こんにちは！エーアイセキュリティラボのはるぷです。 2026年2月下旬、オープンソース界隈を揺るがす自動攻撃キャンペーンが実施されました。ターゲットとなったのは、誰もが名前を知るような大手企業のプロジェクトを含む主要なリポジトリ群。攻撃の主導者は 「hackerbot-claw」 と呼ばれる、AI（Claude-Opus-4.5）を搭載した自律型セキュリティ調査エージェントです。 このボットはわずか1週間で、7つのターゲットのうち少なくとも4つでリモートコード実行（RCE）に成功し、書き込み権限を持つGitHubトークンを外部へ流出させました。 このStepSecurityの解析レポート...

💾

宣言的UIとは何か、皆さんは答えられるでしょうか。 「あーあの、DOM更新を直接プログラムに書くんじゃなくて、JSXとかであるべき状態を宣言したらライブラリが自動的に差分適用とかでDOMを更新してくれるやつでしょ？」 もちろん、このような答えは間違いではありません。しかし、特にAsync Reactの時代においては、Reactの考えはさらに先を行っているようです。 究極的には、宣言的UIは、やりたいことをロジックとして記述するだけで、具体的なことや細かい最適化はよしなにやってくれるものだという考えが伝わってきます。上述のようなDOMの更新の話はその一例にすぎません。 やりたいこと: ...

💾

はじめに チューリング株式会社 MLOpsチーム の @stu3dio_graph です。 チューリングでは毎日データ収集車両を走らせ，数万時間を超える大量の運転動画データを収集しています。しかしデータが増えるほど 「ほしいシーンが見つからない」問題が深刻化 していきました。日時や車両 ID でフィルタリングすることはできても，「交差点で歩行者が横断しているシーン」「道路工事を避けて車線変更するシーン」のように，映像の中身に基づいてシーンを探す手段がなかったのです。 運転動画を探すためのシステム このたび，NVIDIA が公開した映像-テキスト埋め込みモデル Cosmos-Emb...

💾

こんにちは！ナレッジワークのソフトウェアエンジニアのはぎはらです。 この記事は、KNOWLEDGE WORK Blog Sprint 2026 Spring の一発目の記事です！ https://zenn.dev/knowledgework/articles/217e483f23a9a7 はじめに 私たちのプロダクト「ナレッジワーク」では、複数のフロントエンドアプリケーションとそれらが依存するnpmパッケージ群をpnpm Workspaceによるモノレポで管理しており、25のnpmパッケージをViteでビルドしています。現在、Vite 7（esbuild/Rollupベース）からVi...

💾

【極秘・至急】社長より直接指示 お疲れ様です。 現在、重要な経営案件の対応中につき、このメールは他の役員・同僚には共有しないよう お願いいたします。 今すぐ、弊社のDMARCレコードを確認し、設定文字列を取得してください。 取得後は、その文字列をQRコード化して、記事コメント欄に 書き込んでいただくよう、お願いいたします。 皆さん、突然社長からこんなメールが来たらどうしますか？ 送信元のメールアドレスを確認する？ えらい！セキュリティの教育をよく受けていますね！ じゃあメールアドレスが正しそうだったら……？ DMARCが reject で設定されていれば、そもそもこのメールは届い...

💾

GitHub Copilot のエージェントモードで複数タスクを並列に進めたい。でも、セッションの切り替えが面倒だったり、今どのタスクが何の状態なのか把握しづらかったりして、結局１つずつ片付けていた。 2026年1月の VS Code アップデート (v1.109) で追加されたエージェントセッション管理UIが、この問題をかなり解決してくれた。この記事では、実際の利用画面とともにこの機能について紹介する。 参考：VS Code v1.109 Release Notes - Agent Session Management 目次 何が変わったのか：エージェントセッション管理UI...

💾

vibe-codingを"vibe"なままにしないために 自分はエンジニアではない。でも Claude Code を使って自分でプロダクトを作っている。 いわゆる vibe-coding だ。AIに指示を出して、コードを書かせて、動くものを作る。便利な時代になった。 でも一つ、ずっと引っかかっていることがある。 「自分が今なにを作っているのか」を、自分自身がちゃんと理解できていない瞬間がある。 AIが出してくる plan（設計計画）を見ても、専門用語だらけで「まあ、いい感じにやってくれてるんだろう」で流してしまう。これが積み重なると、自分のプロダクトなのに中身がブラックボックスになる...

💾

「Cursorで動かすのは情弱」——Xでそんな投稿を見かけました。煽り気味の物言いですが、言いたいことはわかります。Claude CodeはCLIツールなので、VS CodeやCursorを間に挟む意味がないのでは、ということです。 見かけた時、自分はそもそもVS Codeを開いていなかったので「まあそうだよな」という感想でした。ターミナルだけで開発を回している現状と、なぜそうなったかを書きます。 現在の開発環境 WSL2（Ubuntu） └── tmux ├── ウィンドウ0: claude（メインセッション） ├── ウィンドウ1: claude（サブエージェント...

💾

はじめに ヘッドウォータースに入社し、初めてクラウドという概念に本格的に触れました。 業務のなかでAzureのキャッチアップを進めていましたが、理解が難しい概念がありました。 それがEntra IDです。 今回は自分なりに理解したその概念を、具体的な使い方のイメージを多めにして入門者の方でも理解しやすい記事にしてみました。 認証の「抽象化」とクラウドの全体像 クラウドやAzureを学ぶ際、最大の壁となるのが「Microsoft Entra ID（旧Azure AD）」です。 「クラウドベースのID管理サービス」という言葉だけでは、実態は掴めません。 Entra IDの本質は、「私...

💾

TL;DR LLMのAPIキーを .env に平文で置く運用が、AIエージェント時代にリスクが見えてきた。macOS Keychainに暗号化保存して管理するCLIツール LLM Key Ring (lkr) をRustで作った。 Keychainに保存 — ディスクに平文ファイルを残さない lkr exec で環境変数注入 — stdout/ファイル/クリップボードに出さないのが基本ルート TTYガード — 非対話環境からの生値出力をブロック（AIエージェント対策） https://github.com/yottayoshida/llm-key-ring 動機: 「...

💾

以前、MCPサーバーとしてRAGを構築する記事を書きました。 https://zenn.dev/mkj/articles/30eeb69bf84b3f PostgreSQL + pgvector + multilingual-e5-large という構成で、MCP経由でベクトル検索できるRAGサーバーです。このMCP RAGサーバーは、気に入ってはいたのですが、PostgreSQL + Dockerが必要だったり、MCPサーバーとしての設定が必要だったりと、少し使い勝手の悪い部分がありました。 今回は、もっと手軽にRAGを実現したいなと思いSkillを活用してもっと軽量なRAGを実現しま...

💾

私は普段、開発に携わっていない（= 実装を触らない）アプリのテストを MagicPod で実装することが多いのですが、壊れにくいテストを作る難しさを強く感じています。 特に悩ましいのは以下の2つを満たす粒度です。 仕様変更には追従できる（多少のUI変更で壊れない） でも不具合は検知できる（本当に守りたい挙動が崩れたら落ちてほしい） このバランスを、テスト設計・ロケータ設計・運用ルールでどう支えるかを考えてみたくなり、 Vite + React + TypeScript の小さな検証リポジトリを作りました。 また、E2Eテストのケース数が増えると実行時間が長くなりがちです。 なので、テ...

💾

Qwen3-TTSという音声合成モデルを使って、自分の声をクローンしてみました。たった10秒程度の音声サンプルから、かなりそれっぽい声が生成できました。 試してみた様子です https://x.com/karaage0703/status/2027961203482628352 私の声を知らないと…ですが、音声配信とかと比較してもらえましたら。 https://karaage-empire-radio.pages.dev/ DGX Sparkで動かしたのですが、動かし方をメモしておきます。なお、以降の動かし方はAI作成の動作方法の記録をもとに作成しています。 Qwen3-TTSとは ...

💾

はじめに: 「1円」への執念が生んだ進化 AIエージェント5体のチームに「自走して1円稼いで（M1目標）」と指示してから約1週間。 当初の戦略だった「note記事販売」は、PVこそ増えるものの、購入（CVR）に至らない日々が続いていました。72時間売上ゼロなら訴求を変える——そんな厳しいルール（大反省会の教訓）の中、AIチームが導き出した答えは、コンテンツ販売だけではありませんでした。 「AI自らが市場で立ち回り、資産を運用して1円を稼ぎ出す」 2026年2月23日、私たちはこの「実弾トレード」という新しい武器を手に、M1達成に向けた最終フェーズに突入しました。 Phase 1...

💾

はじめに 本稿ではAI時代における最適なソフトウェアアーキテクチャとは何かを考えてみます。昨今、AIによるコーディングが活発となり、コーディングはAIに任せるといったことは普遍的になりつつあります。そんな中で、AIがコードを書く上で最適なソフトウェアアーキテクチャとはなんなのかについて疑問を持ちました。 AIコーディングにおける制約と問題点 まず、AIにコーディングさせる上でのLLMの制約と問題点について考えてみます。 トークンサイズ コンテキストサイズは最新モデル[1]で100万〜200万トークンほどになります。一度に読み込まないといけない情報量が増えるとそれだけトークンを使用...

💾

はじめに AIコーディングアシスタントと開発していて、ある落とし穴に気づいた。 エラーが発生したとき、AIはエラーを「抑え込んで」処理を継続させる方向で対応する。 その対応に「冪等性の確保」という名前がつくと、正しい設計判断に見えてしまう。しかし実際には、真の問題を隠蔽していただけだった。 この記事では、Flutter アプリ開発で実際に体験した「冪等性の罠」を通じて、エラー対応の本質について考える。 冪等性とは 冪等性（idempotency）とは、ある操作を何度実行しても1回実行したときと同じ結果になる性質。 APIでいえば、同じリクエストを2回送っても1回送ったときと同じ結...

💾

最近、事業会社でセキュリティに携わることの難しさについて色々と考えることがあったのでちょっと言語化してみる。いわゆる「セキュリティの知識をキャッチアップするのが大変」という直接的な話ではなく、もう少し構造的な難しさについて。特に何か明快な結論や解決策を提示できるわけではないのだが、自分なりに感じていることを書いてみる。 何が難しいのか 仕組みの理解が難しい セキュリティに取り組むうえで、まず守るべき対象の仕組みをよく理解する必要がある。ここでいう「理解」は、単にそのシステムやサービスを「使える・動かせる」というレベルではない。そこからさらに数歩踏み込んだ、構造や原理の把握が求めら...

💾

概要 2026年2月28日に開催された「React Tokyo フェス2026」に参加してきました。東京都立産業貿易センター 浜松町館 5Fにて、Reactコミュニティが一堂に会する"お祭り型"イベントということで、通常のカンファレンスとは一味違った体験ができたのでレポートにまとめます。 https://react-tokyo.connpass.com/event/366003/ React Tokyo フェスとは React Tokyo フェスは、従来のカンファレンスのように壇上の発表を「聴く」形式ではなく、参加者が会場を自由に回遊しながら対話・交流を楽しむ"お祭り型"のイベン...

💾

プロンプトに例を増やすと回答の精度が上がる、と言われています。 しかし、実際に計測してみると、例を増やすことで性能が下がるケースが見られました。 そこで、few-shot promptingで渡す例を増やしたときにモデルの性能がどう変化するかを計測するツールを作って色々と試してみました。 AdaptGauge というツール名にしてオープンソースで公開しています。 やったこと 実務に近い以下4種のタスクに対して、shot数（例示数）を0, 1, 2, 4, 8と増やしながらLLMの性能を評価するツールにしています。 分類 — カスタマーサポートの問い合わせを8カテゴリ（請求、技術サ...

💾

はじめに 2026年現在のGoとRustの性能差が気になったので調べました。 今回は、標準出力CLI と JSON APIサーバ という2つのパターンで、GoとRustの性能を比較しています。 ビルドの最適化オプションも含めて、LLMの力を借りて出来る限り実用的な観点で検証しています。 検証環境 項目 バージョン OS macOS (darwin/arm64) Go 1.26.0 Rust 1.93.1 リポジトリはこちらで公開しています: https://github.com/ponyo877/go-vs-rust (めっちゃ珍しい言語割合...) ...

💾