行する時にはラストのランタイムでプログラミング言語をビルドして、
出来上がった実行結果のバイナリを動かすんですが、
そのコンパイルという作業の時点でメモリリークが起きそうな実装というのが
1個でも見つかるとそこでNGになってビルドが止まるっていう
すごいきつい制約のある言語なんです。
ただそのきつい制約だと現実的に開発が進まなかったりとか、
実装アーキテクチャや過読性の観点でどうしても回避せざるを得ないみたいなケースが
少なからず生じるので、その時だけ使っていいよというのがアンセーフというタグです。
ただ今回の変換ではそのアンセーフっていうのが
1万3000箇所っていうくらいになっていて、
かなり多くのところがアンセーフで逃げちゃっているっていう状態。
はい。
まあ、経済的合理性が得られるんだったらいいんじゃないっていう気はしていて、
今、顧客に対して問題が発生していて炎上している状態じゃないですか。
それを抑え込めるんだったら全然アリなんじゃないかなと思ってます。
多分5日で全部コードチェックできないじゃんっていう回言ってましたけど、
それは当たり前で、おそらく妄想ですけど、
典型的にジグバンでメモリリーク発生していたっていうテストだけやって通ったんじゃないと思っていて、
私もそんな気がしますね。
今起こっている問題にとりあえず臭いものに蓋ができるから、
これをリリースしたんじゃないかなと思ってます。
そうですね。
もともと用意されていた単体テストとかも、
99.8%をちゃんとパスしたからっていうのも一応根拠の一つにはなっているけど、
本質的には当然さんが言ったところだと思います。
その結果として、バンが今後とも使っていけばいいかなと思っているんだったら、
アリなんじゃないかなという気はします。
そうですね。
アンセーフは地雷ではあるんだけど、爆発しない地雷の可能性もあるので一概に言えない。
その通り。
開発者が胃が痛くなるだけで、
問題が発生した時にラストは人口が多いから、
トゥーズーも多くて、その問題を素早く解決できる。
体制を整えていれば結果的にジグで一つの問題に1週間かけているとかよりも、
ラストで1日で解決しました。
パッチ当てれた方が商品価値は上がると思っていて、
おっしゃる通り。
であれば1万3000のアンセーフは別にそこまで影響度は大きくないのではないかという気がします。
その受け止めはもうこのバンの開発者の意図を正しく組んでいると思います。
なので、別にどんどんやればいいんじゃないのという気がします。
先ほど途中に言っていた、エンジニアがうっすら胃が痛くなるというか、
自分たちがハンドリングしきれない領域が急に広がったように感じるというあたりが多分、
このニュースを受けたエンジニアたちの気持ちというか、
その示唆になっている部分だと思っていて、
多分ここは過渡期としてみんなそういう状態に一時的になりつつ、
慣れていってそれが当たり前になっていく最初の変化点なんだろうなというのが感じたところですかね。
そこだと思っていて、人間慣れる生き物なので、
何ならオープンソースとかも招待しれないというのはオープンソースを使っていない側の人の意見なんだけど、
招待しれないようなものを使っているのも慣れているわけじゃないですか、伝統的に。
もはや伝統的と言えるぐらいの時間を積み重ねて慣れている。
そういう意味で別に問題ないんじゃないという気はします。
そうですね。
多分非エンジニアというかソフトウェア開発から離れた人から見ると、
おっしゃる通りでオープンソースを使うのも、
会社の中にある誰かが作ったライブラリーを使うのも、
同程度にハンドリングできなくねっていう話だと思います。
ハンドリングもあるし、責任の取り方かな。
最終的に自社が使ったから自社が責任を取ればいいという話ではあるか。
それが社会的、企業の社会的影響を及ぼさないレベルだったらいいかな。
多分それが原因で支障者がポコポコ出るとかいうと、
なんでそんなものを使ってるんじゃって言われてしまうので、
それが出ないように自社の責任範囲で使うという領域であれば問題ないかなとは思いますね。
そうですね。
そういう意味だと今、例に挙げてもらったOSSっていう世界と同じ歴史をたどるとすると面白いところがあって、
オープンソース界隈が流行り出してきた頃っていうのは、
オープンソースを採用した企業が全ての責任を取らなければならないので、
オープンソースに含まれている不具合やそれに変なものが含まれていた場合は、
その企業が責任を持って全部直さなきゃいけないので、
オープンソースのソースコードの中身を回収して、
オープンソース本家と分離してでも独自のOSSにローカル状になってしまったとしても、
そういう対応を行って回収しきってリリースするっていうのが、
オープンソースの最初の使われ方だったんですけれども、
今は下手にそれをやると脆弱な部分が残りすぎて、
そこがむしろセキュリティーインシデントになりかねないというところで、
オープンソースをそのまま使うことこそが、
最も企業にとって責任を取れる状態になるっていうことが言われていたのが5,6年前。
最新になってみると、
そうすると最新のオープンソースに対してのサイバー攻撃がすごく盛んになって、
サプライチェーンアタックになりましたと。
オープンソースを攻撃してしまえば、それを利用している全ての企業を攻撃できるっていうことになって、
オープンソースの安全性担保っていうのを社会的にどう作るかっていうのが議論されだしているのが今っていう感じです。
なので、だいぶその責任の位置とか考え方っていうのが、
成熟度とともにどんどん一企業から社会的な問題に大きく変わっていったっていうのがあるんですけれども、
生成AIも多分そういう形で変遷していくんだろうなっていうのが今聞いて思ったことですね。
そうですね。
それでいうと、どうなるんだ。
生成AIを使った時の未来として、
今はオープンソースの最初と一緒で、
拒否感があるので、生成AIを使うっていうのは、
企業の責任で、最終的にはケツ持てよってなってる状態。
だから、生成されたものはすべてきっちり一行残らずレビューしなければならないし、
それによる不正が含まれた場合とかも考慮して、
生成AIのものを自分たちのものにちゃんと書き換えて、形作って、
それを安定化させるっていうのが各企業の責任になるっていうのが現在。
これが行き過ぎると、生成AIに対して人が手を入れた方が、
その人の手が入った部分こそ脆弱だったりとか、
不具合の混入箇所になるっていう世界観になって、
生成AIで使ったものに手を入れるな、自分たちが責任取れなくなるからと言われ出すのが次のステップ。
最終的にはその生成AIが作られる行動のアルゴリズムとか作られ方のところに
サイバー攻撃が入って、それをどう防ぐのかっていうのが課題になってくるっていう、そんな感じですかね。
第3ターンになった時に、じゃあどうするのっていう。
そこはオープンソースも今、答えがない状態になっちゃってるので、
オープンソース側で先に悩んでるから、そこでいい答えが出ればなって感じですかね。
オープンソースが一つじゃなければ複数のオープンソースでバグ出しをする。
でもそれはその第2ターンの成立性が結局下がるんだよなという。
オープンソースのテクステが、オープンソースAはこういうテクステで書くけど、オープンソースBはこういうテクステで書く。
そこでオープンソースBがダメじゃんっつってレビューした部分を修正したら、
オープンソースAのテクステの部分によってバグが発生するみたいな。
オープンソースも、昔は同じことを達成するオープンソースって乱立してたんですけど、
今はそういう社会的責任を求められるオープンソースになってきたからこそ、
余計なものはあんまり作らずに、似たようなものを作ってた開発者が
一つの、みんなが使っているもののコントリビューターになれみたいな、
同じ開発者になれみたいな、そういう状況になってきてて、
冗長性も少しずつ減っているんですよね。
あんまりちょっと良くない感じはしますけど、どうなんだろう。
例えば古いHTTPとかレガシーなものも、結局オープンソースで動いているというか、
いろんな技術スタックの塊なわけなので、ITのシステムっていうのは。
ただそこのレイヤーには当然古いものをいっぱい組み込んで、
最終的な最新の技術スタックになっているという観点から、
どこにでも入っているHTTP通信ライブラリーみたいなものっていうのは、
複数のところで開発する余地がないんですよね。
今だとアパッチが頑張って責任を持って保守し続けているみたいになってるんですけど。
なので、だんだん時代とともにそういう扱いのものが増えてくるんじゃないかなという感じですかね。
増えていっても、それこそでもAIが3日で作り直してくれましたっていうレベルになれば、
それを使い続けなくていい未来になるのでは?という気もしますね。
だからそれはもう、さっき言った生成AIがステップ2まで来た時ですよね。
人が手を入れるくらいだったら、生成AIが作ったものをそのまま信用した方がマシな世界まで来ると、
おそらくそれが当たり前のように進むと思いますね。
ステップ3まで来た時に、真にこのメーカーしかいないという状況になったら、
攻撃者側もそのメーカー性を使うので、出せる手札が同じになって、
あとはだから、いかに早くパッチを当てるか。
自分で脆弱性を見つけて自分がそこを塞ぎにいくという行動をすれば、
理論上、ゼロで攻撃は発生するけど、被害はそこまで長引かない。
被害が小さいとは言わないが、被害が長引かないのかな?
もう正直、一企業からすると、末端企業からすると、
その攻撃を自社が受けないくらいまで時間が短ければいいという話には正直なるので、
まあまあそういう話になってくるのかなと思いますけど、
これを行き詰めると、いわゆるSF的な、
AIだけが動き続けるネットワーク空間でお互いに攻撃し合っている環境があって、
そこから漏れ出たものだけを私たちが使っているという、
めちゃくちゃSFチックな話になってくるんですけどね。
まあ、電力を無駄遣いしそうな未来ですね、という感じがありますけど。
間違いないね。
まあまあ、でもこれはそういう話が、今みたいな話ができるくらい、
かなり強さに富んだ大きな試みだったので、共有したかったです。
はい。
次は、実際に今話に出たオープンソースに対してセキュリティのアタックを受けた話の中でも、
TanStackのnpm侵害とセキュリティ強化対策
かなり面白い攻撃手法の内容があったので、さらっと紹介だけしようかなと。
こっちはもう短く終わろうかなと思います。
Turnstackというオープンソースのもので、
Hardening Turnstack After the NPM Compromiseという記事になっています。
英語は当然のごとく読めないので、Google翻訳したものでしゃべりますけれども、
NPM侵害後のTurnstackの強化という内容です。
何があったかというとですね、
結構セキュリティについてかなり気にしていた最新のITエンジニアたちがかき集まったチームで、
オープンソースにマルウェアが混入してしまったというところで、
それが公式のものとしてリリースされてしまいました。
ごめんなさいというところの記事です。
それの再発防止策とか、何で混入したのかというのがバーッと書かれているんですが、
結構最新のものに対して攻撃が通ったということで、
面白い内容になっていたので紹介です。
結論から言うとですね、リリース者とか開発者に一切の問題点はなかったです。
GitHubというプラットフォームで開発している上で、
特定のアクションが脆弱な侵入経路になり得たということが今回の問題になっているんですけれども、
GitHubで公開しているリポジトリには面白い機能があってですね、
フォークという機能があります。
これどういうものかというと、オープンソースソフトウェアを公開しているときに、
そのソフトウェアを自分のリポジトリとしてコピーして持ってくるという機能があります。
何でこんな機能が必要かというとですね、
公開されているオープンソースに直接第三者の人が勝手に更新しましたとか、
そんな権限を与えるわけにもいかないですし、
開発チームの邪魔をしてですね、いっぱいチケットみたいなのを起票したり、
こんな変更どう、こんな変更どうって投げつけたりみたいなことをやられたら非常に困ってしまうので、
オープンソース界隈の文化として、
オープンソースの本体のソフトウェアについては公式の開発チームだけがアサインされて、
そこで粛々と開発をしていますと。
その利用者も気づいた不具合とか、こうしたらどうみたいなのを提案できる機能として、
フォークとプルリクエストというのがあります。
このフォークされた誰か個人のソフトウェアからこんな変更どうっていうプルリクエストを投げると、
そのプルリクエストとして他の人がこんな変更をやってみたようですっていう、
その結果というか、実際のソースコードには全然反映されずに、
こんな変更がどうかっていう提案が来てますよっていうことだけが本家の方に通知がされて、
本家の方ではそれを見て本当に良さそうだったらそれを取り込んで、
利用者からのフィードバックをもう本当にソフトウェアのコード修正という形で受け取れるという機能になっています。
これによって本家の開発チームというのが邪魔されずに、
多くの人がその同じソフトウェアをより良いものにしていけるというオープンソース文化を促進する機能としてGitHubが提供しているものです。
これ自体は全然問題なかったんですが、
このプルリクエストというソフトウェアをこういうふうに変更してくれっていうリクエストを送った際に、
様々なチェック機能というのが動かせるようになっています。
例えばそのソフトウェアの変更で従来通っていたテストが通らなくなるんじゃないかということでテストを実行させたりとか、
そのリクエストが正しい方法でリクエストできているか、
こういうことをチェックしましたとか、こういう書き方にしました、こういう調査をしました、こういう影響を見ましたとか、
そういうことをちゃんとやりましたかっていうのを自動でチェックする仕掛けとか、
そういうことをプルリクエストのタイミングで実行させられるという機能があります。
この機能を実行するにあたってはGitHubが提供している開発マシンみたいなのがあって、
そのマシン上で実際にスクリプトとかいろんなものがガリガリ動いてテストが通りましたとか、そういうことをやってくれます。
そこまでは全然良かったんですけれども、そのテストを毎回毎回やると非常に膨大な時間がかかるということで、
そのテストをどんどん効率化したい、早く終わらせたいというニーズがあるわけですが、
そのニーズを満たすためにはキャッシュ機能があります。
毎回新しい開発マシンで一通りの環境を構築し、そこからテストを始めるんじゃなくて、
開発環境、その開発マシンに以前準備した環境というのをキャッシュから取り戻してきて、
いきなりテストを始めるみたいなことをやることで最初のセットアップ時間というのを大幅に短縮できます。
このキャッシュを汚す形で攻撃するというのが今回の攻撃手法でした。
他の人がフォークしたリポジトリからそのキャッシュに余計なものを混じって実行させて、
かつそのキャッシュをクリアするようなプルリクエストというのを発行します。
そのプルリクエストを発行してそのジョブさえ走ってしまえば、
そこでそのプルリクエストを閉じて開発チームにほぼ気づかれない形で、
その開発マシンがキャッシュを置き換え直すというアクションだけを行わせて、
そっと決して何事もなかったような顔をします。
その後、そのキャッシュが汚された状態で通常の開発行為を行われると、
正式なリリースプロセスの中に間違ったキャッシュデータ、
マルウェアが組まれたキャッシュデータを使ったリリースバイナリーができて、
それが公開されてしまったということになっていました。
かなりテクニカルなGitHubの仕様とかを非常に細かく知ってないとできないような攻撃手法ではあるんですが、
サプライチェーン攻撃の一つにはなってきていますし、
オープンソースの文化とかそういう考え方をついたような攻撃になってきており、
世の中に公開されているオープンソースというのが、
ますますいろんなサイバー攻撃の対象になっているということを明らかにするような事例だったので紹介しました。
はい、なかなか面白いですね。
機能をよく知っていないといけない。
攻撃者はすごい勉強していますね。
めちゃくちゃ勉強していますね。
たぶんこれ、最近の生成AIの攻撃ですらないと思うな。
これ気づけないと思う、生成AIでも。
あとそのキャッシュ、難しいな。
キャッシュに紛れ込ませて、それがキャッシュがないで動作したことを消すということができてしまうのも、
ちょっと原因の一つではあると思うんですけど、
そうしなかったらしなかったで、
乱雑なキャッシュが発生して家族性が下がるとかそういうこともあるでしょうし、
うーん、うーんって感じはありますね。
暫定対策としてはその外部から登るリクエストで、
そういう機能がもう動かないように完全停止させるというのと、
そういうキャッシュをむやみに信用するといったところをやめるというので、
とりあえず回避策は取りましたということなんですけど、
まあここの中で言われているのは、
従来のオープンソース文化を止めてでもセキュリティに寄せざるを得ない、
みたいな判断には正直になってしまうので、
これをどうしていくかというのはGitHubサポートともちょっと連携して、
ちゃんと考えていきたいですという話をしている感じですね。
そうですね。まあイタチごっこにはなると思うんであれですけど、
対策をしていくことは大切ですし、
あんまり、だからといってこういう便利な機能を消し続けるとね、
なんていうのかな、おじいさんのプログラミングになってしまうので。
そう。これを完全に制限すると誰からも指示を得られない。
便利だから。
そう。開発チームがもう見なければ誰もアップデートしないオープンソースにしかならないので、
そうはしたくないですっていうのはこの人たちのブログでもすごく強調している部分ですね。
今回これくらいの詳細なレポートを出してくれていることは本当に社会貢献として素晴らしいので、
せっかくだからここでも共有でしたね。
はい。
はい。
じゃあ私の方はこれで以上です。
53年ぶり有人月周回飛行成功とアルテミス計画
はい。じゃあ最後です。ちょっと時間なくなっちゃったので駆け足でいきます。
サイエンスポータルさんの記事で、
53年ぶり友人月周回に成功アルテミス計画4飛行士が無事に帰還というタイトルになります。
はい。
世界の希望を月に運んだ米国とカナダの飛行士4人を乗せた米宇宙船オリオンが月上空を周回し地球に無事帰還した。
友人月周回はアポロ計画で最後の月面着陸だった1972年12月のアポロ17号以来実に53年ぶりで、
人類到達の最遠方記録を更新する歴史的な一歩となった。
今回は米首都の国際月探査アルテミス計画の試験移行アルテミスⅡで、
2028年には友人月面着陸を目指す。
その後、日本人が月面着陸することで日米が越えずみだ。
米航空宇宙局NASAは月面基地建設に注力し、
上空の周回基地建設を休止するとの大幅な計画変更を発表しているという感じです。
カイツマンで話すとオリオンという友人モジュール宇宙船が作られて、
打ち上げられて月周回してましたよという感じ。
前半はアポロ計画との比較となってまして、
アポロ計画に比較しても大きめになってますね、宇宙船が。
九重空間が9.3立方メートル4人乗り、アポロに比べ60%拡大しました。
なんとちゃんとトイレもあるという。
あれなんか壊れてませんでした?
壊れてたんですけど、いろいろあってちゃんと直せたんで、
というところがありましたという感じなんですけど、
そういう感じでいっぱいアップデートされてますという感じ。
ただトイレ壊れ問題もあるとおり、
一発目に人間を乗せて月に着陸してしまって、
万が一飛び立てなくなったりしてしまったらちょっと危ないというので、
今回は月周回軌道という感じにしました。
月周回軌道にすることで、その軌道に乗ってさえいれば最悪何かが壊れて、
それ以上動けなくなっても勝手に地球の近くまで帰ってくれるので、
より安全であろうという目的があっての月周回軌道になりますね。
先ほどもあったとおり、人類の最遠方記録をちょっと更新しました。
正確に言うとアポロ13号が40万170キロ。
これはもともと計画されていたものではなくて、
いろいろちょっとアポロ13号で問題があって最終的に達成した記録なんですけれども、
それを今回人類が初めて明示的に更新したという感じ。
どこまでいったかというと40万6770キロなんで、
1%ちょいぐらいかなという感じではありますけど、
せっかくなんで記録を更新しましたという感じです。
今後の計画についてですね。
アルテミス計画について詳しく書かれております。
読み上げるとアルテミス計画は米国が国際宇宙ステーションに続く大規模な国際宇宙探査として主導。
1972年のアポロ17号以来となる有人月面着陸を目指す。
月面や月上空に建設する基地を拠点に探査や実験をして将来の火星探査も視野に技術実証を進める。
日本は2019年に参画を決定。
欧州やカナダも参画しているという感じだったんですけども、
先ほどのオリオンを打ち上げるまでにいろいろあった計画が遅延に遅延しておりました。
そもそも中国を横目に見てアメリカが中国より早くやるぞという感じだったんですけども、
ちょっと現実的じゃないタイムラインの引き方になってきたねということで根を挙げた形ですね。
結果としてフェーズが分割されました。
今まではすぐ月面着陸をする予定だったんですけども、
これがフェーズ分割されて月面着陸がアルテミス4ですね。
1個中間を挟んでもう一段階先でやるという感じになる予定です。
間には何が入ってくるかというと月面…月面じゃないな。
月軌道上だったかな。
で一旦止まるという。
今回みたいに弾道飛行するんじゃなくて1回月上空で止まって活動できる状態っていうのをいろいろ確かめてみてから、
それプラス着陸するという段階を増やしましたという感じです。
現実的だったんじゃないかなという意識者からは声が上がってますけど、
その煽りを受けて先ほど言ってた月面軌道基地みたいな大きいものを作るっていうのがなくなっちゃいましたというところ。
基本的には安全を取った形の話なんですよね。
たぶんいきなり人を月に降ろしても降ろした後その人を返してこれないみたいになりかねないから、
まずはそこを安定的に狙えるための試験をアルテミス3としてやりたいみたいな話だと今聞いて思ってたんですけどあってますかね。
だいたいあってますね。
ただそもそもアルテミス3で一気に全部月面上空基地を作って着陸もするっていう感じだったので、
そういう意味では計画が縮小された上で細分化されたと言った方が正しいんじゃないかな。
なるほど。それだけいくとちょっとそこ頑張れなかったのを悔やまれるなーって感じもしちゃうね。
まあまあまあ、理想としてはそれくらい盛り盛りで考えてたけどやっぱ無理そうですっていう話ですよね。
コストの問題とかもいろいろありますからね。
そこまで細分化してなお遅れるっていう話ですもんね、これ。
まあまあしょうがないというか、そんなに簡単な話ではないっていうのはその通りだと思うので。
そうですねという感じで、それに対して日本としての影響なんですけども、
日本は結構ゲートウェイに力を入れてました。
今回見送られた方でしょ。
今回見送られた方。
90億のセミュリティ装置とか補給機とかですね、今でもISISでやってますけど、
能力があるのでそれを横転してやるって言ってたんですけど、
それが無くなっちゃった、事実上無くなっちゃったので、
そこの技術協力が無くなっちゃいました。
ただ先ほども言ってた通り、
日本人が月面着陸できるっていう契約はまだ残っているらしいですし、
トヨタが開発している月面油圧単車さんも今のところタイムラインには乗ってるので、
ちょっと使われる予定です。
むしろ何か他国の月面基地が無くなったはずなので、
これがメインの月面の活動者、唯一の活動者になるのではないかみたいな話もあったりした気がするます。
ちょっとソースが出てこないです。
あれですね、トヨタがやってたやつってキャンピングカーというかトラックみたいなやつで、
後ろに実際人が住めるみたいな。
そうそう、そんな感じのやつです。
ニュースで見てどうやってこれ持っていくねみたいに見ながら思ってた気がします。
ちょっともう記憶が定かじゃないですけど。
あれはマスクさんのスペースX打ち上げてるどでかいやつで持っていくという予定なんですけど、
それもちゃんとあの図体で着陸できるのかみたいな問題もあったりするので、
予定通りに進むかどうかはちょっと分からないですね。
そもそもあれですよね、月面探査車とかその月面に着陸した者たちってあそこまでの重量物ってまだ実績ないですよね。
基本的にかなり軽量なものを中に抱え込んだものが月面着陸してるようなイメージがあるんですけど。
探査機の、アポロの探査機の重量はちょっと知らないのであれなんですけど。
どうですかね。
石材物としてはあそこまでの重量物ないんじゃないの?
見た目はでかい。見た目はでかい。
だけで中身が意外と詰まってないと軽い可能性もある。
ちょっと分かんないですね。
ちょっとそうですね、やりたいけど月面着陸についてはまだまだ実績不足なものが多く残ってると思うので、
さらに遅れていっても不思議ではないかなと思いつつって感じですね。
そうですね。
なるほど。まだまだ日本もかめてるところがあるってことなんで、それは良かったなと思います。
はい。そんな感じです。
じゃあ今回はこんなもんすかね。
はい。じゃあ。
ありがとうございました。
はい、ありがとうございました。
