株式会社ずんだもん技術室AI放送局

AIやテクノロジーのトレンドを届けるPodcast。平日毎朝6時配信。朝の通勤時間や支度中に情報キャッチアップとして聞いてほしいのだ。

株式会社ずんだもん技術室AI放送局 podcast 20241007

2024年10月07日

MP3ファイルをダウンロード

内容紹介

AIやテクノロジーに関する記事を紹介 日本語版 Gemma 2 2B を公開、可愛すぎかよ! ハッカーの新しい相棒 コマンドラインからLLMを使えるgptme|shi3z、OpenAI、ChatGPTの新機能「canvas」の提供を開始 ―ライティング、コーディングをGPT-4oベースのAIで支援 gihyo.jp、クレカ情報の流出があったタリーズオンラインストアのWebアーカイブから原因を特定した猛者が現れる→集まった有識者たちにより巧妙な手口が明らかに

出演者

ずんだもん
ずんだもん

関連リンク

Google Developers Japanブログにて、2024年10月3日に日本語版Gemma 2 2Bが公開されたことが発表されました。Gemma 2 2Bは、Googleによって開発された大規模言語モデルです。 この発表は、日本の開発者向けに日本語で提供されることを意味しており、日本語での自然言語処理に関する開発を促進する役割を果たすと期待されます。 ブログ記事の本文には、Gemma 2 2Bの詳細な仕様や使用方法などは記載されていません。

このブログ記事は、Google Developers Japanの公式ブログからの情報であり、信頼性の高い情報源です。 新人エンジニアの皆さんにとって、日本語で利用可能な大規模言語モデルの登場は、機械学習や自然言語処理の分野における学習や開発を容易にするでしょう。 具体的な使用方法については、Googleが公開する公式ドキュメントを参照する必要があります。

引用元: https://developers-jp.googleblog.com/2024/10/gemma-2-for-japan.html

この記事は、コマンドラインからLLM(大規模言語モデル)を利用できるツール「gptme」を紹介しています。gptmeは、OpenAIやAnthropicなどのAPIキーを設定することで、コマンドラインから直接LLMを呼び出し、様々なタスクを実行できます。ローカルLLMにも対応しており、クラウドへのデータ送信を避けたいユーザーにも便利です。

gptmeの真価は、コマンドラインからの利用に加え、パイプライン処理との連携にあります。例として、duコマンドで取得したディスク使用量情報をgptmeに渡し、「一番容量を食ってるフォルダは何Gバイト使ってんの?」と質問することで、LLMが解析し、結果を返してくれる様子が示されています。

さらに、プログラムのコードをgptmeにパイプで渡して処理させることも可能です。記事では、音声認識プログラムのコードをgptmeに渡し、「transcribeの時間を計測して表示しろ」という指示を出すことで、LLMがコードを修正し、音声認識にかかった時間を計測・表示する改良版コードを生成する例が紹介されています。これは、LLMによるプログラムの自動修正や機能追加を容易に行えることを示しています。

gptmeは、M2 Max搭載Macでの動作例も示されており、高速な音声認識処理が可能であることが確認されています。Raspberry Piでも動作することから、様々な環境での利用が期待できます。 開発者は、gptmeを「頼りになる相棒」と評しており、その有用性と使いやすさを強調しています。 本ツールは、コマンドライン操作に慣れたエンジニアにとって、LLMを活用した効率的な作業を実現する強力なツールとなるでしょう。 概要を理解すれば、すぐにでも活用できるシンプルさが魅力です。

引用元: https://note.com/shi3zblog/n/nd07c731e025a

OpenAIは、ChatGPTの機能を拡張する新機能「canvas」のベータ版提供を開始しました。これは、文書作成やコーディングにおいて、ChatGPTとの協業をより効率的に行えるツールです。

canvasはGPT-4oをベースとしており、ChatGPTのチャット画面とは別に表示されるウィンドウで作業を行います。このウィンドウでは、文書やコードの特定部分をハイライト表示することで、ChatGPTに指示を的確に伝えられます。 プロジェクト全体を俯瞰しながら、ChatGPTからのインラインフィードバックや様々な提案を受け取ることが可能です。

現在、canvasは手動でショートカットを選択して操作しますが、将来的にはChatGPTが状況を判断し、自動的にcanvasを開く機能も実装される予定です。「use canvas」というプロンプトを追加することで、手動でcanvasを開くこともできます。

canvasの主な機能:

  • 文章作成: 編集提案、文章の長さ調整、読解レベル変更、最終仕上げ(文法・表現チェック)、絵文字追加など。
  • コーディング: コードレビュー、ログ追加、コメント追加、バグ修正、他言語へのコード変換(JavaScript、TypeScript、Python、Java、C++、PHPなど)など。

canvasのベータ版は、ChatGPT PlusおよびTeamユーザー向けに提供開始されました。EnterpriseおよびEduユーザーは10月第2週以降、利用可能になります。将来は、無料版のChatGPTユーザーにも提供される予定です。

canvasは、ChatGPTによる文章作成やコーディングにおける支援を大幅に向上させる可能性を秘めた機能です。 特定箇所への的確な指示、プロジェクト全体の把握、そしてAIによる様々な提案を同時に行うことで、開発効率の向上に大きく貢献すると期待されています。 新人エンジニアにとっても、より分かりやすく効率的な開発プロセスを実現するための強力なツールとなるでしょう。

引用元: https://gihyo.jp/article/2024/10/openai-canvas

タリーズオンラインストアのクレジットカード情報流出事件において、Webアーカイブを解析したユーザーが原因を特定しました。 複数のセキュリティ専門家も加わり、その手口が明らかになりました。

問題は、画像スライド表示用のライブラリslick.min.jsに、高度に難読化された悪意のあるJavaScriptコードが挿入されていたことでした。このコードは、クレジットカード情報を入力した際に、サーバーに送信される前に、外部の悪意あるドメインに情報を送信していました。

発見者は、難読化を解除することで、コード中にeval()関数を使用し、外部ドメインと通信していることを確認しました。eval()関数は、文字列をコードとして実行する危険な関数であり、セキュリティ上の脆弱性を引き起こす可能性があります。 SucuriなどのセキュリティソフトもこのJavaScriptを悪意のあるコードとして検知していました。

この攻撃は、クロスサイトスクリプティング(XSS)とは直接的な関係はありませんでしたが、Content-Security-Policy (CSP)ヘッダーが適切に設定されていれば、悪意のあるドメインへの通信をブロックし、被害を軽減できた可能性が高いと指摘されています。特に、CSPのconnect-srcディレクティブで通信先を制限し、unsafe-evalを指定しないことでeval()関数の利用を禁止する設定が有効だったと考えられます。

今回の事件は、一見安全なライブラリへの改ざんという、非常に巧妙な手口であったため、多くのエンジニアに衝撃を与えました。 この事例は、サードパーティ製ライブラリのセキュリティリスクと、CSPなどのセキュリティ対策の重要性を改めて示すものとなりました。 また、高度な難読化されたコードへの対処についても、今後のセキュリティ対策において重要な課題となっています。 開発者は、ライブラリの更新状況の確認や、セキュリティ対策の徹底を改めて意識する必要があります。

引用元: https://togetter.com/li/2445560

(株式会社ずんだもんは架空の登場組織です)