Androidのデフォルトブラウザ選択画面変更と独占禁止法
こんばんは、Replay.fm第74回です。
ちょっとタイトル忘れかけてたでしょ、今なんか。
あのー、いつもカンペ見ながら喋ってるせいで。
あー、カンペを出すタイムラグが間に挟まっちゃった感じね。
そうそう。
面白すぎる。
そうです。あのー、はい。編集せずにストロングスタイルでいきたいんですけど。
はい。もうやり直してもいいよ。
いやー、いいよー。面倒くさいよ。
やり直したところも、やり直す下りも載せよう。
いやーもう、何の時間聞かせられてんだよって感じになっちゃうから。
よくないよ、そんな。
ね。
はい。
シュッシュッといかないと。
はい。まあ、機条多いからね。
うん、機条多い。
そう、一個なんか、すごい雑な雑談。雑な雑談。はい。雑な雑談。
多く雑な雑談ね。はい。雑雑談。
雑雑談。なんかAndroidユーザーなんですけど。
あのー、いつぐらいだっけな。多分1週間前ぐらいかな。
なんか、開いたら突然、デフォルトブラウザ何しますかって言われ、
画面に強制的に開かれて、クロームといろいろバーってやって、
最初何もチェック入ってないでしょ、クロームでいいやと思ってポチポチやったんだけど、
あ、これあれじゃんっていうのを思い出して、
とうとう日本にも来たんだなっていうのを思い出しましたっていう雑談。
うん。
あれっていうのは、独占禁止、コーゼット否定委員会か、日本だと。
Androidをやる時に、クロームをプリインストールする。
どういうスキームだっけな。
実質クロームをデフォルトブラウザにすることを、
強制してることが独占に当たるよねみたいな流れが日本にも来て、
何月からやることが決まりましたみたいな記事をここでも紹介したと思うんだけど、
それがとうとう手元にも降ってきたなっていうのが地味に見ましたっていう。
面白アップデート情報ですね。
きっとこれを聞いてた、もしかして知ってた人は真剣ゼミで見たと思いながら、
Androidの設定画面をポチポチやって。
でもね、触りながら思ったけど、
みんなどうするんだろうな、あれでクローム以外を選ぶっていうのはまじで想像つかないというか、
普通になんかさ、ごたくぐらいだったんだけど、
クロームともう1個何だろうな、Firefoxか、Firefoxは分かるけど、
それ以外まじ名前ギリ聞いたことあるみたいな、
僕でさえ知らないブラウザとか混ざってた。
やめ、やめたげてよ。
なんかそのこれ、まあでもそうね、
これで構成と引き換えにインクがたまんない安いのかと思いながらクロームを選択しました。
はい、現場からは以上です。
なんかどうなんだろうね、分からんけど別にクロームでいいやって思ってる層からしたら、
なんかただワンステップ入ってめんどくさいだけだよね。
そうだね。
まあでもそれ出すだけで一定層はこう他のブラウザに流れて、
まあ人によってはクロームに戻ってきたりするんだろうけど、
まあ何せ他のブラウザを一旦選択するっていう人たちが一定数見込まれるっていうのが、
まあなんていうか、分からんけど、
なんかその公正な競争をする上では結構大事なことなんだろうね、きっとね。
そこは正直専門家じゃないから分かんないけど。
確かにね、まあはい、そんな感じです。
Claude Codeによるセキュリティチェック自動化とAssureの価値
じゃあ今日も、今日はブラウザの話じゃなかった気がするけど、
上から順にやりますか。
あ、お便り募集してます。
雑になってきた。
はい、いいんですよ、シュッとで。
じゃあ一番上からお願いしようかな。
お願いします。
クロードコードを使ったサーチセキュリティチェックの自動化、
雷エンジニアブログさんの記事でございます。
サッとしか読んでないんだけど、
サーチセキュリティチェックをクロードコードを使って自動化してるよっていう話ですね。
カスタムスラッシュコマンドを作って、
いろんなものを収集させて、
一時レポートをクロードコードに出させるっていうのをやってるよっていう話ですね。
生成された結果をGitHubにプッシュして、
コープレートエンジニアが内容を確認して、
最終的に利用価値を判断するよみたいな感じらしいです。
素朴なんだけどいいですね、業務でこれを実際にやってるっていうのは。
そうだね、いい記事だね。
なんて言ったらいいんだろう、
本当素朴なんだけどっていう真っ暗な言葉がついちゃうんだけど、
このリアルなところを出してくれるのすごくいいなって思うね。
結構コーパーITの開示度ほど低い発言にはなるかもしれないけど、
会社によってはCLIに抵抗感があるとかっていうのも別に。
会社というよりは人なんだろうけどね。
まあ確かにね。
でもコーパーITチームを構成して作っていく上で、
どういうスキルセットとかどういうバックグラウンドの人を集めていくかって、
結構会社の色が出る気がするというか。
そこに別に、今の気はCLIあれみなさんあるのかな。
どうなんだろうみたいな。
その辺もどうなんだろうっていう気持ち。
アクロードコード今だったらWebとかもあるから、
そっちでカスタムコマンド使えるのかな。
使える気はするんだけど、
いい記事でしたね、とても。
このやかよしコメントのアクセシリティ…
アサーティファイ。
アサーティファイ?
ごめん、アサーティファイじゃないな。
失礼しました。
アサーティファイは不正対策するでしょうか。
なんだっけ、忘れちゃった。
サービスセキュリティチェックをやってくれるサービス。
やばい、喉まで出かかってる。
アサーティファイじゃなくて…
セキュリティチェック…
アシュアドだ、アシュアドです。
アシュアド、はいはい。
サーサー死んだみたいな話があるがっていうやつね。
そうそう、サーサー死んだみたいな話が最近ちょっと話題になってたりするけど、
こういうの見ちゃうと別にアシュアドの価値ってそこだけじゃないんだけど、
でも結構価値としては持ってかれるかなとは思っていて。
うん。
なんかその…
サーサー死んだは…
個人的には半分正解半分正解だと思ってて、
死ぬサーサーは多分…
なんていうか…なんだろうな。
業務のワークフローを組んだ時にワンステップだけをだいたいするようなやつは死にうるかなと思うんだけど、
ワークフロー自体を…
全体を置き換えるとか…
なんだろうな。
あとは…
ワークフローそのものにめっちゃ価値があるようなパターンは死なないんじゃないかなって勝手に思ってるから、
アシュアドを使ったことになんとも言えないけど、
なんかURL投げたらセキュリティチェックがいい感じに返ってくるみたいな部分だけをサービスとして売ってるんだったら、
それはクロードコードとかで置き換えられるかなって気はするよね。
うん、そうなんでね。
でも、そこのチェックを代行しますよっていうのと、
アシュアドの場合は代行した結果をノウハウっていうかナレッジとして持ってるから、
うんぬんかんぬんみたいなのが多分あるはずで、
結構これでだいたいされちゃう部分が半分くらいあるんじゃないかなってちょっと思うんだけど、どうなんだろうね。
ただなんかその…
うーん、わからんけど多分このクロードコードでやる方が早いじゃん。
そうだね。
早さもそうだし、なんか精度も結局時間の問題になってしまうというか。
そうなんだよね。
あとコスパも全然違うよね。
そうなんだよね。
人間が頑張ってチェックしてっていうのと。
そうなんですよ。
そこにオーバーヘッドがあってシステムがあってっていうところと。
うーん。
だからなんかもうちょっとクロードコードでだいたいできないというか、
クロードコードで多分なんでもだいたいできるんだけど、
例えばURL入れたら、
自分ちょっとパッと思いつかないけど、
ステップバイステップでこれは誰が見る、これは誰が見るみたいな、
でチェックをつけたっていう記録をつけたみたいな、
なんかそういう要件が入ってくると、
クロードコードだとできるんだけど自前で何か、
クロードコードに何か被せなきゃいけないみたいな話がある気がしてて。
だからそこの複雑さとか、
いうさびげみたいなところがサブになるんじゃないかなって気がするな。
そうだね。
また当たり前のようにこの記事はクロードコードを使ってますって言ってるけど、
クロードコード使え、何それ知らんとか黒い画面開くことないっていう会社もいっぱいあるだろうから、
そういうとこに対してはしばらくは価値があるかもね。
まあでも例えばだけどさ、アシュアド契約したアシュアドの使い方覚えますみたいなさ、
それと比べたらさ、何かよっぽど汎用的なスキルだし、何か覚えろやと思っちゃうけどね。
まあそう思うのは、それは強者の目線というか。
別に何か別に一回誰かが作っちゃえばさ、そのスキル図なんだからさ、
これをこうやって入力すればいいんですよで終わりじゃん、何か。
でも何か僕がイメージしてるのはもうそもそもそのIT業界じゃないとかさ。
ああそういうことね。
システムを何か作るとか保持するみたいな概念がない、そういうことをする人がいない会社っていうのもあるはずで。
そういう人たちに対しては依然として、そういう人たちがこれをできる気はまだまだしないし、
そこまで民主化はされてないんじゃないかなって気はするって感じかな。
ああまあでもどうなんだろう。
ジェミンね、ジェミンとか使って、まあでもちょっと微妙。
まあでもまあまあまあでも時間の問題かもね、そこも。
さあさあ死んだんでしょうか。
5年後に答え合わせしましょうって感じ、個人的には。
1年後ぐらいには何かちょっとその傾向が見えてきそうな気はするけどね。
どうだろうね。
いや、死なないと思うけどな。
何割死ぬかの話だと思うな。
そうだね、なんかでもその生存に、
死ぬを何というか。
生存に求められるその、なんて言ったらいいんだろうね、その特性が変わってくるっていうのはきっと明確にあると思うし、
まあそういうその、なんて言ったらいいんだろう、まあ淘汰されるものは何かあるんだろうね、きっとね。
それはそうだと思うな。
いやー、セキュリティ系の、まあ日本だとあんまないけどさ、
ニュース見てるとその、こんなスペシックなところに刺さるのみたいなやつが結構海外だとあって、そのセキュリティ系の。
例えば。
いや、パッとも見つからないんだけど、本当そのパスワードをセキュリティに運用するための何かとか、
いわゆるノンヒューマーアイデンティティの管理とか、
わかりやすいとかあるかな、まあなんかSOC、AIで自動化系とかかな、なんかその、
結構そのセキュリティって仕事全体で見たとき、なんだセキュリティの中で一個切り出して、
それのその一連の流れを見たときに、その中の部分部分を切り出して、
売ってるような、結構なんか見かける印象があって、
そういうのは割と淘汰されやすいのかなって気はするな。
淘汰されるのが先か、自前で組むのが先か。
まあでもな、いやでもなんだかんだやっぱ。
結局でもさ、自前で組んだら組んだらやっぱり運用はしないといけないし、
そのそれができる会社ってまあ一定限られそうだなとは思うけど。
あとやっぱ結構インアウトなんだよな、その。
SaaSを殺すとしたらNHLとかな気がするみたいな。
まあそうだね、ワークフローが簡単に作れますよみたいなツールがなんか、
まあめちゃくちゃ強いのが出てくると、ちょっと話が変わってきそうな気はするね。
またSaaSはSaaSで死なないための生存戦略として、
そういうものとつなぎやすくするために作っていたAPIの提供をあえてやめるとか、
自分たちの中にロックインさせるみたいな、
そういう方向に倒れてしまうとかも未来としてあり得るかも。
いやー、それもあるけど、でもどうなんだろうね。
でも分からんけど、なんかでも仮にでもそいつが、
そういう汎用的なワークフローを作れますよっていうツールがめちゃくちゃ強くなるっていう読みをするんだったら、
なんかもうその流れには逆らえないわけだから、
ロックインするよりは、そいつと一緒に使ってもらえるっていう状態をいかに目指すかの方が、
なんか筋は良さそうに思うけどね。
まあ確かに。
まあでもその辺はサービスの性質次第だろうね。
スラックとかノーションとか。
できるんだったらいいけどね。
その辺はもうガチで勝ち合うから結構確かに厳しいかもしれないけど、
でもそのメインの機能はまた別のところにあるじゃん。
スラックにしてもノーションにしても。
まあね。
そこはもう諦めるけど、そういうところと一緒にメインに使ってもらえるようにするみたいなのが多分一つの手なんだろうなとは思うけどね。
確かにね。
まあそんな感じですか。
ありがとうございます。
はい。
グローバルプライバシーコントロール(GPC)ヘッダーの法的効力
じゃあ次、私。
グローバルプライバシーコントロールという法的効力を持つヘッダー。
Jackさんのブログですね。いつもそういうのやってます。
どういう記事かというと、
いつですか。
去年、おととしのからJackさんはマーサードパーティークッキー並び、
プライバシー、ユーザートラッキングの話について結構いろんな知見をまとめたり、
試験を述べてくれたりというのがあるんですけど、
そのシリーズのうちの一つかなという感じで。
タイトル通りグローバルプライバシーコントロールというヘッダー。
具体的にはsec-gpcという名前のHTTPヘッダーがあって、
それについて紹介とか、それが生まれた背景とか、
またそこに法的効力を持つというのがどういうことなのかということについて、
丁寧に解説してくれているという記事ですね。
サマリーとしては、さらっと歴史の部分も触れていて、
過去のJackさんの記事でもあったけど、
シンプルに、
なんていう名前だっけ、
Do Not Trackか、
Do Not Track、略してDNTというHTTPヘッダーというのが、
そもそも昔、歴史上あって、
これは何かというと名前の通り、
このヘッダー付けたらトラッキングすんなよというヘッダーになっている。
意図としてはユーザー側が、
3rd party cookieとかそういう形で、
自分の情報をトラッキングしないで欲しいときに送るもので、
これを送られた側、
HTTPサーバーは、
このヘッダーを解釈してトラッキングをしないというのを、
期待されたヘッダーだったんだけど、
でもこれって、
任意でそれを守るか守らないかというのは、
別に誰も強制ができないヘッダーになっていたので、
実装されたものの、
特に広告業者とかは、
これに従っちゃうと自分だけ損するという形になるし、
かといって協会全体でこれを守ろうというところも、
構造上生まれなかったという部分で、
使用としてはあるんだけど、
ただ付けられる意味のないヘッダーになってしまったという、
失敗があったという話があって、
それに対して今回紹介されているグローバルプライバシーコントロールというのは、
何が違うかというと、
端的に言うと法的効力を持ちますよという話。
法的効力というのは何を言うかというと、
例えばCCPAか、
カリフォルニアのプライバシー法、
いろいろ世界で見たときに、
プライバシー関連で法的に先端を行っている州なんですけど、
CCPAの法律の中で、
このヘッダーについて具体的に言及がされている。
具体的には、
個人情報の販売または共有をオプターとすることは、
消費者にとって容易であるべきであり、
GPCはユーザーが有効にコントロールできるグローバルプライバシーコントロールを介して、
個人情報の販売または共有のオプターとリクエストしたい消費者のための選択肢の一つですという形で、
法律の中でもうこのGPCに関して言及がされているので、
このヘッダーというのはもう、
法的に守らなきゃいけないものですよとなっているというのが、
昔のDNTヘッダーとの大きな違いであるし、
また実際にこの法律はもう施行されているのかな。
27年の1月からって書いてあった気がするな。
ああ、なるほどね。
2022年に実際に罰金を求められた事例というのは何なんだろう。
これは法律に…
CCPAの話なんじゃないかな、その2027って多分。
ごめん、違うわ、失礼しました。
オプトミーアウトアクトっていうのが別で策定されようとしてて、
あるいは策定されてて、
27年に施行されようとしたんですね。
理解しました。
だからこのCCPAの罰金はヘッダー送られてたのに
トラッキングして罰金されてるって話で、
今言ってくれたオプトミーアウトアクト。
オプトミーアウトアクトの方はブラウザの方に設定できるようにしろよ
っていう方の法律かな、きっと。
結局その送信するヘッダーを付けられるかどうかを
ユーザーがコントロールするためにはブラウザが
それをオンオフできるようにしないとダメだけど、
今はブレイブとFirefoxでしか実装されてないのか。
Chrome Safari等々もカリフォルニアの法律だと実装しなきゃいけないし、
それが来年の1月までっていう風になってるって感じですね。
ざっくりそんな感じかな。
マスタードパーティークッキーの配置が失敗して、
結局どうするんだいってところに対して、
また昔失敗したものに対して法的攻略を持たせて
帰ってきたっていうような形ですかね。
勉強になりました。全然知らんかった。
どの辺を知らなかったんですか?
このグローバルプライバシーコントロールヘッダー。
見たのかな?
知らなかったのか。確かに。
Chromeがまだ送ってないんだよね。
そうだね。
ブレイブやファイアフォックスでしか実装されておらずって書いてあるから。
自分の生活では少なくとも。
少なくとも自分のブラウザが送ってないからね。見る機会ないよね。
そうだね。
こういうのを引っ張ってくれるジャックさんめちゃくちゃありがたいよな。
あんまツイッターで見ないよな、こういう話題。
見ないね。
自分ツイッターという世界でくくって申し訳ないんだが。
世間でもあまり話題になる印象はないというか。
結構大事な。
記事中でも言及されてるけど、アメリカでカリフォルニアをはじめいくつかの州ではこれをもう法律でこれに言及するっていうのが増えてきて、
これがグローバルスタンドになる可能性も全然あるとなると。
日本でもどうなんだみたいな話とか。
日本から法律が適用された国の人から自分のサイトにアクセスされたときには全然他人事じゃないですよみたいな話も書いてあって。
確かにねっていうところも思いつつ。
そして私はそんなことよりもこのsecプレフィックスがついてるとJSから触れないの知らんかったので超恥ずかしいなと思った。
絶対なんかで見てるし調べた記憶が、調べている気がするんだけど記憶に残ってなくて。
そうなんだなってちょっと思ってしまった。
これ僕も知らなかったっす。
知らんことばっかりだな。
webマジでもう引退するときも知らんことばっかりだったなって言って引退するんだから。
そんな感じです。
すごい読みやすい。
いつもと変わらずとても読みやすい。
ちょうどいい記事なんでぜひ読んでください。
読みやすいし比較的話題としてはライトというか取っつきやすい系の記事でしたね。
良かったっす。
そうだね。
じゃあ次お願いしようか。
防衛省サイバーコンテストをAIが攻略、CTFとAIの未来
行きましょうか。
防衛省サイバーコンテストをAIで攻略した話。
さときさんっていう人の聞いたの記事ですね。
そんな長くないんで読んでくれっていう感じなんだけど。
防衛省が毎年サイバーコンテスト、いわゆるCTFを主催してやってて。
それに参加した記事のこの著者の方が団体戦で出てる。
団体戦なんだけど、3人プラス4人目としてAIエージェントを活用していこうっていう話ですね。
ものすごい勢いで全館して優勝しましたよっていう話でした。
この話が出てからXの中でも細かい実際のやり方の話とかもいいかなと思ってて読んでくれるっていう感じなんだけど。
あれと結構キーテイカーウェイとしては当然攻撃者もこういうことをやれるよっていう話かな。
そうだね。その辺の話はまさに次の記事でも話そうと思ってたところだったな。
すごい時代だわ。
なんか普通に具体的な構成めっちゃ気になったけど、
企業秘密っぽくてちょっとそれだけ残念だったな。
そのCTFにおける優位性っていうかあれだから当然話さないのは確かにって感じなんだけど。
いやーえぐいよな。理屈としては分かるけどやっぱり実現できるんだねって感じだよね。
いやー一時期以内に僕はもうどうすんだよって感じだよな。
CTFやる側は。
ちょっと僕はやったことないんで分かんないんだけどこのVoyageのやつが。
どうなんだろうね。
あと高難易度、超高難易度問題はまだまだAIで難しいって書いてあるね。
僕もAIでCTF参加するか。
なんか全然別トピックだけどイスコンとか今1年以上やってなくて一応次やるって言ってるんだけど。
問題つくのめっちゃ頭ひねってるだろうなーとか思いながら。
そうだね。
困ってるわ。
問題出す側の目線に立った時結構悩ましい。
もうAIを使っていいという前提にするとそのもう難易度を上げざるを得ないというか。
でもそうなるとなんかね。
イスコンとかだとその学生でさ、
クロードコードマックスなんて契約する他にないっていう子たちがもうスタートラインに立てないみたいな話とか出てきて。
結構悩ましいなって思ったな。
なんかイスコンでそれができるかどうか分からんけど、
AIあり枠となし枠とかでもいいのかもしれないけどね。
まあその厳密に縛れないっていう問題があるからなんか悩ましいけど。
そうね。
それはそれで違うかもあるから。
まあなんか予算が許すならいつもインフラのクレジットを払うように。
AIのクレジット。
まあね。
すげえ高いけど。
すげえ高いし絶対他のことにも使われる気がするけどな。
確かにね。
アンソロピックをスポンサーにつけるしかないな。
そうだね。
ありがとうございます。
じゃあ次。
これ別のやつとね。
こっちにしよう。
少々お待ちを。
でもいいか。
Claude Opacity 4.6によるOSS脆弱性の発見とAIの進化
ハッカニュースの記事ですね。
Cloud Opacity 4.6 Finds 500 High Stability FlowsAcross Major Open Source Libraries
っていうタイトルの記事ですね。
最近アンソロピックからCloud Opacity 4.6っていう最新モデルが発表されましたけど、
このモデルがオープンソースライブラリにおいて500以上の
ハイもしくはクリティカルのセビリティっていうところのそれぐらいのレベルの脆弱性を見つけたよって話ですね。
これ系ちょこちょこ今までも何回もここでも取り上げてる話題というか、
Googleがこういうの出してこういうの見つけたよとか、
クロスボーでしたっけ、ああいうサービス。
Googleのやつが思い出せない、なんだっけあれ。
まあいいや。
Googleはね、なんか。
名前ついてたあれ、なんか忘れちゃったけど。
ついてた。
なんかサービス名ついてた気がするよね。
それ系の記事なんですけど、なんかわざわざ取り上げたのは結構、
元記事もハッカニュースの3割でも十分なんで、興味ある方はそっちかなんですけど、
面白いなと思ったのが、
オーパス4.6をアンソロピックってレッドチームが、
多分結構ちゃんとしたレッドチームがあって、
このオーパス4.6で何ができるのかみたいなところを検証評価するために、
この脆弱性探すみたいな、
その一環として脆弱性探すというのをやったみたいなんですけど、
このモデルの純粋な能力を測るために、
例えば脆弱性を探すために、
Fuzzing的なツールもモデルが使えるように整備して渡してあげるとか、
特殊なプロンプトをきちんと設計して渡すとかそういうことはせずに、
割と素のモデルのままサンドボックスに突っ込んで、
オープンソースのコードも突っ込んで解析させるっていうことをしたときに、
どうなるかみたいな部分をやったっていうのが結構なるほどなっていう部分であって、
その結果としてこれだけの成果が出てるっていう部分があるっていうのが、
割とちょっと印象深いなっていうのがあるって感じですね。
見つけた脆弱性も具体的にいくつか紹介してくれてて、
全部は僕も読めてないんですけど、
例えば結構有名なOSSとかで、
数年誰も見つけられなかったような、
でも数年前からあった重大な脆弱性を見つけたり、
メモリ関連の複雑なものを見つけたり、
また理論上はユニットテストですべての分岐のパスを調べれば見つけられたものなんだけど、
かなり特殊なパスで、
もう人間には見つけられなかった可能性が高いでしょってものを見つけられたよとか、
そういうような感じで、
結構LLMならではのものを見つけてるっていう部分も特徴としてあったのかなという感じですね。
結構紹介したかったのは、
思ったより早いペースで進化していて明るいなという気持ちと、
また今まで紹介したやつもそうだけど、
基本的にはOSSとかで正解が決まってるようなプロダクトがほとんどというか、
表現は難しいんですけど、
こういう挙動をしなきゃいけない、
こういう挙動をしたらまずいみたいなのがある種決めやすいものに対して、
結構ワークするっていうのが証明されてきてるかなと思いつつ、
僕ら事業会社とかだとビジネスロジックというか、
ちょっと正解の形が曖昧なものに起因する脆弱性とかを見つけるところまで行ってくれたらいいなという気持ちと、
また元吉の最後の方でも触れたったんですけど、
これもモデルは割と進化してきて、
特殊な使い方しなくても結構見つけられるという状況になっているってことは、
クロードというかワンストロピックも頑張って対策はするけど、
でも攻撃者もこれ使えちゃう、
同じことができる可能性がどんどん上がってるってことなんで、
基本的には、
例えば脆弱性が出たものに対してすぐにパッチを当てるとか、
そういう基本的な取り組みっていうのはもっと大事になるかもねみたいな話をしていて、
それは確かになっていうのをちょっと思いつつ感じですね。
パッチ当てる前にゼロでやれるってパターンもある気はするんですけど、
だからそこはイタチごっこな気はしつつ、
でも多分イタチごっこのサイクルが速くなるイメージなのかな。
向こうも見つけるペース早いし、防御側も見つけるペースも速くなるし、
そこに置いてかれちゃうと、
2個3個パッチを放置するみたいな状態に落ちるみたいな、そういうイメージなのかな。
これはきつい時代だな。
ちょっと理不尽だね。
パッチがいっぱい、というか脆弱性がボンボン出て、
ボンボン修正されるのは多分いいことなんだけど、
プロダクションデプロイする我らの立場としては、
同じペースで決してデプロイできないと思うとどうすんのみたいな部分がある。
しかも1個2個とかじゃないだろうしね、使ってるライブラリーもなると。
そこの不均衡、
非対称性みたいなところをどう向き合うかみたいなのが結構、
よりシビアになってくるのかもね。
今まででもその問題ってあったと思うんだけど。
ありがとうございます。
AIインシデントレスポンスアプローチブックとセキュリティ対策
これだけでもアンソロピックとかがボンボン見つけちゃうと、
ちょっとクロードに課金してバグバウンティーで小遣い稼ぎできないかなとか、
無限に使える側の人たちがこうして見つけちゃうと、
言うてもOSSなんていくらでもあるし、
多分これオープンソースのライブラリーだから、
クロスボウみたいな感じで、
めんどくさいな、ブラックボックスでやろうとすると急にめんどくさいな、やっぱり。
一応記述で書いてあったのは500ぐらい見つけたけど、
見つけてきたものに対して最大限AIに補助性は引かせるけど、
検証みたいなのは最終的に人間がやってるのと、
修正案みたいなのもある程度人間がレビューしてるみたいなのから、
その辺の体力がないと同じことはできないって話はあるかなと思うね。
そこもあれとチームがちゃんとあるがゆえにできたことなんだろうなと思うけど、
確かにバグバウンティー、
AIと競争させられるというか、自分もAI使わないとある程度は稼げないというか、
そうだね。
あとはカール終了したみたいに、
もうそもそもなんか自分たちでやるわみたいな。
さっきのCTFでいうとこの超高難度なサービスの脆弱性とかだったら、
マスとしては残るかもだけどみたいな。そういうのはあるかもね。
でもそれをレポート受ける側は判断するの難しいよね。
超高難度なものだけを事前に、
超高難度なものみたいなのを選引できないから、
結局何が起こるかっていうとみんなとりあえず送ってみて、
高難度判定されるかどうかを見るみたいな、
そういう感じになっちゃう気がするから。
確かにね。そういう感じに傾いちゃうともうあれだろうね。
閉じちゃうんだろうね。閉じちゃうよね。
閉じるか、あとはインセンティブを減らすか。
でもインセンティブ減らすとさ、結局売ったほうが高いってなっちゃうから。
まあ確かにね。
でもそうは言っても、そもそもものによっては、
どう頑張っても売ったほうが高いよねみたいなものもきっとあるはずで、
一定職業倫理に支えられてる部分はあると思うんだけど、
なんて言ったらいいんだろうね。
いろんなリスクと天秤にかけて、
トータルで売ったほうが損になるよねっていうところのバランスで成立してる世界なんじゃないかなって思うから。
確かにね。
見物っすね。他人事みたいに言っちゃったけど。
どうなってくんでしょう。
いやでもきついよ。なんて言ったらいいんだろう。きついよ。
誰にとってもきつい話だとは思うなこれ。
またこの無限にモデル、無限じゃないんだろうけど、ある程度コスト的な制約とかない、
こういうAIモデルを提供する会社がこういう活動を継続的にしてくれることに期待するかとか。
今回見つけた500個も全部たぶんコツコツメンテナーと連絡取って修正も手伝ってみたいなことをしてるみたいで。
たぶん紹介してるのはもうパッチが当て終わったやつなんだろうね。
そうだね。
明るいのか暗いのか。
でもよりなんか差がついてくってイメージがするな個人的に。
ちゃんとやってないところがどんどん置いていかれるみたいな。
じゃあ次もAI系ということで。
今日はAI成分多めだね。
AIインシデントレスポンスアプローチブックを公開。
ジャパンAIセーフティーインシティチュートっていうのがあって、そこのレポート的なやつですね。
ちょっとごめんなさい、時間なくて読めてないんだけど、結構前に出たっぽいんだよね。
1月9日公表って書いてあるわ。
はいはいはい。
だいぶ時間経ってるんですけど、見かけたのが2月入ってからだったので持ってきました。
そして概要版があったんだね、気づいてなかったな。
めちゃくちゃ斜め読みしたけど、
ちゃんと読み込まんとわからんなっていうか。
でもこういうのも出てくるようになったんだなっていうのが、1年前とかと比べるとちょっと雰囲気変わってきたよね。
ある程度体系立てて整理されてきたし、
旧来からのセキュリティモデルとの差分がどこにあるのかみたいなところをみんなが理解し始めたっていうのが今の状態なのかなというのが、
なんかこういうところから見て取れるような気がせんでもない。
確かにね。
正直に言うとさっと読んだ感じ、僕はあんまサプライズはないというか、
これ確かにっていうのはなかったんだけど、
でもそれは色々なんかキャッチアップしたい仕事で悩んでるからであって、
なんかここ何もわからんみたいなとか、
リスクを理解してない会社とかが参照するリファレンスとしてはかなりちょうどいいというか。
まあ割と観点としてはぼちぼち網羅されてるんじゃないかみたいなところは思ったなあ。
そうっすね。
いやー大変っすよ。
まあなんか社長に説明しなきゃいけないとかそういう人はすごくいいんじゃないかな。
悪い意味ではなく、なんていうか。
立場的にどうにかしなきゃいけないけど何から手つけたもんかとか。
やっぱその、物が物だし自由度が自由だし渡す権限は渡す権限だから、
発散の方向に思考が向かってしまうともう全部危ねえやみたいになるところを地に足つけるためのツールの一つとしてはすごいいいんじゃないかなって気がするね。
という、まあただそれだけなんでちょっとライトにもうこれで終わりでいいかなと思います。
はい、ありがとうございます。
TikTokへの罰金と中毒性デザイン、未成年保護の課題
じゃあ次も。
この3体のやつ久々に見たなあ。
はい、次。
次行きますか。
YouSense TikTok Faces Large Fine Over AddictiveDesign っていうブリーピングコンピューターの記事ですね。
中毒性のあるデザイン、設計、なんて言ったらいいんだろうね。
UIなのか何なのか分からんけど体験なのかな。
に対して出髪の罰金を課すよみたいなことを言ってるよっていう記事ですね。
これは何らかの法律に基づいた話なんだよね、きっとね。
法律が検討されてるって話じゃないかな。
でも違う違う。
法律なのか。
デジタルサービス法に違反しているためって言ってるね。
なるほどね。
これ。
面白いね。
気持ちは分かるけど、ちょっと面白かったな。
どういう、何の基準で何がダメなんだろうね。
分かんないね。
デジタルサービス法。
TikTokは全然カバーわけではないけどさ、今やもうインスタにもFacebookにもYouTubeにももうほぼTikTokクローンみたいな機能があるわけで、
どこの何がダメなんだろうね。
また若者向けで言うと、
ライブ配信アプリとかも割となんかさ、
どれがとかは言わないけどさ、
ちょっとトランス状態になりやすいサービス設計というか、
物が物なきゃしょうがないんだけどさ、
課金したときの演出とかさ、
そういう部分ってあると思うんだけど。
あとBDRとかじゃない?
BDRって何ですか?
BDRってなんか写真を撮ってやるよって、
ランダムになんか写真撮ってって、
通知が来る。
SNSか。
そう、写真あげていかないと人の投稿見られないっていう、
アイディアは面白いけど、
中高生の狭い社会と組み合わさったときの、
中毒性というか、
脅迫観念みたいなのの生み出し具合が結構強烈だなとは思うけどね、
ああいうのも。
なんか手をかえしなおかえって感じがするな。
僕らの時代とか全力プロフィールとか、
クローズドな中でのマネティブの繋がりというかさ、
あれがなんか。
確かにずっとあるんだけどね。
思考停止に追い込むデザイン。
なるほど。
未成年や脆弱な大人、リターシーが低いのに一時的なものを含めた精神的に認知的にリスクにさらす性格。
報酬付けにして作る。
だからもう分かんないけどめちゃくちゃ、誤解を恐れずにめちゃくちゃ極端な例えをするとパチンコみたいなもんでしょっていう話なんか。
まあそういうことなんでしょうね。
パチンコを青少年にOKしないよねっていう風に言われたら、
まあそうですねっていう風に。
言っちゃうけどね。
無限スクリーンを問題視してるんだね基本的には。
いやまあでもむずいよな。
TikTok今のデザインどうなってんだろう。
ちょっとアプリ、なんか宗教者の理由で入れてないんですけど。
無限スクロールの画面しかないんだろうのかな基本的に。
なんかインスタとかはさ一応その無限スクロールゾーンに行かなければ無限スクロールは始まんないというか。
でもあれもな、でもタイムラインは無限スクロールだけどな。
まあなんか難しいね。
まあ結局リール動画1個でも開いたらさ、インスタもなんか無限スクロール地獄入りじゃない。
まあでもまあ影響範囲なんだろうな。
事実としてまあこれだけ売れてて若者もいっぱいいてみたいな。
面白いね。
面白いね。それがなかったら試行するのかな本当に。
それも気になっちゃうけどね。
1000ミリは難しいね。なんかその言わんとすることは分かるけど。
なんかこの指し方が正しいかと言われるとなんか。
なんか違うことで試行停止するだけなんじゃないのって思っちゃうけどね。
試行停止しちゃう人は。
TikTokなんかここで全然紹介してないけどさ結構そのここ1年ぐらいでそのいろんな国でその未成年のSNSを禁止するみたいな法律が相次いで結構成立してて。
オーストラリアとかかな直近僕が覚えてるんだと確かにそうだよね。
去年の12月に世界初だったんだ。
TikTokXYouTubeとかの16歳未満がそのTikTokインスタXYouTubeとかを禁じる法律っていうのを施行したのか。
でなんか多分EU県とかでもぼちぼち検討してるみたいな記事とかもいるから。
まあもう本当に本気で防ぐのはもうこういう風になるんだろうね。
で16歳未満であってもオーストラリアは親の道理があれば利用可能。
ちょっとジェミニの予約なんで無のみにはできないが。
そうだね。
直近だとなんか理由わかんないけどDiscordが未成年云々みたいなのもちょっと話題になってたよな。
あれ何なんだろう。
思い出せないけどなんかあったね。
成人向け機能制限。
なんか世界的なトレンドとしてもなんか未成年をどう守るかみたいな部分になるのかな。
いやー結構一人の子を持つ親としてはね。
うん。
なんか悩ましいものがあるなとは思ってたから。
うん。
なるほどねって感じがするわ。
なんか悩ましいっていうのはその僕らが子供の頃とはそのコンテンツの量が違いすぎるというか。
その圧倒的じゃん。
だからなんかその。
なんだろう。
自分がちっちゃいから。
そうかなー。
なんかまあでも確かにそのそもそもその張り付いていられる時間が伸びたよなと思うんだよな昔より。
張り付いていられる時間も伸びたし選択肢もめっちゃ増えてると思ってて。
まあね。
今日もちょうど家で話したんだけどそのなんか俺らがちっちゃい頃でまあご家庭によるともいいけど。
うちとかは割とテレビつけっぱだったんだけど。
うんうん。
テレビって基本的にそのチャンネルを変えることしかできないからまあせいぜい住宅ぐらいで。
でもなんか夜5時ぐらいとかってさもうニュース番組しかないから別に見るもんないというか子供的には刺激がないし。
夜とかもまあ別に興味ないとかがあってまあ録画っていうのでとかビデオとかで見ることはできるけどまあまあそれもせいぜい高が知れてるじゃん。
レンタルしてきて4,5本まあ擦るみたいな感じだけど。
今とかって例えばうちとかだとまあ全国が出そうだと思うんですけどまあyoutubeとかのね味を1回覚えるとその無限なんですよ。
マジで無限だからその全部を見るっていうのはないしまあ1個飽きたらまた次の別の味がするやつがあるし。
でそのサービス側が似たような味とかもっと刺激のある味のあるものコンテンツをどんどんどんどん見せてくるから。
何も考えずに供給するその多分あっという間に思考停止に陥る状態かなって個人的には思ってるから。
なんかそこでも一方でその親の立場でその何でもかんでも子供をコントロールできるのってまあせいぜい多分小学校入るまでなのかな。
まあ4,5歳とかでももう多分嫌じゃんね親に何でもかんでも禁止されるってのは嫌だと思うから。
まあね。
だからその荒波を自分で乗りこなしてもらわなきゃいけないと思うと結構自分がそれを踏んできてない以上なんかすごい難題だなと思ったりする。
だからまあそこまで思いをはすってそのこういう法律の禁止とかTikTokの中毒性云々とか振られてるかまではちょっと知らないけど。
なんかそういう時代だなっていうのはちょっと個人的には思います。
もうセキュリティーな話でも何でもないけど。
セキュリティーな話でも何でもないね。
エージェントスキルにおけるセキュリティリスクとToxicSkills調査
急にこそがポッドキャストになっちゃったけど。
いやーでもマジでね。
そう。
まあでもなんか本質わかんない部分もあると思う僕の質問ですけど。
まあでもどうせEUからそういうサービスが出たらさ何もしないんでしょって思っちゃうけどな。
まあそれはそうかもね。
なんか。
そこがね。
こすいよね。やってることが。
ちょっと頑張ってほしいよね。
グローバル企業から罰金で稼ぐとかやゆされたいかもしれない。
まあね。
GDPRしかね。
うん。
はい。
じゃあ次いきます。
あ、最後だ。
はい。
まあ最後にこれかって感じだけど。
まあAIばっかだな。
スニークのブログで。
スニーク ファインス プロンプト インジェクション イン 36% 1467 マリシアス ペイローズイン タクシックスティールス スキルス スタディオ オブ エージェント スキルス サプライチェーンコンプロマイズ
長い。
長い記事ですね。
何かっていうと スニークがToxicSkills っていうふうに名付けた調査を
したよっていう話で 何の調査を したかっていうと エージェント
スキルと呼ばれるもの 皆さん 日々抑えられてるものに対して
セキュリティ的な欠陥とか問題 もしくは悪意のあるレア的なもの
Promote Injectionが混ざってないか っていうのを調査したよっていう
話ですね 具体的にはSkills.sh っていう あれはクロードコードスキル
なのかな でもスキルが多分標準 化されたんで クロードコードに限らず
使えるスキルが公開できる MyNPM 的なマーケットプレイスと また
今 直近めちゃくちゃ話題になってる OpenCLOのあれは何て言うんだっけ
あれもスキルなんだっけな スキル と呼びましょう スキルのマーケット
を洗いざらい調査したよっていう 話ですね レポートめっちゃ長いん
ですけど 基本的にはそうだよね っていう感じな話とか リスク
の部分とかも耳たこというか 知ってる人は知ってるって感じ
なんですけど ちょこちょこ気になった というか なるほどなと思った点
だけ紹介すると 前回か前々回 ややしゅうと話したときにも話が
出たけど OpenCLOやべえよって僕 話したときに まあでもNPMとか
RubyGemsとかも最初はそうだった よねみたいな そうだったんじゃない
って話で 確かに腹落ちしたんだけど その辺に関して記事中で まあでも
一緒なんだけど差分があるよね みたいな部分で言及されてる部分
が それは確かになって思った部分 としては 一つはそういうとこから
仕入れたスキルとかは 基本的には デフォルトでめちゃくちゃ強い
権限で稼働するよねっていう部分 がある 特にOpenCLOとかは分かり
やすいんですけど サンドボックス とかに突っ込むっていう設定を
しなかったら その環境において ほぼユーザーと同等の権限を持つ
みたいな部分は大きいよねっていう 部分と あとこれは確かにと思った
けど プロンプトインジェクション を混ぜ込むパターンに関しては
機械的な判定がかなり難しい 従来の NPMでマリシアスコードを
混ぜるとか そういうものに対して は 例えば静的回線をかけるとか
外と通信してそのものを見つける とか いろんな知見があって もちろん
精度100パーではないもののそういう ものを適用できるけど プロンプトインジェクション
はそのプロンプトインジェクション を検出するっていう 多分プラクティス
的なものは多分あるあるし 各社 モデルを作ってる会社とかは特に
社内でやってるんだけど そういう ものがスキルマーケット側でスキャン
されてるとか そういうことができない よねみたいな話とか あと
これはNPMでも一緒かなと思いつつ メモリを通じて エージェントに
入っちゃうとそこで映像化できちゃう よねみたいな話とかは差分として
あるんじゃねっていうのが書いて あって これは確かになというか
特に2つ目の部分は時間解決する 気はしつつも 確かにと思ったっていう
のと あとはいろいろ調査結果の サマリがあるんですけど なるほど
なと思ったのは いくつかの問題 をカテゴリー分けしていて 例えば
プロンプトインジェクションが 入ってたとか 悪意のあるコード
シンプルに情報外部に送信する とか そういうものとか あとは
怪しいファイルをダウンロード してくるとか また悪意あるわけ
じゃないんだけど クレデンシャル をハードコードしちゃってるみたいな
そういうパターンもまとめてるん ですけど Skills.shの人気ランキング
トップ100のスキルに関しては 今 言ったカテゴリーのうち 悪意のある
ものは0% 1個もなかったっていう 結果になっていて 一方でクレデンシャル
をハードコードしちゃってるとか あとはスキル図がまた別のパッケージ
とかを使いに行ってるっていう 部分はあるんだけどみたいな部分
でもあるな 資金盗むやつは2%ある って書いてあるな だからごめんなさい
悪意のあるやつあるわ 2%あるんだ まあいいや なんで2%ある0%解釈
しちゃって読んでたけど でもなんていう かトップ100のうち割合的には98%は
悪意はないと思うと 人気のやつ はなんだかんだ誰かが気づいて
報告すんのか何か分かんないけど 微妙に事情作用働いてんのかって
ちょっとおかしさと あとClohubの 方 Clohubはオープンクローのほう
のスキルマーケット的なやつです けど そっちは割と今もめちゃくちゃ
盛り上がってるなっていうところ を反映された数字かなと思って
て プロンプトインジェクション は3%のパッケージが確認されたり
悪意のあるコードは5%で入ってます とか 不審なダウンロードは10%の
やつで入ってますよとか 割とおおおお っていう あとは資金盗む系
は多分暗号通貨とかなんですけど 9%あるよとか さんざんセキュリティ
ベンダーが騒いでる通りの盛り上がり ではあるかなっていう ただこの
10%が人気のあるものかどうかっていう のは 多分Clohubに人気ランキング
的な機能は今はないんでしょうね なんでこういうまとめ方をしてる
と思うんですけど っていう感じ 今は過渡期だなっていうのを改めて
いってくると あと地味にちょっと 詳細読み切れてないんですけど
お ええやんと思ったな このローカル に入れちゃったスキルとかエージェント
をスキャンするツールを作って 使えるようにしたよっていうの
最後の 記事の最後のほうに書いて くれて パイソンなのかな npxのパイソン
版のコマンドでmcpscanっていう mcp なのか分かんないけど でもmcpscan
っていうパッケージでskillsオプション 付けるとローカルのやつをスキャン
してくれるから これ使うといいよ みたいなことを書いてくれて これ
とセットでレポートしてくれる のはすごいいけてるじゃんっていう
両親的に これの実行自体は自己責任 ですけど そうだね 両親的
あとは最後のほうはスニークの サービス紹介って感じだったんで
そこは割愛しますけど そんな感じ でしたっていうところです 怖い
人は自己責任でこれを実行してみて もいいかもしれない まだサード
パーティーからスキルズを落とす ってやってないんだよな やった
ことないんだよな 全然スキルズを使えてないな まだ
それで言うとそもそも なんかにわく発言だったらマジ
ですいませんなんですけど わざわざ 外から落としてくるようなもん
なのかって気がすんだよな いや 今日初めてそれをスキルズ作ったん
だけど スキルズを作るスキルが クロードコード使うとプリセット
で入ってるんですよ だから よほど 複雑な要件じゃなければ 自然言語
でこういうの作ってって言って 手元で作れるはずで サードパーティー
のこういうリスクをわざわざ踏ん でインストールするメリットはどこ
にあるのかみたいな部分もある 気がするし またサードパーティー
で引っ張ってくるってことは やりたい ことがある程度言語化されてる
わけじゃん だからその言語化した ものを対話でやって手元で作れば
いいし なんかそれでよくねって 今ふと思ったなっていう ただそれ
だけ 分かんない なんか有識者 に言わせると いや このスキルは
本当に出来が良くてとかあんのかもしれない けど でもそれぐらい有名なもの
とかあったら まあでもな 自己責任だよなとは思うんだけど
skills2.shのトップランキングを見る か バーセルのスキルとかがめっちゃ
もうトップ3ぐらい入ってる こういう のは信頼してもいいのかもね
でもfind skillsっていうスキルがある わ 怖え
いや もう なんか
これが なんかさ その作りがさ 本当に自由度
が高いから そのなんでもかんでも 入ってくるっていう意味では 結構
なんかあれだね 大変かもね まあでも別にでもなんでもそう
なのかな こういうのに限らずだけど なんかでもこの なんか人の発想
の幅だけいろんなものが入ってる みたいな なんか ちょっと独特の
そのあれはあるよなとは思うん だよな なんか
そうだね
あんまりその技術的な制約がそこ にないというか こう クロームの
拡張だったらせいぜいこの辺まで だよね みたいな なんかその なん
となくさ 暗黙的な境界線がある じゃん GitHub Actionsとかもなんか
多分そういうのあると思うし なんか
うん
そうね なんか AIアジェントが基本的には
サンドボックスで動かないのが結構 枠が 箱がないのがきついんだろう
な
うん
例えばどっかイメージで動くとか だったらさ そういえばなんかニュース
ピックしなかったけど どっかの サンドボックスのやつとかなんか
ちょっとリリースされてるけど そういうので動くとかだったら
変なスキル入って変なコマンド 戦えても ある程度守れるよねみたいな
前提があったりするけど 今は多分 99%の人はそういう使い方をしてない
と思うし 何か他の 例えばNPMと比べたときに でもNPMに今度は叩けん
のかな 叩けるけど ポストインストール 防ぐみたいな手段はあったりはする
わけで だから いやでもやっぱ 差し込み方は限定的だよな ちょっと
口が広い感じはするよな あとは 映像化みたいなのも確かにやり
やすいのかな まあまあいろいろ そうね 個々人の方はGAしていただく
しかないし 会社で働く上では これを抑えるっていうのは多分
無理なんだろうから エンドポイント をどう守るかとか そういう話の
音しかないんでしょうねって感じ でね でもあれだね TOP100眺めてる
と TOP30ぐらいまではまともそう というか 得体の知れない まあでも
たまにいるな サードパーティー っぽいやつ いやでもこういうの
もさ 中身眺め でもすごい量だな なるほどね そうですか こんないち
ち見てらんねえな はい 皆さん お気を付けくださいって感じですね
このコマンダー自己責任で一回 叩いてみてもいいかもしれません
それはスニックが作ってるの? そう そうだよね まあまあスニック
が作ってるんだったら大丈夫 でしょうけど 大丈夫だと思う 基本的には
別だから これを実行せずにスキルズ をインストールするほうがわけ
わかんないから そういう意味で 言って 使ってみていいんじゃない
かな 今日はAIの日でしたね 割と 久々にAIの割合で
そうだね 久々にAIででしたね 結構 だいたいAIじゃないのか もう
3つしかなかったのか そうだね うん そんなことない 2つだけか
AIじゃないの すごい割合だな いや でもなんかあれですよ この
AIブラウザの現状と業務ワークフローへのAI導入
Podcast始めた頃とか中盤の頃とか だいぶAIエージェントと個人的には
仲良くなった気がするわって 解像度が上がってきたけど AIブラウザー
はまじで一向に解像度上がんない ですね ガチで上がらん とかそれ
こそAIブラウザーが頑張るかどうか じゃない サースが死ぬかどうか
って 違うかな いや 無理じゃない だってデータストア的特性をさ
AIブラウザー自身が持つことはない じゃん
まあ 確かに 確かに そうだね Google Chrome Gemini for Chromeが あなたのGoogle
ドライブを スプリットシートとか をいい感じにストアとして もう
いい感じのクローを組んで勝手に こちょこちょ動くよみたいな まあ
でもなあ ちょっとそういうもん じゃねえな AIブラウザーは
じゃあ 例えばだけどSmartHRをそれで 置き換えられますかって話だよね
置き換えられないだろうね いや 置き換えられるんだろうけど
いろんなその要件を吸収できない よね きっと
そうそう 採用管理ツールをそれで 置き換えられますかとか ギッターブ
をそれで置き換えられますかとか 無理じゃん なんか そういうところ
にはいって何かあるはずで じゃあ それって何なのみたいな話だよね
一つはデータなんじゃないって 思うんだけど 個人的にはね
あと 今SmartHRっていうのを聞いて 思ったのは 結構セキュリティー
要件も結構
あるね セキュリティー要件 法的 要件はもちろんあって マイナンバー
とかね
その辺はAIワークフローとか クロードコードにやらせれば全然
進まない気がするな まあ できる だろうけど コスパがめちゃくちゃ
悪いというか 特化したものを ソフトウェアを使ったほうが多分
いいんだろうね
っていうか 独立した環境を用意 しないと無理じゃない なんか そもそも
分からんけど コンテキストとか 絶対共有されちゃいけないよね
みたいな 何か 要件が入ってきそうだ し
まあね でも原理上はインスタンス 1個立てて そこにモデルセルフホスティング
してとか できるとは思うんだけど でも何か 多分 やっていくうちに
あれ これSmartHR作ってるだけじゃない ってなるんだろうなというか
気はするな いや ワークフロー なんだよな 僕の中では業務ワークフロー
のどこにエアーを差し込むかの ゲームでしかないなって思って
ますが まあ 1年後に行きたいですね じゃあ 今日はそんな感じでございます
か
はい
はい じゃあ お疲れですね
ちょっとね 何か
まあ 元気出して 明日も 今日 木曜日なんで 元気に鼻筋出汁して
ゆっくり休みましょう 土日で
はい ゆっくり休みましょう
月曜にまた元気に集合しましょう
はい そんな感じで お疲れさまでしょ
はい 皆さん お休みなさい
おやすみなさい
