ライブの話と廃車処理
こんばんは、Replay.fm第56回です。 え、こんばんは。
はい。 喉が
ちょっとだけ枯れてます。 なんで?
ライブか。 昨日、そう、昨日ね、ライブに行ったんだよ。
私は、西予市の。 うん。
な、な、な、なの? 西予市か、はいはいはい。
Botographyっていう、そう、西予市。 京都出身のバンドなんだけど、京都の
あの、出身ライブハウスというところの
なんか、あの、毎年10月6日はそのメモリアルデーなんですけど。 へー。
そう、劇圧ライブに行って喉を枯らしてきてたの。今日、低めの声で送るか、お送りするかもしれませんっていう。
頑張ってください。
ははははは。
西予市は昨日何してたの? 僕、僕は昨日、この間潰してしまった車の、なんか、車をバラす作業の、ちょっと。
ははははは。
それもまたロックだね。バラ、バラす?自分でバラすの?
なんか、ま、人捨てに、今、なんか、某所に動かしてもらってて、で、なんかそこでいろいろバラしてもらって。
なるほどね。あれか、部品回収するための。 そうそうそうそう。
あー。
エンジン下ろして、なんか、ま、男3人いたけど、3人でエンジン運んで。
やべえな。 面白かった。
やべえ世界だな。面白そうではある。 うん。
へー。 ちょっと背筋に来て、いい運動だった。
あの、なんか、廃車、なんか、取れるもの取って廃車にするってこと? そうそうそうそう。
廃車にしたことないからどういう手続きが全然分かんない。
あー、廃車はなんか、あの、永久抹消っていう手続きがあって、まあ永久抹消は通称なんだけど、なんか、
はいはい。 もうこれは行動、走りませんよっていう、なんか。
あー。 手続きがある。
なるほどね。 うん。
で、どっかになんか、お金払って壮大ごみ的なノリで。 あーそうそうそうそう。
まあお金はもらえるんだけどね、むしろ。 その、手つくず代金として。
あ、そうなんだ。 うん。
へー、おもろ。
あんだけの出草になると、利益出ちゃうんだね。 そう。
むしろ。
利益、まあ利益、まあそうね、手つくず代金がもらえるからね。 利益、まあそうね、手つくず代金がもらえるからね。
その、回収払う側からも、なんか、
あ、なんか、おだちもらう側にもLINEがあるんだなと、知らなかった普通に。
なるほどね、お疲れ様でした。 はい。
お互いボロボロの体でやりましょうということで。 はい。
コニファーさんのブログの考察
ボロボロの体の割に、まあフトピープ込めって感じですけど、じゃあ1個目お願いしてもいいですか。
はい。えー、単なる自分の実力不足を組織で解決するべき大きな問題と捉えていないか。
えー、我らがコニファーさんのブログで。
なんか、ようやくするとどういう話なのかな。
こう、なんて言ったらいいんだろうな、まあタイトル通りなんだけど、その、まあいいソートルだよな、その。
タイトルでもう完全に終わってるんだけど、なんか、その、まあなんか問題があったときに、
あったときにその、なんて言ってるんだろうな、まあ、その、組織的に改善するっていうのも正しいアプローチである一方、
その、なんかその問題を過度に重く捉えてないか、その、自分のなんか実力が足りてないから、
そのそれを、それが重く見えてるだけなんじゃないっていう、なんかそういうことがないっていう、まあ問題点ですね。
うんうんうん。
まあただ、で、えっと、まあコニファーさん自身もそういう認識のズレが、まあそういう経験が何度かあったっていうふうに書いてて、その、
今は、えっと何々するのに時間がかかるとか何々するのが難しいって言った表現で、
問題をこう認識してるときは要注意だと思っていてっていうふうに書いてくれてて、
なるほどなーと思いながら読みました。
うんうんうん。
なんか、どうでしたか?
まあなんか、この心地を持たない理由は全くねえなっていう感想だな、その、
まあ自分がこれに陥ることは、まあ自分もあるし、まあない、この経験ない人、まあどうだろうな、なんか気付かずに陥ってるパターンってある。
うん、経験のあるらしいと言うと、なんか、経験はみんな、まあ大体の人があるのかなと思うんだけど、
認識してるかどうかっていうのは結構壁があるかもね。
まあそうね。
その、なんか認識するための第一歩として、なんかこの心持ちを持つみたいなのは多分、
心持ちというか、なんか、まあ胸にこの記事を、この記事、まあこの記事のタイトルを刻んでおくというか、
まあそういうのは、やってもいいよなーってしみじみした気持ちかなー。
なんか純粋に、なんか、まあね、純粋に課題に対して向き合えていれば、そんなにこれが問題になるとも思わんのだけど、
うーん、なんか、ある種のその、なんていうか、枠を取っ払って考えましょうよっていう話なのかもね、もしかしたら。
枠っていうのは。
要はなんていうか、こう、ある種の規制関連にとらわれてしまってるわけじゃん、それって。
これは組織の問題だって。
でも組織の問題じゃない形で解決できる可能性もあるかもねっていう、その可能性を探る。
あー、確かにね。確かに。
その、一瞬と解決策を、その早々にセットにしないみたいなマインドは、今解釈したんだけど、それはなんかすごい大事かもねっていう気がした。
その状況、だからそこはほんと、まあ、変数次第だよね。
で、その変数のうちの一つに、自分の実力っていうのが間違いなくあるっていうのがあるから。
だから広く捉えると、まあその、この記事の、だとその、自分実力があるかないかで、まあ、ない時に組織の問題っていう流れ方をしてるけど、なんか、
まあ現実ではもうちょっと幅がある気もするね。
うん。
組織の課題と、まあなかなか、そうね、なんか表現がむずいけど、その組織の課題だよねと逃げてるのか、無意識にそうしてしまってるみたいなパターンもあるだろうし、
それ以外の、まあ、まんま具体的に思いつかないけど、いやー、なんか、まあでも、すごいちょっと筋肉志向だけど、
うん、いや、わかる。
気の持ちようとしては、その、なんだろうな、
自分でどうにか、ニヤトリ卵なんだけど、自分でどうにかできるようにした方が自分は幸せだし、
なんかそう思うと実力をつけなきゃいけない、みたいな。
そうね。
なんかニヤトリ卵ではないか、なんかシンプルに。
そう、そう、個人のマインドとしてはそういう気持ちはあるかなー。
うん、なんかその、なんだろうな、なんか、なぜか上手く言葉が出てこないんだけど、その、そうだねー、
課題、課題を解くとなった時に、自分ごとか、自分ごととしてどこまで捉えるかみたいな、その、
それなんか正解不正解があるっていうか、マインドセットだと僕は思ってるんだが、
そのマインドセットにおいて、なるべく広く捉えた方が結果的に自分が楽だよっていう気がする。
うーん。
している、しているっていうか、自分のためになるって感じ。
なんか、だからその、その、だから自分ごとの範囲が狭いのが悪いって訳じゃないけど、狭くすると、
まあその、そのラインより外は、まあこれは組織の問題だから組織でどうにかしてください、みたいな、
なんなることもあると思うし、まああるいは組織じゃなくて、まああなたのチームの問題だからなんとかしてくださいとか、
その、もう、わかんない、もっと言うと、まあこれも世の中の課題だからどうしようもないよ、みたいな、なんか線の引き方ってできる気がしてて。
うーん。
それはまあ悪いとは思わないけど、まあいろんな、だから課税というかさっき矢野さんが言ってくれたところのその、
枠みたいなところを自分で敷いてる、敷かない方が僕はいいかなって気はしていて、なんかそう、そういうものとして、なんかこの記事を読み直すと結構、
なんでしょうね、少し見方が変わったなって今思ってて、ちょっとペラペラしゃべっちゃったけど。
なんか一方で、その、
なんて言ったらいいんだろうな、結構、課題を発見する人と課題を解決する人が異なるケースとかって、なんか割と容易にチームの境界をまたぐから、
なんか、その時点で結構組織的な課題になりがちだなって、その、なんて言ったらいいんだろうな、アプローチがさ、なんか、こう、
チーム間、組織間のコミュニケーションになりがちというか、なんかそうすると結構組織的な課題になりがちだなっていうふうに思ってて。
うーん。
なんか、こう、過度にその、この、なんて言ったらいいんだろうな、その、自分の実力不足みたいな考え方に寄りすぎるのも、それはそれで危ういなっていう気もするっていう、なんかその、なんとも言えないジレンマというか。
うーん、まあ、そうね、なんかその辺の差し加減は結構、正解ないというか、正解わかんねえなって気持ちがあるなあ、なんか、
課題解決のアプローチ
僕の場合は、なんか、今言ったパターンがわかるという思いつつ、そこでもあえて自分の実力不足として、なんか、自分の中では整理しておくみたいなことはやることあるなって気がして、それは、なんだろうな。
自分がどう、どのスキルを身につけたら、じゃあこれを裁けたんだっけとか、なんかそれをある種、自己認識するために内々ではそういうふうに成しつつ、まあ実体の行動としては、まあすまんやけど、これはまあちょっと組織で解決せんかみたいな動きを取るみたいな、まあ全然あるなあって気はするのと、また、組織的、組織的な課題、そうだねえ、組織的な、うーん、組織的な課題って何?っていうなっちゃう。
それはね、ちょっと思った。
それと同時に崩壊した。
うーん。
なんかまあ、課題は課題で、その、まあまあ、どう解くかの話って思うとまあ、そこはシンプルだし、うーん、ちょっとなんか迷子になりそうになってきたなあ。
ははは。
元、元岸、そうだねえ。
唐突な迷子編。
いやあ、いま真之介先生のような表現で、YouTubeって問題を過剰に大きく認識してないから、うーん、そうねえ、まあでも面白い実家誌の記事だなあ、別になんか何が課題かっていうよりかは、その、こういうことあるよねって感じで、そうだねえ、うーん、気がするねえ。
でもあずこ人としてやっぱ、でもあれなんだよなあ、その、どう筋肉をつけるかみたいな。
そうだね、それは間違いない。
なんか筋肉で解決できるんだったら、それが一番いいじゃんっていう。
うんうん。
その気の持ちをの一つとしてこの切り口があるっていうのはすごい。
うーん。
やっぱ自分の中ではやっぱそのセリが一番知ってくるなあ。
うーん。
いやあ、絶妙だよねえ。
そうだねえ、絶妙だねえ。
うーん。
いやでもいいね、なんかこの言語化するの大事だよね、その無意識に持っているものでもやっぱ言語化しておくことで、
うん。
引き出しの、引き出しに綺麗に抑え直せる感が。
ああ、そうそうそう。
ある。
いざという時にね、引き出せると。
間違いない。
うん。
そうなんだよねえ。
なんか言語化いいよなあ。
言語化っていいよねえ、言語化する言語化.fmをお待ちしてます。
あははは。
来そうに帰って。
はい。
じゃあゲストで来てから。
ゲスト、いいけど。
いろんな言語化を話したいなあ。
なんか結構さあ、そのオフトピもオフトピになるけど、なんかその車遊びが趣味で、最近またボルダリングも再開したんだけど、
うん。
ボルダリングにしても、車の運転にしても結構物理なんですよ。
うんうんうん。
物理であり、体の使い方であり、
うん。
ある種の自分の感覚みたいな、人に正確に伝えることができないような要因のものもあったり。
その要はさ、リアタイヤのグリップ感みたいなのさ、結構感覚寄りの話だからさ、例えばだけど。
うんうん。
なんかめっちゃ説明しづらい。
うんうん。
なんかこうなったらこうなんだよみたいなのを、なんかはっきりと説明できる世界ではないわけじゃん。
うん。
っていう中でやっぱこう結構自分にしっくりくる言語化をする、例えばだけど誰かそのボルダリングにしても運転にしても、
上手な人、その道のその上の方の上積みの方の人たちのなんていうかこう、説明とか解説とかをこう見たり聞いたりしてる中で、
自分にしっくりくる言語化とそうでない言語化とかあったりとか、
あ、この人言語化上手だなとか、この人はなんかちょっと自分にはあんまりこうピンとこない言語化だなみたいな、
なんかある日はもう完全に感覚を感覚のまま喋ってて、なんか全然言語化というところまで行ってないなみたいな人とかも見たりするので、
なんか不思議だなーって思いながらやってるんだけど、なんか何の話だっけ、言語化っていいよねーの話だな。
いろんな言語化があるよねーという話で、なんかいろんな言語化の話ができます。
はい。
ありがとう。
何、どういう、何のどういう着地なのか。
いろんな言語化ができる話でした。
いろんな言語化してこうなって。
いろんな言語化の話が、いろんな言語化はごめんできないわ。いろんな言語化の話ができる話でした。
みたいな、はい。
ありがとうございます。じゃあ今日も頑張って言語化しましょう。
はい、頑張って言語化していきましょう。
はい、じゃあ次もお願いするか。
セキュリティ研修の新たなアプローチ
はい、ギムからエンタメ、漫画やポッドキャストへ届けるセキュリティ・プライバシー研修の裏側、メルカンの記事ですね。
なんか、どうでした?
うーん、なんか。
要約するには長いなと思ったけど。
詰まるところ、よくある退屈なセキュリティ研修を、エンタメ、そうだね、記事の言葉を借りる、タイトルの言葉を借りるとエンタメに昇華していくみたいな話と、それはなぜやるのかみたいな話だったのかなと。
超ざっくりさまでした。
そうですね、なんか個人的に気になったポイントいくつかメモってあるんだが、なるほどなーって一つ思ったし、そうだねって思ったのは、
メルカリになると多分2000人規模ですか、正確な人数はわかんないですけど、2000人規模の時間をもらうってなった時に、
e-learningでつまんない動画としましょう、例えば退屈なボロリングな動画を30分とか1時間見てもらってテスト解答するみたいな、
ある種義務感でやらなきゃいけないものに対して2000人分の時間をもらうのもったいないよねみたいな話があって、それはすごいめちゃくちゃ納得感だっていうのと、
どっかのラインにやっぱあるような気がしてて、例えば10人の時間もらうなら、別に10人の時間が安いって言いたいわけじゃないけど、
会社相対で見た時の、ある種の人件費とかコスパみたいな部分で、まあまあ、まあまあみたいな、
10人に対してめっちゃ頑張る要力もないみたいな話があるけど、2000人ってなってくると、結構その投資した時のリターンみたいな観点で見た時に、
なんかしっくりくるなって思ったのと、あとはコンテンツ生成にAIを使ってるみたいな話があって、それもすごいいいねっていう気がしてて、
漫画の生成をAIでやったとか、そういう言及があったんだけど、確かに。
うん、なるほどね、と思ったり、あとは教育の考え方で、みんなの水準を100に上げるんじゃなくて、水準がゼロの人をいかに減らせるかみたいな話もあって、
その考え方もいいよねみたいなところを思いつつ、結構個人的にはコンテの考え方みたいなところは納得感というかいいなっていう気持ちと、
まあ真似したい気持ちはありつつ、人数規模みたいなところのリターンと、人数がいたとてここにこんだけ頑張れる体制とか、
そうね。
なかなか頑張ってはいるよなっていう気はしていて、あとこれワンショットでやらないといいんだけど、たぶん毎年継続的にやっていくってなった時に、
回せるようなチームとか、仕組みとまでいかないんだろうけど、文化みたいなのとか継承して、維持していくってなると、
まあ割と体力いることでもあるなっていう気持ちもあつつ。
アメリカの研修事情と未来の展望
まあこの人は下からできてるっていうのはたぶんあると思う。なんかちょっと脳書にも書いてるけど、やる側も楽しめないとこれやれないような、いろんな意味で向き不向きがあるかなって思うね。
なんか俺はちょっとこういうの苦手だから、正直自分でやるかってやるかってやりたくないんだけど、正直ね。
彼ら彼ら彼女たちだからできてるっていうのはたぶんあるね。
2000人だとさすがにコスパ悪いかもしれないけどさ、例えば1万人とかになったらもはやその、なんかこの円溜めの道のプロを雇ってやってもいいくらいなのかな。
そうかもね。
その向き不向きみたいなところで言うと、なんかセキュリティマネジメント領域とかこのプライバシー領域をやっていて向いてる人の方が絶対少ない気がするなと思うと、なんか普通に現実的な実現方法ってそっちな気がするね。
そうかもしれない、確かに。それは間違いない。
まあでも安くはないだろうから、そこでそのコストに合う人数とかリターンとか。
まあでもなんか2000人まで行けばさ、何人か演劇やってました?みたいな人がいそうだよね。
まあそうね。
ちょっと時間もらってもいいですか?って全然ありな気もするが、会社によるか。
まあそれもそうですし、個人的にはどっちか見せ方とかの方が結構難しいだろうなって気がするな。
やっぱその、エンタメというかその、だからその義務感をいかに脱するかみたいなところ。
まあコンテンツの質を上げるみたいなところで言うと。
役者を揃えるとかアセットを揃えるは、まあそのね、どういう感じかと思うんだけど。
まあそれをどう使って、どういうコンテンツ作るかみたいな。
だからプロデュースみたいなところなのか。
そうだね。
まあ結構センスが取れるんじゃないかって気がする。
間違い。
なんか似たような取り組みやってるめっちゃでかい企業とかないのかな?
どこなんだろうね。
海外とかはさ、こういうのありそうじゃない?日本はなさそうな気がする。
あるかもね。
やってんのかな?
分からんけど。
分からんね。
なんかあんま表に出てこないじゃん、こういうの。
まあそれこそその新入社員向けの研修とかはさ、最近スライドとか出してくれる会社結構出てきたなと思うけど。
確かにね。
なんかISMSの用件のためのとかになっちゃうと結構カチカチになっちゃったりするとかもありそうだな。
普通に。
だからわざわざそもそも研修をやる会社が、
例えばセキュリティ認証以外の理由で研修をやる会社がそんなに多くない説とかは日本によってあったりするのかもね。
もしかしたら。
まあでもいい取り組みだなって。
アメリカにらしさもあるなって気がする。
そうだね。
もともと痛みとしては。
なんか漫画の生成とかは結構サクサクってたイメージがあるかもしれないね。
なんか漫画いけそうだね。
今得意そう。
まああとワンチャンなんか今そのソラ2が会話に言い合わせてるけど、動画も。
いやーでもちょっと動画はやだなー。
なんか生成への動画で研修疲れるのちょっとまだ気も引かないなー。
時代が追いつかないと。
時代に人が追いついてこないとまだ厳しそう。
ありがとうございます。
大変いい記事でした。
引き続き外からですけど応援してます。
応援してます。
じゃあ次私読もうかな。
ハッカーニュースの記事で
リサーチャーズディスクローズ グーグルジェミニアイフローサローウィング
プロンプトインジェクションアンドクラウドエクスプロイズという
何回目ではこれ系っていう感じですけど
ジェミニのプロンプトインジェクションの脆弱性に関する紹介記事を引っ張ってきました。
具体的には3つプロンプトインジェクションの脆弱性がありましたよっていう記事なんですけど
僕が話したいのは1個で
ジェミニクラウドアシストかな
ジェミニクラウドアシストっていう
クラウド周りの記事
グーグルクラウドに組み込まれたアシスタント的な
挙動するジェミニがあるんですけど
これにプロンプトインジェクションの脆弱性があって
っていうのが1個目に紹介されてて
これについて話したくて
超ざっくりさまると
どこが刺さるかっていうと
グーグルクラウド上で動くアセットに
コンピュータエンジンなりクラウドファンクションなり
HTTPエンドポイントに対して
悪意のあるプロンプトを埋め込んだ
適当なHTTPヘッダーを送ると
プロンプトインジェクションが成り立ってしまうっていう
割とものとしてはシンプル
脆弱性なんですけど
結構これ
なんか割と
やっぱりというわけじゃないですけど
守る目線は悩ましいなっていう気持ちがあって
ジェミニを作る派ではないんで
僕らが考えるべきことかは分かんないけど
思ったのは
例えばXSS対策とか
SQLインジェクション対策みたいなものの
鉄則として
任意の値が入ってくる場所は
それを出力する場所とか使う場所では
安全に扱いましょうっていうので
マイスケープしましょうとか
プレペアドステートメントを使いましょうとか
あると思うんだけど
このSAIが解釈するみたいな部分に立ったときに
その任意の値が入ってくる場所が
まず多すぎるなっていうのと
それを出力する場所も多いよなって気はしていて
例えば今回のHTTPヘッダーにプロンプト
入れて刺さっちゃうみたいなことを考えたときに
今はGoogle Cloudでジェミニアシストが
解釈してるだけだから
そこを塞ぎましていいかもしれないけど
例えばGoogle Cloudのログを
アプリケーションログを
CM製品とかに連携して
そのCMではAIにこのログ解説してって言うと
ゴニゴニゴニってやってくれるみたいになったときに
じゃあそこで刺さるのかどうかとか
そういうふうに割といろんな場所で参照される
データとして任意のものが入ってきたときに
どう守ればいいんだろうみたいな結構
やっぱ難しいよなっていう気持ちと
あとは話ずれるんですけど
LLMのプロンプトエンジニアリングっていう
オライリ本最近読んでて
やっと折り返したぐらいなんですけど
思うのは前々からこの場で話してる
システムプロンプトとユーザープロンプトを
ペイロードとしてちゃんと解釈するような仕組み
欲しいねみたいな話をちょこちょこしてると思うんだけど
それっぽいものは今のモデルにはすでにあるっぽくて
チャット読めるとかそうなんですよ
本当勉強不足だなって読みながら思ってたんだけど
そもそも生のモデルがやってるのは
プライバシーの重要性
あくまで文字列の保管しかしてなくて
対話できないんですよもともとのモデル自体は
例えばThis is aってモデルに渡すと
モデルはその次に続きそうな言葉を
学習したデータをもとに確率論的に出すだけってことをやって
それを対話的にするために
いろいろ結構チャットGPTなの
チャットのUIの裏側のモデルとか
僕が今読んでるのはコパイロットを作った人
コパイロットの裏側とかはその辺をうまく
保管する
文字列を渡したときに保管させて
そこの部分である種ここからここはシステムプロンプトで
コンテキストで見た感じで
だいたいXMLみたいなフォーマットが使われていて
その中から本当に取りたいものを機械的に抜き出して
ユーザーに見せるってことで
そのチャットGPTだったら対話できるような
フォーマットのモデルになってるし
コパイロットだったら
コード保管みたいな形になってたり
そういうことをして欲しくて
何も分からなかったけど
分かったことにして進むわ
ぜひぜひ読んでほしい
読むかー
うまくね
でも個人的には結構おすすめで
ちょうどいい塩梅の
結構
オライリーのプロンプトエンジニアリングって
付く本が2冊あって
LLMのプロンプトエンジニアリングと
CSAIのプロンプトエンジニアリングってあるんですけど
牛っぽい方だよね
そう牛っぽい方の方が僕ら向け
後者は
モデルがっつりチューニングしますって人向けだから
よくも悪くもかなり詳細な
Howの方に売ってて
前者は結構
モデル開発はしないけど
さっき言った生のモデルを使って
コパイラップみたいな製品を作る人向けの本って感じで
なるほどね
売り切れ取るやんけ
これちなみに僕届くの2ヶ月くらいかかりました
マジで?
みんな買ってんだ
見えるな
ちょっとずれちゃったんですけど
そこで思ったのは
モデル本は何もしてないわけじゃ
当然ないよなっていう部分があるんで
非常に悲観的にならなくていいという気持ちと
でもやっぱり限界もあって
あくまで保管するものに対して
ペイルドとかも
例えばSQLのプレビューアドステートメントみたいに
もうめっちゃ原理的に塞げてますとかではなくて
ゼロにはできないっていう
それから
まあまあまあ
細々と向き合っていかなきゃいけないんだろうな
みたいな部分と
またメモを書いたり
思いを馳せながら
ふと思ったんだけど
オライリ本を読んでた時の気持ちと
この記事を読んだ時の気持ちを
読んで思い出したんだけど
多分なんかいい
LLMサービス
今回だったら
Google Cloudで動作するめっちゃいい生成AIを
作ろうって考えた時の
作る側の目線で
なんかその
こっからプロンプトインジェクションをさせるとか
こんなプロンプト来たらやばいみたいな
その考え方を多分同時に走らせるの
結構不可能なんじゃないかなって
気がしていて
開発の文明でもよく話すじゃん
何かを作ってマインドの時に
何かを防ぐっていうのを同時に
なかなか持てないっていう
LLMはもしかしたらその距離が近い
遠いんじゃないかな
なお遠いんじゃないかなっていう
ちょっと肌感があって
なんかこの肌感の厳選を
まだうまく言うかできないんだけど
作る側考えることが多いのかな
考えることが多かったり
本読むと分かるんだけど
結構頑張ってるんだよね
実現したいものに対して
一個一個チューニングをしたりとか
さっき言ったシステムプロンプトを
めちゃくちゃフォーマット何選ぶかとか
いろんな選択肢があるのかってやっていく中で
その節々で
セキュリティ対策考えるって
結構きついなって気がして
そうなると
本当にちゃんと
剣道が物を作らなきゃいけない場面では
作る人は
作る人も考えるべきだけど
どっちかっていうと
作ったものを僕に叩くチームとかも
ツイートして
チームじゃなくてもいいんだけど
作ったものを僕もこうやって叩くチームなのか
人なのかツールなのか
外部便だといいんですけど
そういうものがセットじゃないと
結構安全なものを作るのは大変なんじゃないかな
っていうのもちょっと思った
それこそGoogleは当然多分
何かの記事であったけど
レッドチームみたいなのが
LLMに対してもあるけど
なおやっぱこういう脆弱性は
たまに出ちゃったりもするっていうのを見ると
そういうのがなかったら
もっとやばいよねっていう
捉え方もできるなって
思いつつという感じです
イミュータブリリリースの紹介
はい
ありがとうございます
うーん
なんか
どうなの
うーん結構なんか
作る
そうだね
なんか脅威分析すげえ大変
すごいチープな関数だけど
経路がわからん問題は確かに
そういうとこに響いてきそう
うーん
いろんな場所から入ってきて
いろんな場所に
まあ一個一個分解すれば
シンプルなのかもしんないけどね
クラウドアシスト
何ができるかっていうのは
当然絞られてるだろうし
まあその
何でもみたいな話かとおっしゃったけど
まあその
クラウドロギングのログぐらいしか
入ってこないみたいな話なんであれば
まあいろいろ絞れるかもしんないけど
まあなんかそのやっぱ汎用型の
AIエージェントみたいになってきればなってくる
そこの幅が広がってくと思うと
うーん
なかなか
分岐影響も大変そうだなって思いつつ
はい
はい
いやーなんか
うーん
なんだろうな
その
どっから2の値が入ってきて
どこでLLMが動くか把握するの
しんどい
どこでLLMが動くか
把握するのしんどいっていうところに
問題があるのか
うーん
いやなんかその
信頼できる値以外はもう信頼できないよねっていう
なんか考え方自体は別に
今までのセキュリティのモデルと
何にも変わらないよなと思うんだけど
うんそう思う
うーん
なんかその信頼できないものとして
扱うっていう処理を
入れる場所は多分
入れなきゃいけない場所が多すぎるって感じなのかな
で本…
で本質的にはその
じゃあなんか絶対通る場所に入れようってなるんだけど
うーん
まあその
絶対入れようってなるモデル部分を
貫通しちゃってるっていうところが
まあ問題をややこしくしてるって感じなのかな
まあでも今言ってしゃべったと思ったけど
やっぱそう思うとやっぱモデル
モデル側の防御力をもう上げる
イタチごっこ一緒続けていくだけなんだろうな
うーん
うーん
何かしらのブレックス力が起きない限りは
うーん
また素朴にその
モデル側やる
モデル側の
持ち得る権限に対するパワードレール
まあ利便性とのトレード法を加味しながら
うーん
守れるかって感じなのかな
クランプティンジェクション刺さったら
コンピュータエンジンのインス
インスタンスが勝手に消えるとか
多分そういうことはないと思うんだよねさすがに
うん
例えば赤い的変更はユーザーの許可を得るとか
そういうのかと思うし
うーん
いやー
はい
はい
まあ難しい時代ですね
うーん
じゃあ
次
いきましょう
うーん
私からね
お願いします
はい
GHIRで過去のGitHubリリーシーズンの
イミュータブリリースっていう
我らが
鈴木俊介さんの前の記事ですね
はい
で
まあ何かサクッと紹介でいいかなと思ってるんですけど
前々から
あのちょこちょこ紹介してるGitHubの
イミュータブリリース機能
リリースされてましたよって話で
そこに対して便利ツールを出してるって記事になっていて
あの
まあやることはタイトルに書いてある通りで
過去のGitHubリリースも全部
イミュータブリリースに変えるっていうツールを
作りましたっていう話ですね
イミュータブリリースの使用されすると
イミュータブリリースはリポ単位とかログ単位で
有効無効にできるんですけど
有効にしてから
有効にしてる間に
作成したリリースがイミュータブリになるってものなんで
有効化する前のリリースはイミュータブリにならないし
有効化して無効化した後のリリースでも
イミュータブリにならないっていう
仕様なんですけど
まあ
過去のも全部イミュータブリにしたいじゃんって
しない理由もないじゃないですかみたいな話で
まあそれは本当にその通りで
それを
CLI一発でできるようにしましたっていう話ですね
なんでめちゃくちゃ便利に普通に
OSS作ってる人はみんなやりましょう
僕もやりますって感じですね
あとなんか地味に過去のやつイミュータブリにできるの
知らなくて恥ずかしながら
その辺の試行錯誤はちょっと面白くて
じゃあどうやってやるのかみたいなところで
最初はもうリリースを作り直すしかないのかなって
感じだったけど
リリースをアップデートするAPIがあって
それを叩くと
イミュータブリになる
なんか長年編集すると
イミュータブリになるって挙動があったんで
最初に取ったアプローチは
既存のリリースに対して
全部リリースディスクリプションに
空行を足すっていうのをやった
だけど
よくよく調べていくと
エディットアップデートのAPIで
ディスクリプション部分を
パラメータを空にしてリクエストを送ると
空行を入れるみたいな
よくわからないハックもせずに
更新が全く同じ内容で更新がかかって
かつイミュータブリになるっていう挙動になったらしくて
なんでこのツール自体中身やってることは
ほんとにそんだけ
リリースにひも付くタグとか
ディスクリプションとかタイトルとか全部
変わんないんだけど
ただただイミュータブリになるし
テラフォンで言うと
リクリエイトみたいな挙動にはならない
ちゃんとあるものを消さずに
イミュータブリにするっていう風に
できてますよっていう
小話みたいなのもセットで書いてあったっていう
この辺の何とか
好きのなさみたいなのも好きですね
僕の鈴木さん
いやおもろいな
ちょっといやー
あれもそんなもんか
まぁそんなもんなのかな
何かっていうと
リリースアップデートするっていうのがさ
結構アンドキュメンティットな仕様っぽい感じで
ミッターベイピーアイは正直稀にある
よくあるって感じかな
稀によくある
結構こういうのはある正直
俺が聞いたことあるのは
リクエストAPI叩くのに使う
トークンの種類を変えると
レスポンスフィールドが出たり消えたりする
っていうパターンとかあったり
それが
もう一回言って
APIリクエストに使うトークンの種類
例えばパッドとか
ギターバーとか
そのトークンの種類が変わると
レスポンスフィールドが
特定のトークンじゃないと
生えてこないレスポンスフィールドがあるみたいな
のを一回踏んだことがあって
それとかはアンドキュメンティット
知らんがなみたいな
まあでもなんか
確かにね
わからんはわからんが
わからんはわからんが
他の方法で表現のしようがない気がするな
まあでも
ドキュメントに書いとけっていう話か結局
まあ理想論的にはそうで
勝手に思っちゃせいしてるのは
もうおびただしい機能をガンガンリリースしてるから
普通に追いついてないんだろうなっていう
規模の割によく
ドキュメントしてくれてるなって気持ちは
叩けばわかるし
めちゃくちゃ直感に反する挙動とかは
あんましないイメージあるから
まあこんぐらい許してあげてもいいかなって個人的には
個人の感想として
許してあげてください
そしてこのツーラー便利なんで
やりましょう
タグを書き換えられない
人生を送ってください
はいじゃあ次
朝日ユーグループホールディングスへの
朝日ユーグループホールディングスへのサイバー攻撃
サイバー攻撃についてまとめてみた
ピュアログさんですね
だいぶもう一般のニュースでも流れてるよね
そうだね
結論から言うとあんま
多分まだわかってない
細かいところは出てないもんね全然
なんかランサムですよまでわかってるぐらい
そうだね
このピュアログ読んで
なるほどなって思ったけど
多分警察側で
被害拡大防ぐために
意図的にまだあまり公表してないっていう
動きをとってるっぽいんで
まあ収束するまでもしかしたら
いろいろ開示しないかもなっていう気は
していてなんで
個人的にはその
まあいつになるかわかんないけど
事後報告をきちんと出してくれると
いいなというのと
またやっぱその
門川さんも相当でかかったけど
そうだね
日本のランサムの被害としてどうなんだろう
過去一になるのかな
貫通の方がでかいんじゃないかな
まあ確かにね被害範囲
世に知られた会社みたいなところで言うと
貫通もしくは朝日
そうですね
ビールとかの地味度を考えると
めっちゃでかいって感じかな
あと結構その
まあわかりやすい世の中への被害も出てるっていうのは
印象的だなって気はしてて
まあ具体的には工場が結構止まっちゃって
発注周りとかもいろいろ
結構広く止まってるんで
店頭に朝日の商品が並ばないみたいな
お知らせが各小売店から出てるみたいな部分もあったり
なんか今日ちらっと手動で
オペレーション頑張って工場稼働再開したみたいなニュースを見たんですけど
手動で再開してるということは
完全復帰はまだまだしてないっていう部分を考えると
まあしばらく朝日ビールがプレミア化する
は冗談ですけど
なかなか出荷が滞る期間が続きそうかもなっていう
あとは被害額が恐ろしいなという気はしますね
次の決算とかで多分
被害の広がりと影響
これはなんか大きいチョコだからさ
ギリ耐えられる
ギリ耐えられるところを狙ってる節もあるのかな
まあでもグラデーションつけてないと思うけどな
いろいろ見てると
多分等しく焼酎も狙って
まあバラ撒いた系が刺さったところっていう感じなのかな
そうだね
もしかしたら朝日ぐらいでかいと
朝日の防御力がどれぐらいかわかんないけど
ある程度標的型で狙い撃ちした可能性もなくはないと思うんだけど
だからその辺は本当ちょっと
事後報告を聞きたいなっていう気がする
その貫通とか確かVPNの
いやちょっと自信ねえな
違った気がする
こういう時もあれですね
POロゴを見れば
まあそうだよねネットワークで何かの危機がやられたんだよね
VPNとかそこまではわかってなかった
最初か
まあいいやちょっと
この場合しゃべると時間かかるかもしれないですけど
まあそのやられ方次第で結構
だからその辺開示してくれると嬉しいなって気持ちはあるな
海外とかだと普通に潰れるみたいな
潰れちゃったみたいな
記事見かけんこともないから
どうなんだろうね
なんか海外と日本とどっちが多く刺さってたってあったりするの?
なんかあんまり関係なくずーっと世界中で刺さり続けてるのかね
いやー一時情報直接取ってないんで
ほんと参考程度にだけどその
レポートを読んだ二次情報を接種してる感じだと
特に状況は変わってない状況は変わってないっていうのは
全世界で基本的には継続的に攻撃が発生してるし
例えばその件数が減ってるタイミングとかはあるんだけど
いやでも件数は減ってないのかな
例えば攻撃の件数は減ってないけど
ミノシロ菌の総額は減ってるみたいなパターンとか
あとはミノシロ菌の総額は変わってないんだけど細かくなってるみたいな
ランサムギャングがビットロックとか
名前忘れたらブラックなんだろ
製菌のやつとかちょこちょこ解体されるみたいな動きあるんだけど
でかいとこは解体されるから大粒は減ったけど
その辺の解体されたやつが結構細かくなって
グループ数がめっちゃ増えて小粒がめっちゃ増えるみたいな感じで
総和としてはそんなに多分変わってなくて
国ごとの偏りもあんまりないんじゃないかな
基本アメリカが一番多くて日本もぼちぼちあってみたいな感じのはずなし
もうこのポッドキャストはわざと取り上げないけど
スキャンネットセキュリティとかセキュリティネクストの
スキャンネットセキュリティかな
スキャンネットセキュリティの見出しを見てると
毎週ランサムやられましたみたいな記事が流れてくるから
日本企業で
なのでやられとかやられてるし
そんなに僕が見てる範囲だと
よくも悪くも傾向は変わってない気がするなって気がしますね
大体やられ方もあんま変わんないというか
VPNのデフォルトIDパスワードあってとか
ハルウェア感染はあるのかな
メールで引っ掛けられてとか
でもやっぱネットワーク機器が多いイメージがあるな
ちょっとそう
なんか久々にレポート読んでもいいかな
レポートは山ほど出てるね
でもそんな印象です僕の印象は
ありがとうございます
あと対応に当ててる方は頑張ってください
本当に大変だと思うんですけど
はい
いらっしゃいません
今度はこんなことと思います
じゃあ次
結構多いな
少ないなと思ってきたら
自分が結構突っ込んでた
そうなんです
はい
NPMエコシステムとチェインガード
Mitigating malware in the NPM ecosystem with chainguard libraries
チェーンガードっていうセキュリティ製品を提供している
企業のブログ記事です
記事自体はチェーンガードっていう製品の宣伝色が強いんですけど
個人的にへーって思ったものとしては
へーというかそうなんだと思った情報があったので取り入れたんですけど
記事の主題としてはNPMにおいて
マルウェアが毎週毎週ポンポンポンポン出てますよと
マルウェアみたいな傾向を分析したときに
一つ大きな特徴としてあるのが
元となるソースがGitHubにないっていうパターンが
95%ですよっていうことが書いていて
残りの5%もソースってGitHubに限られるんですか
GitHubとかGitHubとかBitBucketとか
元となるソースがあるパターンもあるんだけど
その残りの5%パターンでも
元のほうとNPM側にあるソースが一致しないっていう特徴がある
この特徴を上手くというか
たぶんチェインガード製品は上手く解釈して
安全なものを提供しますよって話だと思うんですけど
その辺を端末としてそういう特徴があるっていう話があって
なるほどなと思ったというか結構納得感はあるなって
したっていう感じですね
チェインガード
チェインガード自体は多分この機会に読んでみたんだけど
読んでみたっていうかちょっと調べてみたけど
例えばNPMとかだとNPM.jsからインストールする代わりに
チェインガードからインストールするみたいな世界線を想定して
チェインガードではちゃんとマリオラとか弾いたりとか
信頼できるソースとかあともっと言うと
ソース自体はビルドしてる
SLSAレベル3とかでビルドしてるから
ちゃんとビルド元とか生成元の検証ができる形式で提供してくれてて
なんで安全ですよみたいな話
中華製品っぽい
あと多分DockerイメージCV0のDockerイメージとか
OSのイメージとかも提供してて
その辺もきちんとCVをゼロCVにしてたりとか
あとそのビルドの検証元みたいな部分もそっちも等しくやってるみたいな
多分そういうのを提供してる会社っぽいですね
その分専念と絡めてNPMで発祥してるって感じだと思うんだけど
何でもいいんでOcta-STSアップとOcta-STSアクションのバージョンを
開発よりプロ死んだらね
やってる余裕ないんだろうね
モチベーションがないとかはありそうだけど
だったら後悔するなよと思うけどな
まあいいけどお世話になってます
あとちょっと思ったのが前回か前々回か忘れてたけど
GoはGitHubから直接参照するって世界観だったじゃん
一応間にキャッシュサーバーみたいなのがいるっぽいんだけど
あれが意外となんか構想してる施設もあるのかなって逆にこの記事
そうだねだから要はダウンロードしてくるものが原則的にGitHubのソースと
一致するっていう意味ではそうかもしれない
わかんないけどふわっとした仮説だけど
NPMで悪いもの作ってばらまくよりGitHubで悪いもの作ってばらまく
ハードルの方が高いのかなって気もしてて
プライバシーとMCPの脆弱性
GitHub側も色々多分仕組みがあるじゃないですか
アップロードされたものに変なもの混ざってたらとか
通報されたらとりあえずクローズとか赤版をするとかアカウントを
不正に作るっていう対策もちゃんとしてるだろうし
そういう意味で意外と合理的かもなとかあと今しゃべりながら気づいたけど
Go側にそのGitHubのリリースの
アテステーションを自動で検証してくれるような仕組みが
もし整ったらめちゃくちゃいい
まあでもGitHub以外ってホスティングはしてるから
その辺はあんまそうだね
それはそれで別途
95%は受けるなというか
まあよく考えたら別にGitHubにソースを置く意味も全くないし
攻撃者もですね
これなんかあれなのかな
NPMパブリッシュした状態ってことだよねローカルから
これ結構
いいとこ狙ってるというか検知されるの分かってても
痕跡残したくないモチベーションからすると多分バイパスしにくいよね
なんかそのGitHub側に実態を
実際に残せば簡単にバイパスできるんだろうなと思うんだけど
それをやるとしんどいっていう話だから
結構シンプルな
検出の仕方だけど割と刺さるというか
うまく多分長期の思想なんか
勉強になりました
オクテステスのバージョンを聴いてください
聴いてないだろうな絶対聴いてねえよ
マジで聴いてほしい
メインに積み上げ続けるのやめてほしい
これからもグッドリアクション送っておくわ
あれなんかあの一周に関わった人全員に通知が行くから
めんどくせえだけなんだよな
頑張ってほしい
じゃあ次
セキュリティエンジニアスカイトMCP
ヤギの車見つけてきてくれた
知らんこれ
サマリーも入ってないからそうなんだね
記憶にございません
記事の内容は正直いいかなって感じで
とてもいいリファレンスなんで
これ求めてる人がいたら読むといいですよって気持ちで
チラッと紹介できればいいかなって気持ちで引っ張ってます
最近ないけどMCPバッて出た時に
MCPにこういう脆弱性あるよみたいな記事がサミダに出たと思うんですけど
ラブプル攻撃とかコンテキスト防線攻撃とか色々あったと思うんですけど
その辺をかなり体系的にまとめているなと思ってて
こういう脅威があるよっていうのも一通り書いてあるし
それに対してこういう対策が取れるよっていうのも書いてあるし
どこまで行っても難しいよみたいな部分もきちんと言及していて
MCPのセキュリティどうなんだっけみたいな部分って
今時点においていいリファレンスになってるんじゃないかなって
思いましたという感じです
NPMのセキュリティ対策
ありがとうございます
なんか両まとめっぽい感じがしたんだけどちゃんと読めてる感じ
そうだねまさに両まとめって感じだから
今から追いつきたい人は一通り読んでおくとこんな感じでつかめると思うし
リファレンスもつかめると思うし
ただMCPも何かの記事で見て今日は引っ張ってないけど
結構デカめなアップデートが入るみたいな記事も見たんで
このセキュリティプラクティスもこのページがアップデートされるといいなって
ちょっと思ってたりもするな
ブログだからそこら辺は何とも言えないんですけど
ありがとうございます
次最後やけど最後もめっちゃサクッと紹介
FIIって感じで指名
GitHubブログ
Change.logの記事で
Strengthening
NPM Security
Authentication
英語読めないもん
先週先々週と触れたNPMJSのサプライチェーン攻撃対策に関して
2FAの必須化とかクラシックトークンの廃止
トークンのエクスパイアをデフォルト7回にするみたいな
話があったんですけどその続きで
これを11月中旬までに段階的に実行するよっていう話です
思ったより近いなと思って皆さんお気を付けくださいって言うと
偉いなってシンプルに思ったというか
これ影響範囲考えたら結構影響範囲でかいはずなんだけど
9月中旬?
8月下旬に1個目のデカ目のやつ起きて
9月上旬にいろいろ起きて
9月中旬下旬ぐらいにどうにかするよって出して
今日10月7日でこの記事は9月29日ですけど
9月29日に11月中旬までに段階的にやるからねって宣言してるの
めっちゃいいスピード感だなっていうか
惚れ直しました
あえて厳しいこと言うけどTJアクションズの時とか
結構過去にも
これ系が燃えてきたタイミングだったと思うんだけど
これまでと今回と何が違ったんだろうね
何がここまでのアクションに繋がったんだろうね
NPMに関して言うとNPMでここまで派手に
たて続きにやられたっていうケースが僕の記憶だとあんまりない
セキュリティのキャッチアップしてなくても
JSが書いてたから本当に流行ったら多分
耳に入ると思うんだけどここまでのものはないし
あとは自己増殖型じゃないけど
一回侵入したらローカルのNPMトークン使ってまた広がるみたいな
意外と刺さりすぎてる感もある気はしていて
こんな刺さるんだっていう部分が
実証されちゃったっていう部分でよくもある
今後も狙い目にされる前に塞ぎたいみたいなところが
あるんじゃないかなって気はする
ゆっくりだけどよくはなってて
OIDCもこの詐欺が入る前に入ったと思うし
昔は2FAもなかったんですよ 2FAもなかったけど
いつの間にかできててトークンも昔は
GitHubで言うところのリポジトリで縦割りみたいな概念がなくて
そのトークンを持ってたそのトークンを紐づくユーザーの全
NPMパッケージを更新できるって形だったんだけど
気づいたらアイソレーションできるようになってたり
エクスパイヤも昔もっと緩かったと思うんだよね それも厳しくなって
やることはやってたんだけど
ゆっくりやってた理由は影響範囲にでかされると思うんだけど
パッケージ実装も多いし
死の物言ってられなくなったっていう感じなんじゃないかなと
個人的に思ってる
知らんけどね
無責任ボーイですけど
個人勝手に期待したいのは
これに倣ってPiPiとか
RubyGemとかあと何ですか
Create.ioとかですか 最近のと
その辺もみんな見習いしてくれるといいなって思いつつ
今やっぱNPMがな NPMとPiPiが2台狙われ
パッケージパブリッシャーって感じだから
これと落ち着くのかな
仕組み上は落ち着くよな
ローカルトークン盗んでみたいなパターンはだいぶリスク緩和されるかなって気がする
OIDC みんながOIDCやればだいぶ
リリース処理をしてるランタイム
取らなきゃってとこまで持ってきるんだけど
10日に言っても無くなるわけではないから一定みんなのローカルに残ると思うと
100%塞がれるわけではない
言っても7日間は生きてるわけだもんね
しかも別に7日間無条件にローテしてたら
ずっと使えるものが残るわけだし
個人的勝手に僕なんか仮説で間違ってたら申し訳ないけど
NPMってよくもあるくも
数がめちゃくちゃ多いから
例えば昔ちょろっと作ったOSSで1ヶ月間くらいメンテしてたけど
理由でメンテしなくなった
そのトークンをローカルに置くみたいなパターンとか全然ある気はするし
あとは僕らが知らない目線にはなるけど
何十パッケージ開発してるOSSメンテナーっている
そのメンテナーが何十個もあったら
アクティブにやってるものと3年前はやってたけどみたいなものがある中で
手元に3年前のやつで
.envに残りっぱとか全然あり得るシナリオだなって気がするし
そういうのが今回の
強制でとりあえず古くて放置されてる
何なら本人が気づいてないかもしれないものとか
あかんとあることすら忘れてる人たちのトークンは等しくリボックされるっていうのは結構
割と危ない穴は
塞がるんじゃないかなって期待もあるなぁ
NPMJSがこそ知るっていう感じもするけど
はい
楽しみ
延期とかもせずやり切れるといいね
でもこんだけ宣言してるからやるんだろう
あとは既存のパッケージを壊す変更ではないから
GitHubの改善アクション
そうだねだから更新ができなくなるだけ
そうそう新しくプッシュできなくなる
そこで強制的にやってくださいでしかない
これやりたくないですみたいなフィードバックが
まともなでかいコミュニティから来るとは思えないから
両手通りいけんじゃないかな
みんなエンジニアなら対応してよって感じするしね
間違いない
はい
本日はそんな感じですか
なんかちょこちょこ事件も起きつつ
ユニシクは今日は薄くて
MCPの話がちょろっとあったぐらいで
セキュリティー周りのMCPはちょっとひと段落中か
どうなんだろうな
ここで取り上げなかったっけ
まともな革をかぶったMCPが突然マレーア混ぜ込んだみたいな事件があったけど
あれ取り上げなかったっけ
取り上げてない
個人的には
原理的にはパッケージとやってることは一緒だよな
MCPだからめっちゃ騒ぐ
べきというか
どう捉えたもんかなっていうのは思った
しかもやってることはシンプルじゃんマレーア仕込むっていう
マレーアというか破壊的変更仕込む
例えば他のMCPサンパーのコンテキスト汚染してめっちゃ高度なプロンプトインジェクションするとかだったら
言い方悪いけど面白いというか
MCPだからできちゃった攻撃だしこういう被害あったよねって話だけど
その範疇ではまだないから
想像に意気悪い意味出ない
あれによって公式MCPを基本的に使いましょう
みたいなのが補強された説はちょっとあるよな
それはそうかもね
でもどうなんだろうな
どうなんすかね
結構ある気がする
書説あるな
公式を何とおくか
公式っていうか信頼できるところが出してるもの
話になるのかな
信頼できるの尺度は様々あるだろうからさ
いわゆる公式みたいな
広い謎の括りみたいなのがいいかもしれないし
そうじゃないかもしれないから
アーサナとかは権限昇格できる脆弱性仕込んでリリースしてきたりしましたからね
わかんないね
GitHubがリリースしたGitHub MCPサーバーとかはその尺度で言うとOKラインになる
それはめっちゃわかる
人によってはMCPの公式コミュニティのやつを
信頼するっていう線の引き方をしてる人もいる
それとこの間のはどうだったんだっけ
この間のはもう全然それには入ってない
プライバシーの重要性
難しいね
本当に信頼できないと前提に立つんだったら
自前実装が悪いなって思うな
体力あるのかどうかっていう
堂々巡り始まるんですけど
メンテとかもただじゃないからね
オフィシャルインテグレーション
オフィシャルインテグレーション
そこは何を持ってそこに掲載されるんだろう
わからん
それがわからんことには何とも言えない
メンティングでカンパニーズビルディングプロダクションレビ
MCPサーバー
会社が自分たちのやつ作ってるよみたいなやつはオフィシャルインテグレーションで
コンテキストプロトコル
GitHubのオーガニゼーションのやつ見てるんですけど
コミュニティサーバーとかは多分あれだね
MCPのコミュニティが作ってる有名どころみたいな
でもこの辺は自分でリスクを得よって書いてあるね
じゃあ載せるんだよって思っちゃうから
実は王様MCPサーバーなんだよなこのラン
多分だけど
MCPマーケットプレイズみたいなのGitHubが確か出したみたいなやつもあって
ここにも取り上げて
どうなんでしょうって感じがするね
本気でMCPサーバーちゃんと活用
安全に活用してって言われたら
僕だったら前のクラウドフレアみたいな中州圏的なやつで
ガチで信頼できるやつはここに追加していくし
信頼できるやつがなければ自前で実装するっていうのを
やりたいと思うけどな
まあでも比較的
やりやすいモデルではあるよ
MCPのところというかモデル自体がさ
なければ作ればいいじゃん通用しやすい
何個か実装みたいにしてるけど
1日あればできそうな感じがするAPIさえあれば
むしろAPIなかったらできないから考えなくていい
なんならそれこそ
コード生成しとけばいいんだよね
別になんかダメだったら作り直せばいいじゃん
そうね
1日作り直してられるかみたいな話は普通にある
なんか作り直しの時のコード差分とか
えぐいことになるから
いろんな歴史みたいなのが一回全部リセットされる
それもAIに欠かせるんでしょ
それこそMCPさんのような様子があったらAIに欠かせりゃいいんじゃないか
プロンプトを保存しとけばいいんだよね
そんな感じで
何も起きない穏やかなまた1週間になることを祈って
おしまいとしましょうか
じゃあ皆さん来週もお楽しみにしててください
おやすみなさい
