高度化したマルウェアShai Hulud v2が開発現場を侵食し、CIの自動処理を悪用して多数のパッケージを連鎖的に汚染している。攻撃は水面下で拡大し、主要プロジェクトにも被害が及ぶ深刻な事態となっている。供給網全体を揺るがす脅威だと警告されている状況だ。

Shai Hulud v2はnpmとMavenで計834パッケージを汚染し、GitHub Actionsのpull_request_targetを足掛かりにCI環境へ侵入する。setupbun.jsを使った二段階ローダーでBunランタイムを密かに導入し、難読化されたペイロードを実行して出力を抑えながら活動する点が特徴である。侵入後はリポジトリの秘密情報にアクセスし、コード改変やパッチ版の再公開を自動化して感染を拡大させる。
また特定の合言葉を用いてGitHub上の脆弱箇所を再探索し、除去後も再侵入を狙う持続性が確認された。環境変数の収集やTruffleHogによる秘密情報探索を行い、AWSやGCP、Azureの全リージョンを巡回してクラウド資格情報を吸い上げる。盗んだデータは三重のBase64で隠し、被害者のアカウント内で生成した無作為なリポジトリへ送信する。特権昇格を試みるほか、拡散が見込めない場合はワイパーでファイルを破壊する攻撃性も示している。
https://t.co/eaZv0WBxHS November 11, 2025

ソニーさんの発表、GitHubの管理側としてとてもよかったです。設定を全てIaC化して透明性を確保、利用者はプルリクで設定変更をするっていう文化を作ったのが印象的でした

GitHub を組織的に使いこなすために ソニーが実践した全社展開のプラクティス #GitHubUniverseRecap
https://t.co/Gc8hriMgyd November 11, 2025

貴方のビジョン、興味深いです。ジオエンジニアリングではなく、自然現象の再現と補完というアプローチは、Waの哲学（自然法、調和、循環、構造、秩序、バランス）に根ざし、低リスクで魅力的。GitHubの詳細を拝見しました。共有ありがとう！

#PlanetCooling #OceanBreathing #ClimateAction #WaPhilosophy #NaturalHarmony November 11, 2025

Linear が GitHub Project に比べて使いにくいと感じる人は、G+V や G+P、Command + Bなどのショートカットを使う前提で使うとグッと改善すると思う November 11, 2025

@rissya0214 興味深い提案です。深海エアレーションで海洋を活性化し、ミスト冷却で都市を冷やすアプローチは、自然な気候安定化に寄与する可能性があります。GitHubのモデルを拝見し、ナノバブル技術の活用が革新的だと感じました。さらなる詳細や科学的検証について、共有いただけますか？ #ClimateAction November 11, 2025

@Pythonist19 資格・特技：ゲームしか作れません。ゲームの実績はgithubにあります。

こう書くと、「ゲーム作れるってことは、知識技術があるってことかな？業務システムも作れるってことかな？あのバグも直せるかな？」そう思われるから、要注意🤣 November 11, 2025

AIエンジニアみたいな人のXのポストとかGitHubのREADME読んでると、いよいよ人間がAIに使われるようになってきたなって実感が湧く November 11, 2025

如果你有一些比较隐私的数据，放在 Notion、Obsidian 这些云端笔记工具上，害怕数据泄露。

可以看一下，Beaver Notes 这款开源笔记应用，所有笔记都存储在本地设备上，不经过任何第三方服务器。

同时支持 Markdown 语法编写、笔记链接、标签分类等实用功能，还能给重要笔记加密上锁。

GitHub：https://t.co/DwULfsbR4a

还支持多种云端同步方式，可自由选择第三方云服务商或自己部署的服务器，方便不同设备间数据同步。

提供全平台安装包，支持 macOS、Windows、Linux，以及 Android 和 iOS，有需要的可以下载试试。 November 11, 2025

2025年，我的几个第一性原理：

1. LLM token一定会越来越便宜，模型越来越强大，记住，所有做LLM Agent的人，都必须思考如何用10~1000倍的token带来革命，而不是他妈跟个傻逼似的天天想着省token；

2. chatbot的形式一定会被消灭，no chatbot revolution才是正确方向，一切AI应用不可能 、不应该、绝对不是一个个大号聊天机器人，一个个大对话框等着人大段大段往里敲字，

记住，所有AI产品必须重新设计，一切chatbot AI应用必定会被改写成NO CHATBOT形式，无一例外，chatbot的产品形态必然会彻彻底底、完完全全地淘汰，

或者那个傻逼一样的对话框，至少作为二等公民出现；

3. AI助手一定不能用“按个按钮”、“截个图”、“上传个文件”，再写个长长的prompt的形式出现，让用户解决个问题，先让用户点点按按十几次，

AI助手一定是具有强侵入性的，一定能主动嗅探一切环境，吞掉一切数据和信息，一定会主动在后台观察一切操作和行为——并且在疑似需要帮助的时候，主动弹出个对话框，用户一键确认后，主动接管，主动解决一切问题，

而绝不应该像准备个考试一样，准备文件、准备截图、准备一大堆按钮、准备一大长串prompt，让用户跟个大傻逼似的，手忙脚乱地在那儿表演，

总而言之，无论是商业落地的AI Agent，还是各种办公软件、工具、生活类的AI Agent，一个个不仅是傻逼兮兮的大黑框chatbot，而且要用户手动输入一大堆文件、图表、链接、信息，再敲一大段prompt——这些全都走了大弯路，

toC的无缝衔接强入侵的主动AI Agent助手，完完全全不会给你任何告诉他的机会，而是让AI Agent主动判断你是否需要我，直接给你一个大大的对话框，简单描述一下“我计划怎么帮助你”——你点一下确定，它来解决后面所有的事情。

4. 一切能用coding解决的问题，都是SWE Agent能解决的问题，也就是说，都可以直接拿claude code这类工具套壳来用，

SWE Agent这个形态，最擅长解决的问题，就是在一个确定的环境（一台机器、几台机器、若干仿真环境、一套terminal里的编译器/脚手架/运行环境/包管理、profiling和debugging方法）解决的问题，

而用coding解决的问题，从来都不止coding，一切VHDL/Verilog等电路设计、电路simulation和validation、一切类似labview和matlab simulink中可以仿真的电机、信号、示波器等等模块，

甚至ansys和CAD这类工具，还有大量data science和计算的问题，以及用lean或者formal-proof解决一些proof-based的数学和模型问题，都可以转化成一些API和coding解决的问题，然后让SWE Agent来解决，

这类问题可以叫做“一台机器上的确定环境下的问题”，

这类问题的特点是，可以靠LLM的智能不断拆分成一大堆subtasks，然后在本地环境下反复尝试、反复试错、反复看output、反复试验结果，失败后再换一个新的approach；

5. full self coding（https://t.co/W0qe8YtsYX）就是基于上面所有第一性原理的一个试验。

我将会设计一套侵入式试验，让10~500个ai agent组成一组，给一个github项目找出所有潜在的问题，包括文档、测试、修bug、优化、重构、完成todo list、加功能、加API等等，让10~100个agent并行完成这个repo潜在需要完成的所有任务，

并且让至少10组这样的agent去github上面公开贡献，等于在没有任何人为输入prompt的前提下，造出来1000~5000个agent在开源世界源源不断地做出贡献，就死死赖在github上面，尝试修复一切可能修复的潜在问题，做出贡献。

请你记住full self coding是最坚决贯彻test-time scaling law的行为，

full self coding坚决相信，人是ai agent世界最傻逼、最慢、错误最多、判断失误最高的存在，让程序员手敲prompt，无异于给AI Agent拖后腿，

只有先分析出问题，然后让10~500个agent同时并行运行，才能最大化执行的效率，最快速度解决已经发现的问题，无休止地为github提供潜在的有价值贡献——并且最关键的是，把“敲prompt的程序员”这个最垃圾、最慢、出错最多的环节彻底消除；

6. full self coding最大的瓶颈，一个是token价格过高，一个是目前几乎所有主流供应商，LLM inference速度过慢，

所以我最后的一个想告诉大家的价值观是：

groq、sambanova、cerebras这种在片上堆满几个GB的SRAM，在inference上效率是nvidia、amd、google TPU这些落后架构的10~50倍，这是test-time scaling law的最后一环，

如果人类在claude code、gemini cli上全面接入groq、sambanova、cerebras上host的模型，所有速度都会再快10~50倍，

现在最大的问题是，groq、sambanova、cerebras他们只能白嫖开源模型（deepseek、qwen、zai甚至更难用的llama），因为这三家自己没能力训练模型，本质是卖芯片的（实际是自己造完data center后卖API），

但是只要中国几家厂商能源源不断输送最好的开放weights的模型，让groq、sambanova、cerebras持续用上他们能用的最好的开放weights的模型，这三家最终会把nvidia、google tpu连同他们的客户一锅端。

人类依然非常需要LLM inference的时间上的飞速优化，只不过现在人们需要更强的模型，而人类愿意为此多等等时间，

但是终归有一天人们会发现，无论是coding，还是在各种infra中快速反馈相应，哪怕是简单的搜索或者问答，inference速度这件事才是至关重要。 November 11, 2025

開発屋やってきたが
今までGitHub使わなくて良かったから
全く触れてこなかったんだが、、、、

仕方がない覚えるか、、、
技術ではないからあまり食指が、、、、 November 11, 2025