1. 緊急セキュリティ:悪意のあるAxiosバージョンがリモートアクセストロイの木馬を配布
広く利用されているHTTPクライアントAxiosの悪意のある2つのバージョン(1.14.1および0.30.4)がnpmレジストリに公開され、サプライチェーン攻撃が実行されました。侵害されたリリースには偽の依存関係「[email protected]」が注入されており、インストール後のスクリプトを通じてmacOS、Windows、Linux上でクロスプラットフォームのリモートアクセストロイの木馬を展開します。マルウェアはコマンド&コントロールサーバーと通信して第2段階のペイロードを配信し、その後自身のpackage.jsonを書き換えて検出を回避します。開発者は直ちに環境を監査し、該当するバージョンがインストールされていた場合は侵害されたものと見なす必要があります。
2. 未確認:Claude Codeのソースコードがnpmソースマップ経由で流出
Anthropicは、同社のエージェント型AIハーネス「Claude Code」のTypeScriptソースコードを、公開npmレジストリに誤って59.8MBのJavaScriptソースマップファイルとして公開しました。この流出により、ツール実装やアンダーカバーモードを含む約51万2000行の内部コードベースが露呈しました。開発者はAnthropicのエージェントアーキテクチャを分析するために、GitHub上でリポジトリをミラーリングしています。また、別のインシデントでは、リポジトリ設定の不備によりHugging Face Researchチームの事前学習データセットも公開されました。
3. OpenClawエージェントの侵害によりルートシェルアクセスのリスクが露呈
攻撃者がセルフホスト型のAIパーソナルアシスタント「OpenClaw」を侵害し、企業幹部のコンピュータに対するルートシェルアクセス権を取得・販売しました。このインシデントは、エンタープライズ向けのキルスイッチや最小権限の制約なしにメッセージングプラットフォーム経由でタスクを実行する自律型AIエージェントのセキュリティ脆弱性を浮き彫りにしました。OpenClawのようなオープンソースエージェントをプライベートインフラに展開する開発者は、エージェントの悪用がホストシステムの侵害に発展するのを防ぐため、厳格なゼロトラスト境界を実装する必要があります。
4. TimesFM 2.5:Googleが2億パラメータの時系列モデル(16kコンテキスト)をリリース
Google Researchは、Hugging Faceで利用可能な時系列予測基盤モデルのアップデート版「TimesFM 2.5」をリリースしました。新バージョンではパラメータ数を5億から2億に削減しつつ、コンテキスト長を2,048から16,000トークンに拡大しました。また、オプションの3,000万パラメータの分位点ヘッドを介した最大1,000ステップ先までの連続的な分位点予測をサポートし、周波数インジケーターの要件を削除しました。開発者は、更新された推論APIを通じてPyTorchまたはFlaxバックエンドでモデルを実行できます。
5. pg_textsearch v1.0:BM25検索に対応したオープンソースのPostgres拡張機能
Tiger Dataは、BM25による関連性ランキング付き全文検索を提供するオープンソースのPostgreSQL拡張機能「pg_textsearch v1.0」をリリースしました。この拡張機能は、Postgres内で直接スケーラブルなキーワード検索を提供することで、pgvectorのようなセマンティック検索ツールを補完するように設計されています。MS-MARCOを用いたベンチマーク結果では、ParadeDBなどの既存ソリューションと比較して4.7倍のクエリ処理能力を示しました。このリリースにより、開発者はAGPLライセンスの代替品に頼ることなく、ハイブリッド検索スタックを構築できます。
6. Claude Codeが安全分類器を備えた「Auto Mode」を導入
Anthropicは、コマンドの安全性を評価する2層の分類器を利用する「Auto Mode」をClaude Codeに追加しました。このシステムは安全な操作を自動的に承認し、リスクの高いコマンドをブロックすることで、開発者が手動で介入する必要性を低減します。これにより、すべての操作に明示的な承認を求めることと、監視なしでエージェントに完全な自律性を与えることの中間的な運用が可能になります。
7. llm-dがCNCFに加入、KubernetesネイティブなLLM推論を提供
IBM Research、Red Hat、Google Cloudは、llm-dプロジェクトをCloud Native Computing Foundation(CNCF)に寄贈しました。このフレームワークは、vLLMを使用してKubernetes向けにネイティブ構築された、本番環境グレードの分散型LLM推論スタックを提供します。この統合により、インフラチームは標準的なKubernetesオーケストレーションパターンを使用して、大規模言語モデルのデプロイメントを管理およびスケーリングできるようになります。
8. Claude Platformが監査ログ用のCompliance APIをローンチ
Anthropicは、管理者がユーザーやシステムの活動を監視できるようにする「Compliance API」をClaude Platformに導入しました。このAPIは、管理操作、システムイベント、およびファイルの作成や削除といったリソースの変更を追跡します。組織は、アカウントチームを通じて管理用APIキーを生成することで、これらの監査ログを既存のコンプライアンスおよびセキュリティ監視システムに統合できます。
9. Transformers.js v4がWebGPUランタイムを導入
Transformers.js v4のリリースには、ブラウザ内で直接機械学習モデルを実行するための新しいWebGPUランタイムが含まれています。このアップデートにより、開発者はハードウェアアクセラレーションを活用しながら、さまざまなJavaScript環境で同じTransformers.jsコードベースを使用できるようになります。WebGPUの統合により、Webアプリケーションのクライアントサイド推論パフォーマンスが大幅に向上します。
10. KwaiKATが非推論型コーディングモデル「KAT-Coder-Pro V2」をリリース
KwaiKATは、256Kのコンテキストウィンドウを備えた独自の非推論型コーディングモデル「KAT-Coder-Pro V2」を立ち上げました。このモデルは、Artificial Analysis Intelligence IndexにおいてClaude Sonnet 4.6に匹敵する性能を持ちながら、入力100万トークンあたり0.30ドル、出力100万トークンあたり1.20ドルという低コストで運用可能です。推論モデル特有の遅延を回避することで高いトークン効率と低レイテンシを実現していますが、前モデルと比較して長文脈の知識想起において一部回帰が見られます。モデルはStreamLakeおよびAtlasCloudのAPIエンドポイント経由でアクセス可能です。
11. プレビュー:OllamaがApple Siliconアクセラレーション用のMLXバックエンドを導入
Ollamaは、macOS上でのローカル推論を高速化するために、AppleのMLX機械学習フレームワークに基づいて構築されたプレビュー版をリリースしました。このアップデートでは、M5シリーズチップのユニファイドメモリとGPUニューラルアクセラレータを活用し、最初のトークンまでの時間と生成速度の両方を向上させています。また、NVIDIAのNVFP4量子化フォーマットのサポートを追加し、会話全体でのキャッシュ再利用を改善することで、OpenClawやClaude Codeのようなローカルコーディングエージェントのパフォーマンスを最適化しています。
12. 汎用的なCLAUDE.md設定によりエージェントの冗長性を低減
Claude Codeエージェントの出力の冗長性を制御するために、オープンソースの「CLAUDE.md」設定ファイルが公開されました。このファイルをプロジェクトのルートに配置することで、開発者はアプリケーションコードを変更することなく、追従的な応答、不要な提案、フォーマットのノイズを抑制できます。この設定により出力トークンの消費量が約63%削減され、自動化パイプラインや繰り返しの構造化タスクにおいて非常に有用です。