今日1番気の毒だったのは日立台のセキュリティのお兄さんたちで、何往復も巡回したり声かけて上着のチャック下ろして着てるもん見せてくださいとか本当に大変だったと思うの
あのお兄さんたちが美味しいごはんにポカポカお風呂あったかい布団で眠れますように
乾杯🥹🍺 December 12, 2025

【今週の人気記事】Android OSの2025年12月のセキュリティ情報が公開。致命的なもの複数、悪用の兆候も／メーカーからパッチが提供され次第適用を https://t.co/kBSaA3PxJP https://t.co/go0bOrr3Ze December 12, 2025

面白い…かなりの危機感があるって事だな

＞機密セキュリティ報告

【件名：革命防衛隊情報機関と情報省の政府に対するガソリン価格引き上げ延期に関する共同勧告
日付：1404年10月12日 (2025/12/3)
機密レベル：完全機密 - 大統領、国家最高安全保障会議書記、革命防衛隊総司令官のみ https://t.co/zE6M51WGBq December 12, 2025

Symbol KeyStone、いくつかアカウントを登録してみましたが、OSのセキュリティと密に連携している感じがして、非常に丁寧に作り込まれている感じがします。これからの拡張性に期待です！ https://t.co/XIVPZSAX3K https://t.co/ZkRvavRCsT December 12, 2025

倭国は、トークン化経済の中核としてXRPレジャー（XRPL）を採用しようとしている。
XRPLは、倭国の次世代トークン化経済を支える存在となる見込みだ。

市場アナリストのDiana氏によれば、倭国のデジタル変革における大きな節目として、リップルがXRPレジャー上にゼロ知識証明（ZK）を利用したIDシステムを構築していることが主要情報源によって確認されたという。

つまりこれは、倭国が国家デジタルIDインフラをXRPLにアンカー（基盤化）する可能性を示唆しており、金融、コンプライアンス、そして国内で進行するトークン化経済を再構築することにつながる。

ゼロ知識型IDとは？

ゼロ知識IDシステムとは、ユーザーが自分の個人情報を暴露することなく、必要な情報だけを証明できる仕組みであり、
プライバシー、セキュリティ、コンプライアンスを大幅に向上させる。

これをXRPLに直接統合することで、リップルはネットワークを単なる決済プラットフォームから、
政府レベルのIDソリューションを実装できるデジタルインフラへと進化させている。

🇯🇵 倭国はトークン化経済へ加速

倭国では政府機関や大手銀行が、ブロックチェーンを使った資産発行の実験を急速に進めている。
このビジョンの中心となるのが、信頼性の高いデジタルID基盤であり、
リップルが関与していることは、XRPLの
•スピード
•効率性
•規制対応能力

に対する強い信頼を示している。

もしこれが国家レベルで導入されれば、倭国のZKデジタルIDシステムはトークン化経済の背骨となり、
本人確認、KYC/AML、資産移転を単一のレジャー上で統合できるようになる。
これにより、運用効率向上、透明性強化、銀行・政府・企業間の相互運用性が飛躍的に改善される。

これが意味するものとは？

アナリストによれば、これはXRPLを
•倭国のデジタル資産基盤
•ID認証基盤
•規制コンプライアンス基盤

として位置づける可能性が高いという。

また、公共ブロックチェーン上でゼロ知識技術を国家規模で導入する初の試みとなる可能性があり、
世界に向けた強力な前例となり得る。

倭国が政府主導でXRPLベースのIDシステムを採用することで、 ripple技術の世界的普及を後押しし、
投資家の信頼をさらに高め、投機から「実用性中心」の時代へ移行する市場でXRPの役割を強化することが期待される。

結論
倭国がXRPレジャー上でゼロ知識IDシステムを導入するという動きは、
安全で効率的、そして完全にトークン化された国家経済への大きなステップとなる。

リップルの技術を活用することで、倭国は
•ブロックチェーンベースのデジタルIDの世界標準
•次世代デジタルガバナンス
•トークン化経済の基盤　を築く可能性がある、この動きは、XRPLを単なる暗号資産ネットワークから、
次世代デジタル経済とガバナンスの中核インフラへと押し上げるものである。

https://t.co/CzyfyUqqSm December 12, 2025

カメラマン/ローディ/セキュリティ全部やり切りました！
LESTER次はワンマンだね。最高の時間ありがとうございました。 December 12, 2025

✍️Folks Finance(@FolksFinance)の収益モデルについて深掘りしてみた👀

Folks Financeって「どうやって収益を出してるの？」「運営は続くの？」って事なんだけど結論から言うと堅実で続けやすいモデル
印象ベースじゃなく構造からまとめてみる👇

【収益の柱は3つ。全部が“自然に積み上がるタイプ”】

①✅利息差（スプレッド）
Folksのメイン収益はこれ。
USDC・ETH・ALGOなどを預ける人がいて、その資産を借りたい人が金利を支払う。
貸し出し金利（borrow APR）と預け入れ金利（supply APR）の差分の一部がプロトコルに入る仕組みで、これは銀行とまったく同じモデル。

DeFiの金利モデルはアルゴリズムで調整されるので、市場が動けば自然に収益が上下し、そこに“持続性の強さ”がある。

⸻

✅清算（Liquidation）手数料
借り手のポジションが担保割れすると清算が入る。
清算を行った人に報酬が支払われ、その一部がプロトコル収益として蓄積される。
市場が動くほど清算も増えるので、相場が荒れても収益が落ちにくいのがポイント。

⸻

✅クロスチェーン手数料（xChain / Folks Router）
Folksの特徴は「Algorand → BNB → Avalanche → Ethereum → Monad」と多チェーン対応していること。
クロスチェーン移動やルーター経由のスワップで発生する小さな手数料が積み重なり、それもプロトコル収益に。

単一チェーン依存より安定性が高く、ユーザー数の分母が広がるほど収益が自然に伸びるタイプ。

⸻

【じゃあ、本当に長期で持つのか？ → 持つ】

理由は大きく5つ👇

①Aave/Compoundと同じ“利息ベースの成熟モデル”

DeFiではトークンを大量にばらまいて盛り上げるだけの“短命プロトコル”も多い。
でもFolksは、王道の「利息差で収益が生まれる」構造なので、外部インセンティブなしでも生き残れるタイプ。

インセンティブ頼りのモデルじゃないので、燃費がめちゃくちゃ良い。

⸻

② 強力なVCがバックにいる
Borderless Capital、Coinbase Ventures、ParaFi、Jump Crypto など、有名どころが出資。

これは「収益が出てないからVC頼り」ではなく、
“プロトコル強化のための長期投資”という位置づけで、Aave初期と同じ流れに近い。

⸻

③ セキュリティがDeFiでもトップクラス
Halborn
Quantstamp
Trail of Bits

この3つが監査しているプロトコルは多くない。
「攻撃されて破綻して終わる」というDeFi最大リスクを大きく減らしている点で、持続性は段違い。

ちなみにこの3つがどんな団体かと言うと
⸻

🔵 Halborn（ハルボーン）

→ “Web3のホワイトハッカー集団”
Solana / Avalanche / Polygon / Coinbase など、
有名チェーンや大企業のセキュリティを担当。
ガチでハッカー視点で攻撃して穴を潰す会社。

⸻

🔵 Quantstamp（クオンプスタンプ）

→ “スマートコントラクトの専門医”
Binance / OpenSea / Ethereum系プロジェクト など、
Web3のど真ん中の企業が依頼する老舗監査チーム。
コードの細かいバグを見つけるのがめちゃ得意。

⸻

🔵 Trail of Bits（トレイル・オブ・ビッツ）

→ “軍事レベルのサイバー特殊部隊”
アメリカ国防総省（DoD） / Google / Meta / Ethereum財団 が依頼するほどの最上位セキュリティ企業。
暗号技術レベルから脆弱性をチェックする。

⸻

④ TVLがすでに 4億ドル超で右肩上がり
TVLが伸びる＝貸付ニーズがある＝利息収益が増える
なので、収益が自然に積み上がっていく構造ができている。

しかも、クロスチェーン展開なので“伸びしろ”がまだ残っているのも強い。

⸻

⑤ Algorandだけに依存していない
Algorand → Avalanche → BNB → Ethereum → Monad
この広がり方は、ユーザーの裾野が一気に広がる。

単一チェーンに依存しているDeFiは「そのチェーンが落ちた瞬間に終わる」けど、
Folksは“複数の収益源”を持てるため、全体として安定しやすい。

⸻

Folks Financeは
•利息差
•清算手数料
•クロスチェーン手数料

という地味だけど確実に積み上がる収益モデルを持ち、
Aave級の監査と複数チェーン展開でリスク分散している、めちゃ堅実なプロトコル。

DeFiを長く使う人ほど、こういう燃費の良いモデルの重要性が分かるはず。

気になる人は、まずはUSDCみたいなステーブルで触ってみると理解が早いよ👀
借入と清算の仕組みも分かるのでオススメ

@AiraaAgent December 12, 2025

顔写真が無い、暗証番号もない、
誰でも使えてた保険証はセキュリティが甘いと思う。
拾った保険証、借りた保険証でも使える。それは良くない。
そんなセキュリティの甘い物をノートラブルと。

保険証の又貸し、とかで使ってる人にするとセキュリティを強化されると都合が悪いよね。 https://t.co/OGFbemKGoc December 12, 2025

お疲れ様です
さいとう元彦チャンネル見ました。
自惚れかもしれませんが、知事が私の質問に答えてくださった⁉️とめちゃくちゃ喜んでいます。
ありがとうございます😭
最近はセキュリティ強化で知事にお会いする機会は減ってしまいましたが、こうしてYouTube等で気持ちが繋がれる事に感謝しています✨ https://t.co/bLCj6SfxCq https://t.co/g1O4kxRXQo December 12, 2025

@Turtle51297 確かにアクティビティログや対話履歴やいいですね。あとは、飲み会の会話履歴とか。監視社会になってしまうから難しいですが、利便性とセキュリティは基本的にトレードオフの関係ですよねー、今後どうなっていくんでしょうかね🧐 December 12, 2025

職業倫理って大事なんだよな、特にセキュリティや管理職層
最近嫌なニュースを見聞きすることが多いなと思うんよ December 12, 2025

@redsasakou ガバクラのセキュリティ！？
めちゃくちゃ楽しそう！！！ December 12, 2025

現職、自社事業のセキュリティ部署で、エンジニア業ど真ん中は卒業と思ってたけど、自社もセキュリティ界隈も想像以上にヤバそう
私、セキュリティエンジニア業した方が良いのかなぁ December 12, 2025

今日の #ガンバ大阪 の試合後、ピッチに侵入していった人物に対して全く機能してなかったセキュリティ

大丈夫なんか?

スタンドにまで逃げ込まれて、その後は見えてないけどちゃんと捕まえられたん? December 12, 2025

Cursor に Custom Package ガイドを書いてもらった。
----
# Custom Package ガイド

Cursor の Custom Package で AI アシスタントに独自機能を追加するための実践手順をまとめます。パッケージを自作し、`.cursor/packages` 配下に配置することを前提にしています。

## 1. Custom Package とは
- AI アシスタントに追加ツール（コマンド）を提供するプラグイン。
- プロジェクト直下の `.cursor/packages/<package-name>/` に置く。
- `package.json` にメタ情報と提供ツールを列挙し、`tools/` 配下で実装する。

## 2. 配置と仕組み
- 参照先: `<project>/.cursor/packages/<package-name>/`
- UI の「Add Custom Package」でローカルパスまたはリポジトリ URL を登録すると有効化される。
- ツールの入出力は、定義した関数（例: `run`）やエクスポートを通して AI に返却される。

## 3. 典型ディレクトリ構成
```
.cursor/
packages/
my-package/
package.json # 名前・バージョン・ツール定義
https://t.co/u7KW6gPXyM # 使い方・依存・注意点
tools/
callApi.ts # ツール実装
schemas/
callApi.json # 入力の JSON Schema（任意）
assets/ # 必要なら補助データ
```

## 4. 最小サンプル
### package.json の例
```json
{
"name": "my-package",
"version": "0.1.0",
"description": "社内APIを叩く補助ツール群",
"tools": [
{
"name": "callInternalApi",
"description": "社内のRESTエンドポイントを呼び出す",
"entry": "tools/callInternalApi.js",
"schema": "schemas/callInternalApi.json"
}
]
}
```

### ツール実装例（Node/TypeScript）
```ts
// tools/callInternalApi.ts
import fetch from "node-fetch";

export async function run({ path, method = "GET", body }) {
const baseUrl = process.env.INTERNAL_API_BASE;
if (!baseUrl) throw new Error("INTERNAL_API_BASE is not set");

const res = await fetch(`${baseUrl}${path}`, {
method,
headers: {
"Content-Type": "application/json",
"Authorization": `Bearer ${process.env.INTERNAL_API_TOKEN || ""}`
},
body: method !== "GET" ? JSON.stringify(body ?? {}) : undefined
});

if (!res.ok) {
const text = await res.text();
throw new Error(`API error ${res.status}: ${text}`);
}
return await res.json(); // AI に返るレスポンス
}
```

### 入力スキーマ例
```json
{
"type": "object",
"properties": {
"path": { "type": "string" },
"method": { "type": "string", "enum": ["GET", "POST", "PUT", "DELETE"] },
"body": { "type": "object" }
},
"required": ["path"]
}
```

## 5. 追加・有効化手順
- UI: `Tools & MCP` → Packages → 「Add Custom Package」→ ローカルパス（例: `<project>/.cursor/packages/my-package`）またはリポジトリ URL を指定。
- 手動配置のみの場合でも、同パスに置いた後 UI から登録すれば利用可能。

## 6. 開発フローの目安
1. 要件整理: どんなコマンドを提供するか、入力と出力の形を決める。
2. スキーマ設計: JSON Schema で必須項目・型・制約を定義する。
3. 実装: `tools/` に関数を実装（`run` などエントリポイントをエクスポート）。
4. シークレット管理: API キー等は環境変数・`.env`（コミットしない）で渡す。
5. テスト: ローカルで単体／スモークテストを行い、想定レスポンスとエラーを確認。
6. ドキュメント: https://t.co/u7KW6gPXyM に使い方・引数・依存・例外ケースをまとめる。

## 7. ベストプラクティス
- スキーマで入力を厳格化し、エラーはユーザに分かりやすく返す。
- タイムアウト・リトライ・HTTP ステータス別のメッセージを用意する。
- ログ／出力は「概要」と「詳細」を分け、AI が読みやすい形式にする。
- 依存パッケージは最小限にし、バージョンを固定またはレンジを狭く保つ。
- セキュリティ: 秘密情報を平文で同梱しない。内部 API の権限を絞る。

## 8. 動作確認チェックリスト
- UI でパッケージが一覧に表示されるか。
- ツール名（例: `callInternalApi`）が候補に出るか、呼び出し結果が返るか。
- 必須パラメータ欠落時に適切なエラーメッセージが出るか。
- ネットワーク異常時にタイムアウト・再試行・原因表示ができているか。

## 9. トラブルシュートのヒント
- 読み込まれない: `package.json` のパスや `entry` が正しいか確認。
- 依存エラー: パッケージ内に必要な依存を含める、または軽量な実装に置き換える。
- 権限エラー: API トークンやベース URL の環境変数設定を再確認。
- 返却形式のズレ: 実装の戻り値がシリアライズ可能か（JSON 化）を確認。

## 10. 追加で役立つテンプレ
- REST 以外に GraphQL, gRPC, DB クエリなどもツール化可能。
- 反復処理やテンプレ生成など、純粋ロジックのヘルパーもパッケージ化できる。

以上をベースに、自分たちのワークフローに合わせてパッケージを拡張してください。 December 12, 2025

@hideG_ran セキュリティアップデートがあったのですが、
セキュリティを気にされる場合は下記のhotfixが良いかもしれません。
このhotfixの前の正式版だとwindows11で一部のゲームが重くなるのだそうです。

https://t.co/nVIJLeF0am December 12, 2025

【詳細：エンジニア向け】

⚠️ 問題の本質（React/Next.js のRCE脆弱性）
・RSC（React Server Components）の実装不備を悪用
・Client → Server の通信で、攻撃者が「細工した Flight ペイロード」を送信すると、サーバー側の RSC がそれを不適切にデコード／デシリアライズして処理してしまう
・結果、サーバー側で任意のコードが実行され、RCEが発生、しかも 「認証なし」で成立
・影響：React Server Components の脆弱バージョンをバンドルしているフレームワーク／サービス（Next.js等）

→要は、
「本来は分離されているべき Server / Client 間の境界を、Flight ペイロード経由で越境可能にしてしまう実装バグ」であり、
RSC ベースの SSR アーキテクチャの Security Boundary（セキュリティ境界）を壊すレベルの欠陥です。

⚠️ 深刻な理由
• Insecure Deserialization（安全でないデシリアライズ）によって
想定外の Flight ペイロードがサーバー側でそのまま解釈・実行されてしまう

• SSR / RSC の Trust Model（信頼モデル）が崩壊
（「RSC エンドポイントへの入力は安全である」という前提が破綻）

• Pre-auth RCE（認証前RCE）であるため
Authentication（認証層）では防げず、スキャン／ボットによる自動攻撃と相性が非常に悪い

• サーバー権限の奪取
Eコマース / 認証基盤 / 管理ダッシュボード（IoT 含む）など、サーバー側に高い権限・秘匿情報があるサービスでは特にクリティカル

• 防御の難しさ
アプリ内部の境界が壊れるため、従来の入力バリデーションや一般的な WAF ルールだけでは防ぎづらく、専用のシグネチャ検知やパッチ適用が必須となる December 12, 2025

メントの途中にスタンディングの方が倒れてしまったみたいでハオがすぐに気づいてセキュリティ呼んでた😭😭
他のメンバーもすごい心配そうにしてて...😭
体調が悪かったら直ぐに手をあげてねってハンビンとゴヌクが😭
食べ物ももちろん飲み物も飲めない現場はさすがにきついよね....改善してくれるといいな December 12, 2025

セキュリティの位置気にしながら見るライブ初めてで最悪だった December 12, 2025

みたいになるのを望んでる奴がその国の上の方にセキュリティ自分たちだけはめっぽう高いところで眺めてられる奴ら当たりほど多いんだよ？だって自分達に敵意を持ってる奴らが大衆から恐れられ信用されないクソ共だと世論がなってくれたら万々歳じゃん？ December 12, 2025