Ryzen AI Max+ 395にて、独自の動画アップスケーラーを動作させる。

独自のアップスケーラーを用意してみた。

Ryzen AI Max+ 395マシンにて、(evo-x2)

SeedVR2とかFlashVSRとか動作させたが、RTX4000系より大幅に遅かった。

LPDDR5Xが 256GB/sでここがボトルネックになる。（計算ユニットがメモリ待ちでストール）

4090は1080GB/sなので4倍ぐらい差が出てしまう。

構築が悪いのか？

ROCm-on-Windows

flash-attn/SageAttention

以下は他の人のアップスケーラーの参考資料

https://civitai.com/models/2362781/z-image-base-z-image-turbo-workflow-includes-lora-stack-face-detailer-seedvr2-upscale

fable5の制限を早くも食らった？

 と思ったら、

米政府は国家安全保障上の権限に基づき、Anthropic社に対し、最新の先端AIモデル「Claude Fable 5」および「Claude Mythos 5」へのアクセスを停止する輸出管理指令を発令しました。

https://news.yahoo.co.jp/articles/fab8a3a34b59ef61799603128e5286294d1ac143

「HTTP/2 Bomb」（CVE-2026-49975）の脆弱性をテストするアプリをeuthopia.ioで作ってみる。

「HTTP/2 Bomb」（CVE-2026-49975）

脆弱性をテストするアプリをeuthopia.ioで作ってみる。

https://65ydwtf36oj3.apps.euthopia.io/

まともに動作しなかった、ゴミ！！！！

このサイトを何とか収益化する話

https://apiflux.org/

どうするんだ？

日本語OCR比較

https://zenn.dev/acompany/articles/ddf8677f09e252

これを参考に、Qwen3,7か、Mimo2,5Proで自律性で改善して、組み直す実験をする。

Xiaomi MiMo2.5が値下げ

99%値下げ

 モデル

Input (1M tokens)

Output (1M tokens)

DeepSeek V4 Pro

$0.435

$0.87

MiMo V2.5 Pro

$0.435

$0.87

DeepSeek V4 Flash

$0.14

$0.28

MiMo V2.5

$0.14

$0.28

DeepSeekと同じ値段になったが、MiMoのキャシュヒットが良くないので、ほんの少しだけMiMoのがコストかかる可能性がある。

シンVPSのUDPの速度

 Xserver(シンVPS)

UDPポリシングが40Mbps

ちなみにTCPだと100Mbpsまで出る。

シェービングじゃなくポリシングなので、超えると伝達ロスが発生する。

映像のカクつきとか、起きるよ！

UDP実測：ConoHaはポリシングなし 🎉

single flow -b 1000M → 持続 ~1031 Mbps（15秒フラット、降下なし）

毎秒のNIC tx推移を見ると t3〜t15 まで 1030Mbps張り付き。Xserver(シンVPS)の ~40M とは別世界で、約25倍。回線レート(1Gbps)そのまま出ています。

• Xserverエッジ = UDP ~40Mで ~16視聴/ノードが物理上限
• ConoHaエッジ = 帯域が律速にならない。理論 ~380視聴/ノード（実際はCPU2core/960MBが先に頭打ち、要実負荷測定）
• ConoHa 1台 ≒ Xserver 多数台ぶん。今後の増設はConoHa優先が正解

自前でWebRTC配信を揃える。2026年

推奨構成

 Frontend:

Cloudflare Pages / Wasmer

API:

Workers / Wasmer

SFU:

Hetzner + LiveKit

TURN:

coturn

Hetznerは：

• 法人確認
• 決済
• Abuse

割と厳しい。

適当運用するとBANされる。

ついでにP2PでWebRTCを配信するテスト。

peerもすべてチェーンで行う。

https://webapp-4d0.pages.dev/

LightGBM + α（XGBoost / LSTM）より強かった

       1 """V2 (急落 -30/3b + 1陽線確認) + Trend Filter で 2026 大事故防止

       2 

       3 Trend filter 候補:

       4   F1: H1 ADX > thresh で停止 (強トレンド時休止)

       5   F2: H1 close > EMA(50) AND EMA(20) > EMA(50) AND EMA(20) 上昇中 → 強 uptrend と判定して停止

       6   F3: ATR_5 > N × ATR_50 で停止 (高ボラ時休止)

       7   F4: 直近 N 本での max drop が小さい → 反転狙いに不向きな相場として停止

       8   F5: M3 close が H1 EMA(50) より大きく上 (X pips 以上離れ) なら停止 (= 上昇トレンド継続中)

       9

      10 8年WF で 2026 大損 (-73k) を救えるか検証。

北朝鮮から謎の電話

なんだ？

試しに出たら、一瞬で切られた。

2026/05/05 14:40 +850 2 538 6188

なんだこれ？電波ジャックか元回線を分岐させて、通話とか通信を盗むのか？

とにかく謎。

どこから電話番号が漏れたのかも謎。

昨日Stripe Connectの開発でSMSは受けたが、このアカウントは特に権限ないから大丈夫だとは思うが・・・

エージェントがブラウザ操作する時、ChromeのCDP操作って、今どうなってるんだっけ？

Chrome 136以降、デフォルトプロファイルで 

  --remote-debugging-port が無効化されるセキュリティ仕様（Cookie窃盗対策）が

  入ってます。プロセスは起動するけどポート9222は開きません。

DevToolsActivePor t ファイルも作られてない＝CDP無効状態。

現行：

Chrome は最新の状態です

バージョン 147.0.7727.138（公式ビルド） （64 ビット）

XIAOMI MiMo-V2.5の助成金トークン

配ってるから欲しい。

審査に合格してもらえた！わーい！

２４時間以内に配るって。

Xiaomi MiMo Open Platform を使っています。

紹介コード RE8TND で 2ドル分のAPIクレジットがもらえます。

https://platform.xiaomimimo.com?ref=RE8TND

SPL token発行で手間取った

ミント禁止にしてから、メタデータを設定しようとして、ハマった。

順番間違えた。

【完全版】正しい実行順序

1. 枠組みを作る（★新しいアドレスが出ます）

spl-token create-token --program-id TokenzQdBNbLqP5VEhdkAS6EPFLC1PHnBqCXEpPxuEb --enable-metadata

2. 先に名前を登録する！

spl-token initialize-metadata <新しいアドレス> "WSOG" "WSOG" "https://wsog.net/static/metadata.json"

3. 受け取り用の箱を作る

spl-token create-account <新しいアドレス>

4. 10億枚を発行する

spl-token mint <新しいアドレス> 1000000000

5. 最後に、追加発行を無効化する

spl-token authorize <新しいアドレス> mint --disable

自己進化は自分でアップデートをしないので、問い詰めないとダメだ。

OpenClawの自己進化。 

OpenClaw + (メイン:GLM5) + (サブージェント: gemma4)がよく起こす間違い

openclaw browserを使えと言っているのに、急にplaywrightで処理しようとする。

メインからサブージェントにもopenclaw browserを使えと指示しても、急にplaywrightを使おうとして謎のはまり方する。

マジでgemma4が言うこと効かない、ハーネス系が甘すぎる！！

ollama_web_fetchも使おうとするし・・・

かなり明示的に言っても、すぐ忘れる。

コンテキストは余ってるからメインエージェントがおかしい指示を出してることもないし。

まじでholo2 30bとか、使った方がいいのか？

gemma4の方がよさそうなだと思うのだが・・・わからん・・・

＜設定で回避＞

デフォルトをGLM-5.1、サブエージェントにGLM-5を、予備でgemma4の設定。

とにかくサブエージェントがGLM-5.1を使うと同時実行制限(GLM-5.1は1並列)を食らう。

Opus4.7 総評

Claude CodeのクリエイターがOpus 4.7を効果的に使うためのスレッドを公開しました。話し合う価値のあるいくつかのポイント：

1. コンテキストロットは本当です。 Anthropicのエンジニアの一人が、長時間のClaudeセッションが出力品質を低下させることを確認しました。思っている以上に新しいセッションを始めてください。

2. Opus 4.7は 完成する前に自己検証します 。それにより、積極的な「本当にそれでいいの？」の促しは今やあまり役立たず、時には逆効果です。

3. 品質を強化するにはプロンプトよりフックの方が効果的です。記述の前にツールフックを用いてリント/フォーマットすることで、精密なシステムプロンプトよりも多くのトークンを節約できます。

4. 新しいビジョン解像度（3x）により、ログやエラーのスクリーンショットが今や実際の入力として機能します。

5. 分離されたタスクにはサブエージェントを介したマルチエージェント、連続性が必要な場合はシングルエージェントを使用します。

6. 過度に足場を作らないでください。このモデルは4.5よりもあいまいさに対処するのが得意です。

 

フックスがプロンプトを上回ることは過小評価されていて、おそらくリストの中で最大の leverage です。

CF AI Searchにて、ai_searchバインディングがサポート

非常に重要な発見です！2日前（2026-04-16）にCF AI Searchが大幅アップデートされ、新しいバインディング方式（ai_search）が追加されています。これを確認します。

素晴らしい！2日前の2026-04-16に、CF AI Searchに新しいバインディングが追加されました。これでai_searchバインディングが使えます。以前「Pages projectsではai_searchバインディングがサポートされない」と判断されましたが、それは当時の問題だった可能性があります。新しいwranglerバージョンで確認しましょう。

rustdesk完全障害

どの回線でも繋がらない。

確実にランデブーサーバーっぽいのが死んでる。

kimi-k2.6キター

 

openclaw + gemma4の問題

俺の指示が悪いのか？

リサーチしてファイルに書き込むのが、不安定。

調査後にファイルを書き込むのを、なんどもスキップする。
書き込んでないのに、書き込んだと嘘を言う。

指摘されてから、ようやく書き込む。

それも失敗するし、何度かやり取りすると成功する時がある。

どうにもツールコールが安定してないな・・・

続きからGLM-5にしたら正常に、安定して動作するようになった。

おとなしくGLM-5にした方が幸せかも。

あとは大量の処理を継続してできるかだけだな。

ちゃんとサブエージェントの指定をしないと、そのままやろうとする・・・

gemma4でも、たぶんちゃんとした回避策はありそうだが、GLM-5の方が頭いいからこれで逃げ。

cloudflare serach AIがベータだが使えるように。

自作のAgent Searchと比較を試した。

うーむ・・・おそらく３つのアプローチすべて意味ないだろうな・・・

2026年4月時点のLLMの割り当て

どう使ってるのか、メモ書きしておく。

未来の自分が見たとき、喜ぶ。

・GPT-5.4 通常使用

・Claude Opus4.6 通常使用

・Sonnet4.6 やや簡単な処理

・Kimi-K2.5 クロールボット専用

・GLM-5 OpenClaw専用

・DeepSeek セキュリティーを考えない軽量な処理

・Gemma4 ローカルマルチボットテスト

z.aiのAutoClaw（openclaw）を入れてみた。

GLM-5 Turboで動作。

OpenClawのデフォルトポート(18789)と被ってないので、同時に起動可能。

ブラウザプラグインのautoGLMで、検索して画像1枚持ってくるのに、ざっくり120クレジットぐらいかかる。

標準価格：1000/$1ぐらいなので、ちょっと高いかも。

長時間稼働は無理だ。

【EmDash】wordpressインスパイアを試してみる

cloudflare制のWordpressインスパイアのEmdashを試す。

CFの有料プランじゃないとできない機能がある。

LLMのCLI系のレートリミット

大量のデータをスクレイプして分析する要件。

claudeのproxyもたまにweb_search失敗するので、chromeプラグインにフォールバックするのが筋のいい手法となる。

claude max plan $200じゃ、すぐに週間レートリミットで使えなくなる。

40分ぐらいで1週間分を使い果たしてしまう。

ちなみにclaude初期にかなり課金してるので、Tierは一般人としては最高ランク。

それ以上はエンタープライズ契約じゃないと無理だ。

仮にエンタープライズ契約しても、コストが合わない。

コスト削減の為にkimi版を試してみたが、大きな問題はなかった。

一番安いコストはDeepSeekなのだが、少し問題がある。

DeepSeekの公式UIだとweb_searchできるが、APIは無理なのでなにかしら串が必要となる。

公式UIをガンガンに使ったら絶対怒られるので、やめておく。

kimi coding plan $199だと数日持つが、それでも無理がある。

kimi cliはmoonshot API版も使えるので、切り替えて使おうと思う。

# web_searchの違い

CLI標準の SearchWeb → codingplan 側専用

API側の web search → Open Platform の API機能として別実装

※補足

Moonshot Open Platform の builtin な $web_search は thinking を無効化して使う必要がある。安定化の為らしい。

thinkingが無効といっても、まったく推論しないわけではない。深い推論モードじゃないだけ。

tailscaleで謎のバグが発生

管理画面上では

xxx.xxx.xxx.7のアドレスなのに、

共有マシン側では

xxx.xxx.xxx.8のアドレスになる。

よくわからんすぎるバグなので、考えない。

magic DNSで対応してみたが、IP違うからやっぱ無理だ。

わけわからんので、共有マシン側のtailscaleを再インストールしてみる。

2026/04/01にアップデート版がインストールされていたので、アンインストール。

tailscale-setup-1.96.3.exeをインストール。

変わらない・・・

アンインストールしようとしたらリペアがあったので実行。

確認してないが、ダメな気がするので、windowsをシャットダウン。

コールドスタートしてみよう。

かわらん。

謎の現象すぎる！！！

ACLの設定を

{}

にしたからか？

これバグっぽいけど、もしかして新仕様なのか？？？

kimiのweb_search

プラン版のkimi cliでもweb_searchできるが、すぐに週間レートリミットで頭打ちになる。

moonshot apiで行けば、回避可能な可能性がある。

Teir表

Tier	累計チャージ額	Concurrency	RPM	TPM
Tier0	$1	1	3	500,000
Tier1	$10	50	200	2,000,000
Tier2	$20	100	500	3,000,000
Tier3	$100	200	5,000	3,000,000
Tier4	$1,000	400	5,000	4,000,000
Tier5	$3,000	1,000	10,000	5,000,000

kimiはweb_searchが２系統ある。

windsurfのWeekly Quotaキツすぎ！

すごい改悪来た！！！

あんまりキツすぎて 、やめようかと思う・・・

１日の41%で一週間分使うってクソすぎるだろ！

verdentのどこがいいかと聞かれたので

デフォルトでマルチモデルプランナーがあるのが、厳密性があってよい。

統合した計画が作られ。

実装開始される。

もちろんマルチモデルレビューもある。

HuaweiのLLM「Pangu（盤古）」

pangu-coder6.0がSWE-benchが高い86%ぐらいって噂？を聞いたが・・・

よくわからんが、登録できない。

メールも電話番号も届いたのに、最後の最後で弾かれる。

地域の問題なのか？

デバイスの問題なのか？

HermonyOS NEXTだと行けるのか？

claude coworkのスキルセット

redditで外人が言ってた。

https://github.com/rebelytics/one-skill-to-rule-them-all

https://www.reddit.com/r/ClaudeAI/comments/1rubfbx/what_i_actually_use_cowork_for_heavy_noncoding/?utm_source=chatgpt.com

タレントの管理で

仮に

森高千里（もりたかちさと）

大江千里（おおえせんり）

が結婚したら

大江千里（おおえちさと）

大江千里（おおえせんり）

となってややこしい。

生年月日と性別と身長体重など違うだろうが・・・

TRAEがz.ai-planのGLM-5をいつまで経っても更新してくれない。

MiniMax-M2.7は更新されたのに、

・moonshotのKimi-2.5

・z.ai（プラン版）のGLM-5

はいつまで経っても更新されない。

要望は何度も送っているのに・・・

ということはTRAEはアリババ関係の会社ってことか？

現代のLLMはすごい

GPT-5.4でdraw.ioのデータを、PDFとWordに変換するコードが出来てしまった。

変換に微妙にコツはあるが、近似でほぼ同じものができあがる。

均等割り付け文字までできちゃう。

２年前は、この精度で出せるのは無理だった。

ちなみにOpenClaw (GLM-5 coding plan) で有名人リストから死亡日を入力させるのを、やってみたが雑に動いてるっぽい。

OpenClawに特化したGLM-5-Turboではなく、デフォルトのGLM-5を使った。

とりあえず入れたスキル

self-improving-agent（ナレッジ）

Agent Browser（スクリーンショット認識）

うーむ現代のLLMはすごい！

清華大学やべぇな。かなり激安なのに使えるっぽい？

バックグランドで実行すると言ってきたので、そのようにした。

状況を確認すると即座に処理件数が返ってきた。

状況表示したら500件で死んだくさい。

Capability Evolver（失敗したとき、自己修復できるっぽい）

を入れて実行したら、スクリプトを実行しつづけて、応答不能になった。

/newで始めたら、何もかも忘れやがったので、BOOTSTRAPで記憶が残るようになったっぽい。

ついでに、glm-5-turboに乗り換え、（レート制限で使用不可）自己修復で再実行した。

自己修復前の実行は状況表示は即座に応答あったのに、

自己修復実行後は長い処理の途中で、停止できないし割り込めないしで、結構使いにくい。

途中であらぬ方向に行くとき、起動修正ができない。

失敗が確定しないと、次の行動を直せない。

そのための、Capability Evolverなのかもしれんが・・・

単純ループはループを小さくして、応答受けつけするのがコツかもしれない。

もしかしてバックグランドで起動してないのか？チャットセッションで起動してんの？よくわからん。

明示的にサブエージェントで指示するべきだったのか？

長時間のタスクは、OpenClawはデフォルトでタスクが10分で強制終了してしまう。

・タイムアウトを伸ばす

・細かく終了させる

・再実行させる

これらをやらないと、うまく動かん。

firebase config

functions.config() は 2026年3月以降デプロイ不可になるため、

dotenvかsecret managerに移行しなくちゃいけない。

composer2

cursorの新モデルcomposer2が出てたので、触ってみた。

ちょっと複雑なバグも直してしまった。

すごいかも・・・

同じような機能、実装Aと実装Bがあり、実装Bにバグがある、実装Aを元にすれば直せる状況。

動作を見ると

grep -> thinkingをひたすらループし、かなり最適に答えにたどり着いていた。

Composer 2の料金 (100万トークンあたり) 

• スタンダード版:
  • 入力 (Input): $0.50 (約75円)
  • 出力 (Output): $2.50 (約375円)
• 高速版 (デフォルト):
  • 入力 (Input): $1.50 (約225円)
  • 出力 (Output): $7.50 (約1,125円) 

claude codeで関係ないファイルを勝手に書き換える、謎の処理。

１つのファイルしか修正する必要がないのに、

なぜかpackage.jsonの最後の、 } 閉じ中括弧を削除していた。

プロンプトに localhost:5174があったから、なのか？

やたらスキルを入れているが、そのせいなのか？？？

これ原因を調べるのめんどくさいな。

プロンプトインジェクションではないと思うのだが・・・

最初は５分ぐらいで修正したのに、

２回目は３０分経っても修正できない。

なんだこれ？

ちょっとしたRAG的なものが欲しいのだが・・・

Anthropicは完全にRAGから脱却し、Agentic Searchをしている。

これを小さい規模でできるのか？

AutoGen + GraphRAG

https://zenn.dev/secondselection/articles/autogen_graphrag

genspark speaklyが動かない

数日前から、まともに動作しない。

ダウンロードもできない。

https://speakly.ai/ja/#

なんだこれ？

仕方がないので、Amicalを入れたが、俺のマシンだとAmicalすら動かん。

クラウド版すら選べん。

ONNX Runtimeが競合しまくり。

ONNXをいろいろ使った覚えがあるが、どのプロジェクトかチェックするのがだるい。

とりあえず nivida studio driverを入れなおしてみる。

直った！

電車の空気ばねで混雑状況がわかるとか

JR東日本のスマホアプリじゃ使いにくいので、以下を登録したが、2日かかる。

https://developer.odpt.org/

のでAIに聞いてみた。

JRを含む**「混雑状況（congestion / crowding）」**は、日本では実はかなり特殊で、リアルタイムAPIはほぼODPTしか公式に存在しません。

そのため開発者は実務では次の 3つの方法のどれかを使います。

① ODPT（唯一の公式リアルタイム混雑API）

問題点

APIキー審査（通常1〜2日）

レート制限あり

② JR東日本オープンデータ（登録不要）

East Japan Railway Company が公開。

ただし リアルタイムではなく統計。

例

時間帯別混雑率

路線別混雑ランキング

③ 非公式（実務で多い）

スタートアップや研究ではこれ。

方法

アプリのAPIを解析

ODPTしかないんだね。

veyonで鍵を使ってくれない時の正しい設定。

veyonの鍵を移して再設定するとき。

ncの11100ポートが通信可能なのに、認証失敗する。

デフォルト設定で

/etc/veyon/veyon.confの[Authentication]の

Method=0になってると使ってくれない。

手で直すか、以下のコマンド。

sudo veyon-cli config set Authentication/Method 1

GPT-5.4の謎の誤字

謎のハングルが含まれる。

admin の依存点を確認します

ダッシュボード API のどこがまだ SurrealDB 依存かを見て、
Cloudflare から取れる情報で置き換えられる部分부터寄せます。

부터

「～から」は韓国語で「부터」という。 

tailscaleで組まれた、複雑なシステムをCloudflareに移植を考える

かなり複雑な構成でtailscaleで組まれている。

ベットサーバとゲームキューを統合しようとすれば可能だが、分けた方が都合がいいことが多い。

・ベットサーバ（rustでカリカリにチューニングされてる、websocket使う）

・Surrealdb

・ゲームキューサーバ + UI（ベットサーバに信号を送り、ゲームステータスや配信サーバを管理）

・配信サーバ + UI（OBSなどをコントロール）

・OBS

・フロント

・管理画面

ベットサーバをCloudflare Durable Objectに、

SurrealdbをD1にしたとして、

他のサーバがDO宛にセキュアに操作したい。

betsrv: Rust + Axum + WebSocket + SurrealDB

game_queue_srv: Bun/Express + WebSocket + SurrealDB

admin: Hono + SurrealDB

client: Svelte フロント

どうやって「private」にするか

ここでいう private は、ネットワーク的に見えないより
認証されていない相手は絶対通さないを意味させるのが実務的です。

方式A: Cloudflare Access Service Token

これが第一候補です。

• ゲームキュー側

  • CF-Access-Client-Id

  • CF-Access-Client-Secret を付けて internal endpoint を呼ぶ

• Worker 側

  • Access 配下に internal API を置く

良い点

• サーバー間認証として強い

• Secret をローテーションしやすい

• Tailscale の ACL に近い感覚で運用できる

• 監査しやすい

用途

• ゲーム開始信号

• ベット開始/停止

• 配信ステータス通知

• サーバ内部 webhook

方式B: Worker 側で HMAC 署名検証

これもかなり有効です。

• ゲームキューが

  • リクエスト本文

  • timestamp

  • nonce

  • 共有秘密鍵 で署名を作る

• Worker が署名検証する

良い点

• Access に依存しなくてもよい

• アプリレイヤで再送防止まで作れる

• 「このイベントは本当にゲームキューが送ったか」を検証しやすい

ベストプラクティス

• timestamp を入れる

• nonce を入れる

• 5分以上古い要求は拒否

• 同一 nonce は再利用禁止

方式C: Access + HMAC の両方

一番強いです。

• Access で「呼び出し元サービス」を認証

• HMAC で「この payload が改ざんされていない」ことを検証

内部制御系なら、これがかなり堅いです。

何を避けるべきか

• IP 制限だけ

  • Workers 側ではあまり信用しすぎない方がいい

• 管理者用トークンを共用

  • 内部サーバ全部で同じ bearer token を雑に使うのは弱い

• クライアント API と同じ経路で管理命令を送る

  • /admin/start_betting みたいなものをそのまま公開しない

• Tailscale の private IP へ Worker から直接行こうとする

  • 基本その発想は捨てた方がいい

あなたのケースでの具体設計

1. Worker に内部専用エンドポイントを作る

例:

• POST /internal/game/start

• POST /internal/game/open-betting

• POST /internal/game/close-betting

• POST /internal/game/result

これらは 一般クライアントからは使わせない。

2. Worker は認証後に GameDO へ転送する

例の流れ:

• ゲームキューが game_id=20260311_01 に開始命令

• Worker が認証検証

• env.GAME_DO.idFromName(game_id)

• その DO に fetch() か内部メッセージで転送

• DO が状態を更新し、接続中ユーザーへ配信

3. GameDO はゲーム状態の唯一正本にする

今の betsrv の責務を見る限り、ここに寄せるのが自然です。

• status

• betting_end_time

• race_table

• pending bets

• 結果確定

• ユーザー通知

4. D1 は永続化に使う

• user

• bet history

• race_table

• settings

Tailscale はどう絡めるか

Tailscale は ゲームキューや配信サーバ同士の内部連携 に残してよいです。
でも Workers との境界はこう切るのがよいです。

text
[Tailscale内]
ゲームキュー ---- 配信サーバ ---- 各内部サービス
      |
      | HTTPS outbound
      v
[Cloudflare]
Internal Worker Endpoint
      |
      v
GameDO / D1

つまり、

• Tailscale 内部では private

• Cloudflare 境界では Access/HMAC で private

• Worker は Tailscale に直接入らない

です。

さらに安全にするなら

コマンドをイベント化する

制御命令を単なる REST ではなく、冪等な command/event として扱うと安全です。

例:

• command_id

• game_id

• action

• issued_at

を付ける。

GameDO 側で

• 同じ command_id は二重実行しない

• 順序チェックする

• 古い command は拒否する

ようにすると、誤再送に強くなります。

権限をサービスごとに分ける

• ゲームキュー

  • start_game, open_betting, close_betting

• 結果判定サーバ

  • set_result

• 管理画面

  • 手動 override のみ

というふうに、同じ secret を全サービスで使い回さない方がよいです。

一番おすすめの形

あなたの要件なら、私はこれを勧めます。

推奨アーキテクチャ

• GameDO

  • 1ゲーム = 1DO

• D1

  • 永続化

• Internal Control API on Worker

  • /internal/...

• 認証

  • Cloudflare Access Service Token

  • できれば HMAC 署名も追加

• Tailscale

  • 内部サーバ間の接続に継続利用

  • Worker との境界には使わない

ひとことで言うと

ゲームキューから betsrv に開始信号を送りたいなら、Worker に内部制御APIを作って、そこから GameDO を叩く。
private は Tailscale 直結ではなく、Access/HMAC で実現する。
これが一番安全で現実的です。