こんにちは、クラシルのラクです。 2026年3月だけで、サプライチェーン攻撃が立て続けに発生しています。 3月19日: セキュリティスキャナTrivyのGitHub Actionsが侵害され、CIで実行するだけでSSH鍵やクラウドトークンが窃取される状態に 3月24日: Trivyの侵害を起点にPyPIのLiteLLMにも波及。数時間にわたり悪意あるバージョンが配布 3月31日（本日）: npmのaxiosのメンテナアカウントが乗っ取られ、RATが仕込まれたバージョンが公開 Trivy → LiteLLMのように、1つの侵害が連鎖的に別のプロジェクトに波及するケースも出てきて...

💾

はじめに こんにちは、しもちです。本日（2026年3月31日）、npmパッケージのaxiosにサプライチェーン攻撃が発生しました。axiosは週間1億ダウンロードを超えるHTTPクライアントライブラリなので、かなり大きな影響が出ています。 今回は攻撃の概要と、担当プロジェクトでの影響、そしてサプライチェーン攻撃への備えについて書きます。 何が起きたのか 攻撃者はaxiosのメンテナー（jasonsaayman）のnpmアクセストークンを窃取し、通常のCI/CDパイプラインをバイパスして悪意のあるバージョンを直接npmに公開しました。 公開された悪意のあるバージョンは以下の2つです...

💾

この記事は、Claude Code を日常的に使っているものの「うまく活用できている実感がない」と感じているエンジニア向けです。 特に、「CLAUDE.md は作ってみたけど、サブエージェント・スキル・フック・MCP などはまだ使いこなせていない」という方を対象にしています。 書籍『実践 Claude Code 入門』（技術評論社）を読んで得た気づきをベースにしているので、ぜひ本書も読んでみてください。 読者には以下の状態になってもらうことを目指しています。 サブエージェント、スキル、フック、MCP がそれぞれ何のために存在するのかわかった 「何となく使っている」から「理解して使ってい...

💾

TL;DR 2026年3月31日、npm で最も利用されているHTTPクライアントライブラリの一つである axios がサプライチェーン攻撃を受けました。攻撃者はリードメンテナーのアカウントを乗っ取り、マルウェアを含む2つのバージョンを公開しています。 項目 内容 侵害バージョン axios@1.14.1、axios@0.30.4 安全なバージョン axios@1.14.0（1.x系）、axios@0.30.3（0.x系） 悪意あるパッケージ plain-crypto-js@4.2.1 マルウェア種別 クロスプラットフォームRAT（Remote Acc...

💾

本記事では、AIエージェントの性能を決める「ハーネス」の設計手法について、ざっくり解説します。 株式会社ナレッジセンスは、生成AIやRAGを使ったプロダクトを、エンタープライズ企業向けに開発しているスタートアップです。 この記事は何 この記事は、AIエージェントのハーネス設計を自然言語で統一的に記述する手法「NLAH（Natural-Language Agent Harnesses）」の論文[1]について、日本語で簡単にまとめたものです。 https://arxiv.org/abs/2603.25723 本題 ざっくりサマリー 「NLAH」は、エージェントのハーネス設計を、自...

💾

Ubie社内でセキュリティ分析に利用できる生成AIエージェントを開発・運用をはじめておよそ1年が経ちました。よい区切りではあるので、セキュリティ分析における生成AI利用について得られた知見などをまとめたいと思います。 前提：「セキュリティ分析」とは？ まず、セキュリティアラートとはEDR、WAF、クラウドセキュリティサービス、脆弱性スキャナーなどが発見したセキュリティ上問題になりそうな事象などの報告を指します。これは本当に影響のあるアラートもあれば誤検知も含まれます。組織のセキュリティ担当者はこれが本当に影響あるものなのかを調査して必要なら対応方針を考える、という一連の作業を「セキュ...

💾

普段 Claude Code でスマホアプリを個人開発しています。 最初は Cursor 上で Claude Code を使っていたのですが、ある日気づきました。これ、めちゃくちゃ使いにくい。 Cursor + Claude Code の何が辛かったか Claude Code の完了に気づけない（ずっと画面を見ていないといけない） 複数プロジェクトを並行開発すると、どのセッションが完了したか毎回探している Cursor のウィンドウをプロジェクト数分開いていて、Mac が重い 要するに「Claude Code を走らせながら別のことができない」という問題です。 せっかく AI が...

💾

GitHub Actions のセキュリティに特化した静的解析ツール「ghasec」を作りました。 https://github.com/koki-develop/ghasec こういうの インストール方法や基本的な使い方について紹介します。 インストール 使い方 明示的に対象ファイルを指定する オンラインモード 検出を無視する GitHub Actions で ghasec を使う AI エージェントとの連携 検出されるルール リモートアクションのコミット SHA 固定 スクリプトインジェクション なりすましコミット (Impostor Commit) 技術的な話...

💾

1. はじめに なぜログは重要なのか？ ログは現代のソフトウェアシステムにおいて欠かせない要素です。適切に設計されたログシステムは以下を可能にします。 システムの稼働状態をリアルタイムで監視する バグや障害を素早く発見・修正する パフォーマンスのボトルネックを特定し最適化する ビジネス指標を継続的に把握する しかし、ログ設計が不適切な場合、次のような問題が発生します。 オーバーロギング：不要なログが大量に生成され、重要な情報が埋もれる 情報不足：障害発生時にデバッグに必要なデータが記録されていない 非一貫性：プラットフォームやサービスによってログ形式がバラバラで分析が...

💾

はじめに こんにちは、株式会社Berryの浅沼です。 以前、Clineを利用した開発が超快適なので、使っている.clinerulesを解説しますという記事で、AI駆動開発における .clinerules の育て方を紹介しました。 あれから私たちのAI開発環境も日々進歩を続けています。Clineから Claude Code に移行し、ルールファイルの管理から Skillsによる開発ワークフロー各フェーズの効率化 へと進んでいます。 本記事では、医療機器向け品質管理システム「QMSmart」の開発で実際に運用している 12種類のClaude Code Skills と、その設計思想・ディ...

💾

はじめに 「AIエージェントは作れた。でも翌日になると全部忘れている。それどころか、何度同じタスクを実行しても一向に賢くならない」——そう感じたことはありませんか？ 2026年、AI エージェントは「チャットで呼び出すもの」から「バックグラウンドで常に動いているもの」に変わりつつあります。LangChain はこれを Ambient Agent と呼び、Salesforce は「エージェントは user-initiated から event-driven へ移行する」と予測しました。EventBridge のスケジュールでメトリクスを収集する運用エージェント、GitHub の Web...

💾

※多大なるポジショントークが含まれます。 なかなか話されることのない、学生団体の特徴や難しさを踏まえた組織論について多大なる偏見と適当な知識でお話したものです。 いつか、まだ若いなぁと思いながら自分で読み返せれば良いと思ってます。 誰かの参考になれば幸いです。 なお、Project Kit vol.2や私のQiitaにもCirKitの運営秘話がありますので、そちらもどうぞ。 https://qiita.com/AtsuAtsu0120/items/1e43584d055632ca8733 https://qiita.com/AtsuAtsu0120/items/57ea8a8dacbb0690ecc2 https://techbookfest.org/product/mNyp9uKLqgc2MUKeLLWfTw

この記事はコーディングをメイン業務とするはずだったエンジニアたち、LLMによりロールモデルが消失したエンジニアたちがどのようにコーディングエージェントと向き合えばいいかという問題に対する個人的な考えである。想定読者はコードを書いたことがない初心者からエージェントを使い込んでいるヘビーユーザーまで何かしらの発見があるように配慮したつもりだ。 強者の戦略は確立されている コーディングエージェントのベストプラクティスははっきりしている。 コード作成代行である。 要件も設計もプログラミング言語もそれらの背景にある思想も知ってるのは、理解してるのは人間であり、その人間は時間をかければコードを完...

💾

各社が自律型コーディングエージェントを作り始めている RampはPRの約30%がエージェント経由で作られている。Stripeは週に1000件以上のPRを完全自動で生成・マージしている。Uberもエンジニアリング組織全体でエージェントへのシフトを進めている。 各社とも数億行規模のコードベースや社内インフラとの統合が必要なので内製しているが、やっていること自体はシンプルで、エージェントにコードを書かせて、プログラムで検証して、通るまでループを回す、という構造になっている。これは既存のAIコーディングツールを組み合わせればローカルで再現できる。 この記事では、Claude Code、Cod...

💾

はじめに こんにちは、Lapi（@dragoneena12）です。 Goではtry-catch型のエラー処理（いわゆる例外処理）ではなくエラーを関数の戻り値として扱うようになっています。他の言語に慣れている人からするとこの書き方は冗長に見えるようです。 なぜGoではこのようなエラーの扱い方をしているのか。冗長に書かざるを得ないように見えるのはなぜなのか。自分なりに調べてみた内容を社内LT会で発表したので、ブログ記事に再編してみました。 Cのエラー処理 Goがこのようなエラー処理方法を採用した背景を知るため、まずはCのエラー処理について振り返ってみます。 まず重要な点として、Cの言...

💾

はじめに ソフトウェア開発において、ユニットテストの役割は変化しています。特にAIを活用したコーディングが普及した現在、ユニットテストの目的を再定義し、設計を見直す必要があります。 AIによるコード生成は開発速度を向上させましたが、「生成されたコードが意図通りに動くか」を開発者が検証する作業の比重を増加させました。これにより、実装の過程で処理の動作を確認するためのテストの必要性が高まっています。 しかし、現在の開発現場では、テストの目的が混同されるケースが散見されます。 例えば、ログイン処理のユニットテストにおいて、「ログインに成功すれば OK」という仕様確認と、「内部で正規表現が何...

💾

こんにちは，松尾研究所の尾崎です．25卒でデータサイエンティストをやっています． 最近，AIエージェントがコードを書き，メールを要約し，会議を記録してくれる時代になりました．Claude Codeを複数同時に走らせたり，AIに調査を任せながら別の作業をしたり——気づけば，自分の仕事のやり方そのものがかなり変わってきています．しかし，そもそも「何をやるか」を管理するタスク管理そのものは，まだ従来のやり方のままという方も多いのではないでしょうか． 本記事では，自分自身のタスク管理環境を紹介しつつ，AI時代に「マルチタスク」の意味がどう変わっていきそうかを考え，AIがタスク管理にどこまで関与で...

💾

こんにちは！ブロックチェーンエンジニアの山口夏生です。 ブロックチェーン×AI Agentで自律経済圏を創る開発組織Komlock labでCTOをしています。 ローカルLLMって難しそう...そう思っていませんか？ 実は、たった3つのコマンドで動きます。Ollama をインストールして、モデルをプルして、OpenClaw のオンボーディングを実行するだけ。5分後には、完全にローカルで動作するAIアシスタントが手に入ります。 この記事では、「とにかく動かす」ことに特化して、OpenClaw × Ollama の環境構築から実践的な活用パターンまでを解説します。コスト削減、プライバシー保護...

💾

はじめに クラシルで開発マネージャーをしているfunzinです。 本記事では、Claude Codeのスケジューラー機能を使って定常業務を自動化し、タスクを覚えておくストレスをゼロに近づける運用フローを紹介します。EM・PM・データ分析担当者など、定常作業を抱えるすべての方を対象にしています。Desktop スケジューラーで自動化を育て、安定したらCloud スケジューラーに昇格させるアプローチが実用的だったので、その運用方法を共有します 導入の背景 毎日こなす定常作業が、以下のように存在していました。 1on1の事前準備: メンバーのSlack・Notion・GitHubの...

💾

どうしたんですか 例えば20代の若者、アプリケーションエンジニアをしている若者に対して。 飲み会でLinuxってのは本当にいいんだよ。俺の話を聞けよ。って30分くらいLinuxの説明をできたらいいな、って思っていたりする。でも気持ち悪がられる。だから、ここに書くことにした。 難しいんでしょ いや、そうなんよ。むずい。 そもそもなんでLinux使いこなせるようになったらいいのかとか、Windowsだけで困ってませんけど、みたいな話でもある。その気持ちはすごくわかるし、2010年前後くらいのIT環境では、そのうちLinux(ていうかUnix系OS)なんてそのうち絶滅するかなと思ってた...

💾