CloudflareはCloudflare Workers上にMatrixを実装したと主張したが、実際にはそうではない

 (tech.lgbt)
1 ポイント 投稿者 GN⁺ 2026-01-28 | 1件のコメント | WhatsAppで共有
  • CloudflareはMatrixプロトコルをCloudflare Workersに実装したと発表したが、コードには中核機能が欠けている
  • コード全体に**TODO: Check authorisation**のような未完成コメントが多数存在し、署名検証・認証手順が欠落した状態
  • 状態解決アルゴリズムを実装せず、最新状態を直接データベースに挿入しており、セキュリティ脆弱性と互換性問題が発生する可能性
  • ブログ公開後、Cloudflare側は記事とREADMEを修正し、「本番用ではない」という免責文言を追加
  • 開発者コミュニティではAI生成コードと虚偽の技術的主張への批判が広がり、Cloudflareの信頼性に疑問が提起されている

CloudflareのMatrix実装主張とコード検証

  • Cloudflareは自社ブログでMatrixをCloudflare Workers上に実装したと発表したが、実際のコードは中核機能を果たしていない
    • コードには**TODO: Validate PDU signature, TODO: Check authorization** などの未完成コメントが残っている
    • Matrixサーバー間APIの認証規則を実装しておらず、偽造されたデータも受け入れられる状態
  • Matrixの中核である状態解決(state resolution)アルゴリズムを省略し、単純に最新状態をDBへ挿入する方式を採用
    • これによりルーム状態の不一致や相互運用性の問題セキュリティ脆弱性が発生しうる

誤った技術的主張と修正履歴

  • CloudflareブログではTuwunelとその前身がPostgresやRedisを使用していたと記述していたが、これは事実ではない
  • その後記事が修正され、「Synapse」へ置き換えられ、**READMEにも「本番用ではないサンプルプロトタイプ」**という文言が追加された
    • GitHubコミット(fd412f41f98c0f3f360f5c4034443ef80680de49)でこれらの修正が確認できる
    • 修正版にはClaude Code Opus 4.5の支援を受けたという一文も含まれている

コミュニティの反応と批判

  • MastodonやLobstersなどでAI生成コードと虚偽の技術宣伝への批判が広がった
    • 「署名検証とハッシュ、認証を取り除いた」「セキュリティではなく単なるサンプル水準だ」といった指摘が多数ある
  • 一部のユーザーはCloudflareの対応を**「隠蔽の試み」**と評価し、コミット履歴の削除やforce pushの記録を追跡した
  • コミュニティ内では風刺的な反応も続いた
    • 「サーバーレス構成なのでコストは0までスケールする(存在しないから)」
    • 「Cloudflareはメッセージをまったく送らないことで完璧なセキュリティを達成した」

Jadeの追加発言とプロジェクト紹介

  • Jadeは自ら開発中のRustベースのMatrixホームサーバー Continuwuityを紹介した
    • Raspberry Piでも実行可能で、集中化されたクラウドインフラに依存しない
  • FOSDEM 2026でMatrix脆弱性のパッチ経験をテーマに発表する予定
    • 共同発表者は**@nex@fedi.transgender.ing**で、Matrixブースにも参加予定

その後の議論と技術的な詳細反応

  • 複数の開発者がCloudflareコードの論理エラー(例: || の代わりに ?? を使用)unknown error の処理方法TODOコメントの乱発などを指摘した
  • 一部ではCloudflareの修正コミットについて、Remove PII が公開コミットとして残っている点が皮肉だとも言及された
  • コミュニティ全体で、CloudflareのAI依存的な開発と技術的信頼性の不足に対する懸念が提起されている

関連記事

1件のコメント

 
GN⁺ 2026-01-28
Hacker Newsのコメント

  • インフラ企業の技術ブログには本来、専門性の誇示信頼構築という2つの目的がある
    しかし誇張表現が入り始めると、その両方を失ってしまう
    「私たちはMatrixを実装した」という表現が事実なのか、マーケティング上の誇張なのかは分からないが、業界全体で「私たちはXをやった」という記事が、実際には「Xの一部をデモした」程度であることが多く、うんざり感が蓄積している
    解決策は単純で、何を作ったのかを正確に書くことだ。「制限のあるMatrix homeserverのプロトタイプをWorkers上に載せた」くらいに書いても信頼は失われない

    • 公平に言えば、Cloudflareの技術記事にはたいてい洞察に富んだ内容が多い
    • しかしそんなふうに正直に書けば経営陣は怒るだろう。それはLLMがまだCEOたちの約束した水準に達していないことを認めることになるからだ

  • 私の解釈では、誰かが**「vibe coding」**で記事とリポジトリを同時に作り、レビューなしでCloudflareのブログに載せたように見える
    著者はエンジニアではなく、AIが「これは本番品質としてテスト済みだ」と言ったのをそのまま信じたのだろう
    コードがCloudflare公式リポジトリではなく個人のGitHubにある点が重要な手がかりだ。Cloudflareは今後、公開コミュニケーションに対するレビュー手順を強化すべきだ

    • この人がCloudflareの社員だとしたら、他に何をvibe codingしているのか心配になる。昔のように「うっかり」インターネットの半分を止めるようなことが、いつまた起きてもおかしくない
    • 聞いた話では、CloudflareのCEOとCTOがすべてのブログ記事を直接レビューしているらしい
    • 問題は単に「できるかどうか」ではなく、組織内のインセンティブ構造
      Cloudflareはブログ記事を、エンジニアを含むすべての職種の主要な成果物と見なしているという。こうした構造では品質より速度が優先されやすい
      結局、今回の件で信頼は減り、レビュー手順は増え、公開速度は遅くなるだろう。組織が成長する中で起きる自然な進化の過程だ
      それなのに、まだ記事を取り下げず、むしろ修正でさらに混乱を大きくしているのが驚きだ

  • 今回の件についてCloudflareには**根本原因分析(RCA)**の記事を出してほしい
    障害報告のように興味深く読めそうだ
    今回はどのレビュー手順が失敗したのか、そしてブログの信頼をどう回復するのかが気になる

  • Jadeが言及したソースコードを探してみたところ、著者はこのスレッドを認識しているようだ
    関連コミットへのリンク

    • 新しいコミットではREADMEの「production grade」という文言を削除し、AIの助けを受けたことを明記し、ASCIIダイアグラムの配置も修正していた
      コミットリンク
      正直、ブログもリポジトリも両方そのまま削除すべきだった
    • ところがそのコミットは今では**「Clean up code comments」**に書き換えられており、意図が曖昧になっている
      修正後のコミット
    • こういう修正の仕方は、かえって状況を悪化させるだけだ

  • CursorがGPT-5.2でWebブラウザをゼロから作ったというフェイクニュースが否定されてからまだ数日も経っていないのに、またこんなことが起きた
    こういう類いの話には、基本的にまず疑う姿勢が必要だ

    • 私自身、「Cursorのブラウザ実験」の記事を書いたあと、エージェント1体だけでブラウザを作ってみた
      Show HN投稿
      結果として、Cursorが数百のエージェントを数週間回して作ったものに近いレベルを、2万行のコードで実装できた
      リポジトリへのリンク
    • 問題は、Cloudflareのブログにもリポジトリにも「vibe coding」であることがどこにも明記されていなかった点だ
      matrix-workersリポジトリを見るだけでも、整っていないASCIIダイアグラムが手がかりなのに、こんなものすらレビューされていなかったことに驚く
    • 機能が実際に動くかどうかすら確認せずに記事を公開したのは理解しがたい
    • 最近の「AI」界隈の人たちは、たいてい詐欺師大ぼら吹きにしか見えない。まだ例外を見たことがない
    • 多くの人がこの「技術」に過剰投資している状態なので、企業の出す発表を無条件に信じないハッカー倫理へ戻るには時間がかかるだろう

  • 原文ブログの冒頭には「Proof of conceptであることを明確にする」という文言が追加されたが、末尾には依然として
    「私たちのチームは実際の暗号化通信をMatrix on Workersで処理中だ」という文が残っていた
    いったいどちらが正しいのか混乱する

    • 「私たちのチームがMatrix on Workersを使っている」という話は信じがたい。リポジトリは個人GitHubにあり、実装も不完全だ
    • 11:45に再び修正され、今では「この実装を実験中であり、関心のあるコントリビューターを歓迎する」に変わっている
      アーカイブ版
    • もし本当に社内でそう使っているのなら、不完全で危険なコードを社内ネットワークで動かしていることになり、驚きだ

  • 大手ベンダーが実際には動かないコードを出して製品を売ろうとするのは憂慮すべきだ
    複雑なエンジニアリングを簡単に見せてしまうと、安全なソフトウェアを作るには時間がかかることを説明しにくくなる
    こうした行動はプラットフォームへの信頼を損なう

    • 問題は、業界がすでにあまりにも長いあいだ「底辺への競争」を続けてきたことだ
      AIコーディングはその単純化された幻想を利用しただけで、結局は強欲な市場構造がこうした事態を生んだ

  • Cloudflareが原文を継続的に修正しているので、元の内容を見るにはこのアーカイブリンクが役立つ

    • 誰かがMastodonで🤮の絵文字付きで引用したところ、ブログ内のLLM特有の文体パターンだった「not just X; Y」という構文がこっそり削除された

  • 今回の件はCloudflareにとっても著者にとっても恥ずべき出来事
    レビューなしで記事を公開したとは信じがたい
    最近のCloudflareではミスが頻発しており、かつてのピークを過ぎて緩やかな下降局面に入ったように見える

    • 「最近のCloudflareはなぜこんなに失敗が多いのか」と疑問に思う。おそらく最近の新しい流行技術のせいかもしれない

  • ブログをHacker Newsに投稿したアカウントが**捨てアカウント(throwaway)**だったという点からも、著者自身がコードと主張に自信を持っていなかったことがうかがえる
    HNリンク

    • しかも自分の記事に自分でコメントし、質問しているふりまでしていた