はじめに
2026年7月14日、たまたま一次情報を追っていたら「AI」「OSS」「セキュリティ」の3領域がやけに交差する一日だったので、5本まとめて紹介します。LLM推論基盤の世代交代から始まって、最後は世界中のJavaサーバーを揺るがすクリティカルな脆弱性で締める構成です。正直、最後のTomcatの話だけでも今日のうちに読んでおいてほしいくらい実務的にヤバいやつです。
1. vLLM v0.25.0/v0.25.1――PagedAttentionが消えた日
OSS LLMサービングフレームワークvLLMのv0.25.0で、コア技術「PagedAttention」がついに廃止されました。2023年の登場以来ずっとvLLMの代名詞だった技術が、より柔軟な「Model Runner V2」アーキテクチャに置き換わったわけです。558コミット・232貢献者という規模を見ると、単なるマイナー更新ではなく歴史的な世代交代だとわかります。CUDAグラフとの完全互換や、投機デコーディングのグラフ互換対応など、技術的な進歩自体は素直にすごい。
ただ、翌日にはさっそくv0.25.1が緊急パッチとして出ています。TorchCodecやFFmpegが入っていない、わりと普通のGPUサーバー環境でサービスが起動しないという障害でした。マルチモーダル対応の依存が必須チェックに紛れ込んでいたのが原因らしく、正直「そこ、リリース前のチェックリストに入れておいてほしかった……」という気持ちにはなります。とはいえ翌日には即修正しているあたり、対応の速さは評価したいところです。vLLMはAnyscaleやMistral AIなどの推論プロバイダーでも採用される事実上の標準なので、こういう刷新は業界全体に地味に効いてきます。
2. Cilium v1.20.0-rc.0――「グループ全社員」を1行で指定できるようになった話
Kubernetes CNIの中でも最も広く本番運用されているCiliumが、v1.20.0の最初のRCを公開しました。個人的に一番「お、便利」と思ったのが新ポリシーエンティティ cluster-mesh の追加です。今までは5クラスターをClusterMeshでつないだ環境で「全クラスターのバックエンドPodへの通信を許可する」ポリシーを書くのに、クラスターごとのラベルセレクターを5行並べる必要がありました。それがこれからは toEntities: [cluster-mesh] の1行で済みます。住所録にいちいち社員全員を登録するのではなく「グループ会社全社員」という連絡先を1つ作れるようになった、というたとえがしっくりきました。
もう一つ、地味だけど実務的にありがたいのが、エージェント再起動時に確立済みのTCP接続が一瞬切れてしまう回帰バグの修正です。ローリングアップグレード中、ポリシーの復元が終わる前にBPFポリシーマップの削除が走ってしまうのが原因でした。「あれ、なんか一瞬繋がらなくなったな……」という現象に心当たりのある人、たぶん結構いるんじゃないでしょうか。データベース接続のような長寿命コネクションを持つサービスには効いてくる修正です。あわせてCNI設定バージョンも0.3.1から1.0.0へ、8年越しにようやく上がりました。
3. llama.cppビルドb10000到達――3年間、毎日ちょっとずつ積み上げてきた話
CPU/GPU対応のローカルLLM推論エンジンllama.cppが、自動ビルド番号10,000に到達しました。2023年3月の公開から3年、1日平均6〜8本ペースでリリースを重ねてきた結果です。節目のb10000自体は畳み込み演算の出力データ型を統一するという地味な変更(追加6行・削除8行)で、正直これだけ見ると「え、それだけ?」と思うかもしれません。でもBF16重みでの精度損失や量子化型重みでのクラッシュを、新規モデル対応の過程で見つけて直したという経緯を知ると、印象が変わります。
2023年3月、「MetaのLLaMAモデルを自分のMacBookで動かしたい」という、わりと個人的な動機から始まったプロジェクトが、今やGitHubスター数12万超(Linuxカーネル本体の18万と同じオーダーです)、リリース数5,000本超にまで育っている。派手な発表は一つもないのに、ここまで来た。こういう地道な積み重ねの話、正直かなり好きです。「週末に書いたC++コードがローカルAI時代を支えている」というのは、大げさでもなんでもなく事実なんですよね。
4. runc v1.5.1――「1」と「2」の差で本番コンテナが全滅していた話
OCIコンテナランタイムruncのv1.5.1は、Ubuntu 20.04(Focal)環境でコンテナが一切起動できなくなる深刻な回帰を修正するパッチです。原因はv1.5.0で入ったmaskPathsの最適化。従来はマスクするパスごとに個別のtmpfsをマウントしていたのを、単一のtmpfsをnr_inodes=1オプション付きで再利用する実装に変えたのですが、これがFocalカーネルに残るAUFS由来のパッチと正面衝突し、invalid argumentでマウントごと失敗するようになってしまいました。
修正自体は「nr_inodes=1が失敗したらnr_inodes=2にフォールバックする」というだけの、あっけないほどシンプルなものです。でもこの1と2の差だけで本番のコンテナが全部起動しなくなっていたと考えると、けっこう背筋が寒くなりませんか。しかもUbuntu 20.04はサポート終了済みとはいえESM(Extended Security Maintenance)が2030年まで続くので、産業用IoTやエッジ、オンプレKubernetesではまだまだ現役です。「古いから影響は小さいはず」という油断が一番危ない、という教訓としても覚えておきたい一件でした。
5. Apache Tomcat CVE-2026-59083 CVSS9.1――「+」1文字が生んだ認証バイパス
ここからが今日の本題です。Apache TomcatのRewriteValveに、CVSS 9.1(CRITICAL)の脆弱性CVE-2026-59083が見つかりました。原因はたった1文字、+の扱いです。URIパスの中では+はリテラルの+として扱われるべきなのに、RewriteValveが書き換え後のパスに対してもクエリ文字列と同じ「+はスペースに変換する」処理を適用してしまうバグがありました。
具体的には、/admin/以下に認証を要求する設定をしていても、攻撃者が/api/admin%2bsecretのような+を含むURLを送ると、書き換え後に/app/admin secretというパスが生成され、Security Constraintのパターンマッチングをすり抜けてしまいます。事前の認証も特別な条件も不要で、影響はTomcat 8.5〜11.0の全世代に及ぶという広さ。個人的に一番興味を引かれたのは、NVDのCVSSスコアが9.1 CRITICALである一方、Apache自身の社内分類は「Low」だったという評価の乖離です。RewriteValveが有効かつ+を含むルールを使う設定でないと発動しない、という条件付きの話ではあるのですが、RewriteValveはリバースプロキシ構成やURL正規化で本当によく使われるコンポーネントなので、「限定的」という言葉を鵜呑みにするのは危ない気がします。しかもこれ、6月29日に公開されたCVE-2026-53404に続く、同一コンポーネントでの2週間連続の重大脆弱性です。皆さんの環境、RewriteValve使ってませんか? 使っているなら、この記事を読み終えたらすぐバージョン確認をおすすめします(Tomcat 11.0.24/10.1.57/9.0.120/8.5.101が修正版です)。
まとめ
LLM推論基盤の世代交代から始まり、Kubernetesの地味だけど実務的な改善、ローカルAIの3年間の積み重ね、コンテナランタイムの緊急修正を経て、最後は世界中のJavaサーバーを揺るがすクリティカルな脆弱性で締めくくる一日でした。皆さんの環境では、この5本のうちどれが一番刺さりましたか。よければコメントで教えてください。