新しいソフトウェアの導入、ちょっと待ったほうがいいかも？

今の時期、新しいソフトウェアをインストールするのは控えた方が賢明かもしれません。

先月まではAIブームで生産性が爆上がりするなんて言ってたのに、今やみんな「バイブス重視」で適当に組んだようなAIツールを詰め込んでるよな。クラウド業者が無尽蔵のリソースを提供してくれると信じ込んで、みんなでこぞって粗悪なAIの餌場に群がってるのが現状だ。

その通り。それに個人のPCじゃないものやネットに繋がってるマシンを使ってるなら、パッチや新しいリリースを素早く適用するスキルを磨いておくには絶好のタイミングだな。

面白い事実を教えてやるよ。llmliteがハッキングされてからというもの、依存関係を更新した状態でvllmコンテナをビルドするのはいまだに不可能だ。回帰バグのせいか、依存関係ツリーに解決不可能な一時的依存関係が混ざってるせいか知らんけどな。下流にゴミコードが多すぎるし、古い（しかも非公開の）依存関係を固定して使い回してるパッケージが多すぎるんだよ。

結局、俺はllama.cppに乗り換えた。

最近のゴミコード界隈は、再現可能なビルドっていう考え方とは対極にある気がしてならない。ある意味、開発手法のアンチテーゼだよ。

前は誰もAPIのバージョン管理ルールを守らないから、サブマイナーパッケージで破壊的変更が頻発してた。今やコミットするたびに何かが壊れる状況だぞ。これじゃあ改善どころの話じゃない。

アップデートするたびにサプライチェーン攻撃を食らうか、Mythosからの修正が降ってくるか、まるで宝くじだな。

責任ある情報開示のタイムラインが無視されてる現状には本当に腹が立つよ。

いっそのこと、セキュリティに対してYOLO（なんとかなるさ精神）なアプローチを取らないFreeBSDみたいなOSに乗り換えるのも手だぞ。FreeBSDじゃセキュリティパッチは調整なしでカーネルに放り込まれるなんてことはない。必ずセキュリティチームが精査するし、srcツリーにパッチが当たれば数分以内にバイナリ更新（FreeBSD Updateや15.0-RELEASEならpkgbase経由）が公開される。ざっくり言うと、Slackに「パッチ適用したぜ」と流れてから数秒で、アップロードに10〜30秒、ミラーの同期には長くても1分ってところだ。

npmやPyPI、Cargoといった依存関係マネージャーへのサプライチェーン攻撃には、すでにそこそこ有効な解決策があるぞ。数日以上前に公開されたバージョンのパッケージしかインストールしない設定にするんだ。最近話題になった大規模な攻撃も、大体1日以内には検知されてロールバックされてたから、この設定をしておけば安全に回避できたはずだ。これがデフォルトの挙動であるべきだよな。ベータテスターやセキュリティスキャン企業に最新版を一日試させてから、自分たちが使うようにすればいいんだ。やり方はここを参考にしろ：https://cooldowns.dev/