以前にも書いたけど、これがMythosの脅威に対する正しい反応じゃないよ。AIセーフティ研究所やNCSCもこの行動を推奨してないし。AIセキュリティスキャナーによるリスクが少し増えるかもしれないけど、全てを閉じるのは大げさすぎるよ。 全てのコードを閉じることの非現実性を無視しても、もう手遅れだよ！そのコードはもう全部吸い上げられちゃったから。もしMythosが本当に究極のハッカーなら、今さらコードを隠しても意味がない。すでにリポジトリのコピーを保持してる可能性が高いし。 もしソースコードを隠すことが実用的で効果的だったとしても、それは関係ないよ。これらのAIツールはクローズドソースに対しても同じくらい効果的だから。バイナリを分析したり、ウェブサイトを簡単に調査したりできるんだ。 NHSのウェブサイトには、GitHubのリポジトリを参照しているページが何万もあるけど、全部更新しなきゃいけないの？そのコストはどれくらい？全て本当のことで、これがどうやって全てが見栄のためだけに行われているかを示してる。透明性やオープンさが出てくると、すぐにそれを取り戻すための薄っぺらい言い訳が使われるんだ。技術に詳しくない人たちがこの決定を下してるのは、クローズドソースにしなかったせいで「もっとやるべきだった」と責められる可能性が0.1%でもあるから。2026年の極端な欲望と自己中心的な考え（そう、平均的な欲望レベルは時間と共に変わるから、文化的な特性の一つだね）によって、彼らは公共の利益を犠牲にしてその決定を喜んで下すんだ。プライベートセクターもこの件に関してはあまり良くないことを常に念頭に置いておいてね。

関連: NHSがオープンソースに対抗する https://shkspr.mobi/blog/2026/05/nhs-goes-to-war-against-ope...

Cloudflareの検証が「人間じゃない」って言ってるから、サインできないよ…

最近数週間、CISOやCTO、メンテナ、他の仲間たち（その中にはF50もいる）とこの件について話してきたけど、彼らのデフォルトの戦略は、AppSecチームが1日以内に問題を簡単に検証・修正できるようになるまで、OSSの貢献と使用を一時停止することなんだ。従来はエンドツーエンドの応答時間が8〜10日だったけど、今はそれが通用しないから。オープンソースの終焉ではないと思うけど、オープンソースの経済が共有地の悲劇になってしまったことを示してるね。メンテナがプロジェクトを持続可能に運営するために必要なリソースを提供されていないことも認めているし、これはエンジニアリングや組織的にセキュリティを数十年優先してこなかったことの証拠でもある。でもこれは別の話で、ここでの会話の質を見るとHNersが議論するには適してないね。OSSが好きな人たちが本当に気にかけるなら、理想主義をやめて、金を出してオープンコアにするか、正式な資金やスポンサーを得ることを考えるべきだよ。プロジェクトオーナーが商業化できるような、もっと制限の厳しいライセンスを採用することも重要だね。数人のイデオロギー的に一致した個人の善意に依存しているGNUスタイルのプロジェクトは生き残れないから、貢献者にも報酬が必要なんだ。 編集: 返信できない > それってどういう意味？彼らはLinux/Kubernetes/Chrome（Edgeを含む）/ほとんど全てのプログラミング言語/nginx/...の使用を止めることはできないよね。つまり、今後使う依存関係やライブラリを全て凍結して、エンドツーエンドの脆弱性修正が24時間以内にできるまでソースコードを公開しないってことだよ。チームは、コアプロジェクトや依存関係をフォークして社内で使い、上流に貢献しないことを真剣に検討している。上流の貢献が汚染されるか、追加の脆弱性を引き起こす可能性があるからね。

これは状況をわかりやすく説明しているね。 https://youtu.be/XNLUfqtgBUk もしこれがあなたの専門分野なら、オープンレターにサインしてね。

NHSのデジタルサービスの質に関心があるなら、この請願書にもサインしてほしい。 「障害者の体験を実際に悪化させる“アクセシビリティオーバーレイ”にお金を無駄にするNHSの提供者をブロックするためのものだよ。これはコアサービスの改善に使えるお金を無駄にすることになるから。」 https://petition.parliament.uk/petitions/765480/

もし彼らが同意してやりたいと思っても、ガイドラインができるまでに少なくとも1年はかかるだろうね。その後、今の技術チームに整理してもらう必要があるから、さらに10年はかかるんじゃないかな。