はじめに グループIT推進本部 CyberAgent group Infrastructure Unit（以下、CIU）所属・Next Expertsの平井（@did0es）です。 CIUのサービスのWebフロントエンド開発に携わる傍ら、TypeScriptのNext Expertsとして情報発信や社内向けの技術支援を中心に活動しています。 本記事では、pnpm や bun への移行を検討する前に、まず npm のままで実現可能なセキュリティ対策を実施したい人を対象に、 .npmrc に入れるべき最小限の設定を紹介します。 ここで紹介する設定は、最小構成でありつつ、CIUのWebフロ...

💾

この記事では AI Agent の代表的な実装パターンの1つである ReAct (Reason+Act) を TypeScript を使って実装してみます。 ReAct パターンは多くの場合、LangChain、Mastra などのフレームワーク経由で使われますが「実際に中で何が起きているのか」はブラックボックスになりがちです。 この記事では、フレームワークを一切使わずに、 TypeScript だけで ReAct エージェントをゼロから実装し、その仕組みを理解します。 ReAct パターンとは ReAct は LLM が「考える(Reason)」と「行動する(Act)」ステップを交...

💾

! この記事は毎週必ず記事がでるテックブログ Loglass Tech Blog Sprint の137週目の記事です！3年間連続達成まで残り22週となりました！ データベースの主キーはもう UUIDv7 一択――というのが最近の流れかもしれません。特に今は AI が「核心です！本質です！UUIDv7 です！」と自信満々に採用してくる時代です。だからこそ、人間の側もその背景をしっかり理解しておきたいものです。 ログラス プロダクト基盤部の小林です。ID体系を根本から考え直す機会はなかなかありませんが、ログラスにおいていくつかの新規事業や大規模なプロダクト改修が進む中で刺激を受け、この...

💾

はじめに 2026年3月31日（日本時間夕方）、Claude Codeのソースコードがインターネット上に流出しました。 結論から言うと、ユーザーデータの漏洩やサイバー攻撃ではありません。npmパッケージへのソースマップファイルの混入という、リリース工程のヒューマンエラーです。 ただし、Claude Codeユーザーとして、対策が必要だと感じました。本記事では、今後もふまえた対策もご紹介していきます。 【2026年4月1日追記】 問題のv2.1.88はnpmレジストリから削除済みでとなっています。すでにv2.1.89以降が入っている場合は最新版のままで問題ありません。stableチャン...

💾

はじめに Claude Codeで開発するとき、仕様書をMarkdownで書いてリポジトリに置き、@docs/specification.md を読んで認証機能をこの通りに実装して とやっていないだろうか。 自分はこれをやっていた。仕様書を1つのMarkdownファイルにまとめてdocs/に配置し、Claude Codeに丸ごと読ませて実装させるフローで開発した。 そして精度が悪かった。 なぜ精度が悪いのか、どうすれば改善できるのか。仕様書の渡し方を工夫する方向で調査を進めた結果、問題は渡し方ではなく「仕様書を渡すこと自体」にあると気づいた。 この記事では、Claude Codeの設...

💾

はじめに 前回の記事で、lobster.jsというMarkdownだけでWebページが作れるパーサーを紹介しました。 lobster.jsは1つのMarkdownから1枚のWebページを生成します。しかし実際にドキュメントサイトやWikiを作ろうとすると、複数ページのナビゲーション・共通ヘッダー/フッター・目次といった仕組みが必要になります。 これをMarkdownと最小限の設定だけで実現するのが lobster-wiki です。 https://github.com/Hacknock/lobster-wiki lobster-wiki とは lobster-wikiは、lob...

💾

はじめに セキュリティ人材を採りたい企業の多くが、職種の違いを理解しないまま採用活動を始めている。AI時代でその構造はさらに複雑になった。 セキュリティ人材専門の採用コンサルタントとして、日々企業と候補者の両方と話す中で感じるのは、「セキュリティエンジニア」という言葉があまりにも雑に使われているということだ。 SOC運用とCSIRT対応は違う仕事だし、脆弱性診断とGRCは求められる素養がまるで違う。しかし求人票では「セキュリティエンジニア募集」の一言でまとめられていることが珍しくない。 この記事では、現場で見てきた6つの職種を整理し、それぞれの違い・AI時代に求められる変化・採用と転...

💾

# 逆引き Rust Web API 開発: Axum で学ぶ実践パターン ヘルプデスクアプリケーションの実コードをベースに、Rust / Axum による REST API 開発の実践パターンを逆引き形式で解説します。 ## 学べること - Axum のルーティング・Extractor・State パターン - ハンドラー実装（JSON / Multipart / エラーレスポンス） - sqlx による PostgreSQL 連携とモデル設計 - Azure Blob Storage・AI サービスとの外部連携 - Axum 開発に必要な Rust 基礎（所有権・Result・async/await・ライフタイム） - 変換パターン・ライブラリの逆引きチートシート ## 対象読者 - Rust の基本文法はある程度わかり、Axum で API を作りたい方 - Go / TypeScript / Python 等で API 開発の経験がある方 ## 前提知識 - Rust のインストールと `cargo` の基本操作 - `struct`、`enum`、`impl`、`trait` の基本的な理解 - HTTP と REST API の基礎概念 --- # 免責事項 本書は執筆時点（2026 年 3 月）の情報に基づいています。Rust エコシステムのアップデートにより動作が変わる可能性があるため、最新の公式ドキュメントをご確認ください。 本書の構成・コードは**学習目的**であり、本番利用にはセキュリティ・監視・冗長化等の追加考慮が必要です。 本書の情報はご自身の責任でご利用ください。著者は内容の保証を行わず、利用に起因する損害について責任を負いません。

💾

はじめに HRBrainのプラットフォームチームのえぬひろです。 HRBrainでは30以上のマイクロサービスをGoとTypeScriptで開発しています。ローカル開発環境にはTiltを採用しており、開発者は tilt up <サービス名> の1つのコマンドで、必要なサービスとその依存関係をまとめて起動できるようになっています。 依存サービスを含めて複数サービスを起動するにあたって、Dockerビルド実行による起動速度やリソース消費に課題が出てきました。 コーディングエージェントの登場でコードを書く速度は上がりましたが、変更の反映確認に時間がかかるのでは開発サイクルが回り...

💾

こんにちは！ サイボウズ株式会社 デザインテクノロジストの saku (@sakupi01) です。 はじめに サイボウズは 2025 年 4 月より、W3C のメンバーに加入しました。 https://blog.cybozu.io/entry/joining-w3c 標準化プロセスに関わることができるようになるための最初の一歩として、フロントエンドエンジニアの一部のメンバーは積極的に Web 標準のキャッチアップを行っています。 そこで、毎月メンバーが興味を持った Web 標準に関する話題や、実際に標準化プロセスに関わることができた場合にはその報告などを 1 つの記事としてまとめ、...

💾

こんにちは、クラシルのラクです。 2026年3月だけで、サプライチェーン攻撃が立て続けに発生しています。 3月19日: セキュリティスキャナTrivyのGitHub Actionsが侵害され、CIで実行するだけでSSH鍵やクラウドトークンが窃取される状態に 3月24日: Trivyの侵害を起点にPyPIのLiteLLMにも波及。数時間にわたり悪意あるバージョンが配布 3月31日（本日）: npmのaxiosのメンテナアカウントが乗っ取られ、RATが仕込まれたバージョンが公開 Trivy → LiteLLMのように、1つの侵害が連鎖的に別のプロジェクトに波及するケースも出てきて...

💾

はじめに こんにちは、しもちです。本日（2026年3月31日）、npmパッケージのaxiosにサプライチェーン攻撃が発生しました。axiosは週間1億ダウンロードを超えるHTTPクライアントライブラリなので、かなり大きな影響が出ています。 今回は攻撃の概要と、担当プロジェクトでの影響、そしてサプライチェーン攻撃への備えについて書きます。 何が起きたのか 攻撃者はaxiosのメンテナー（jasonsaayman）のnpmアクセストークンを窃取し、通常のCI/CDパイプラインをバイパスして悪意のあるバージョンを直接npmに公開しました。 公開された悪意のあるバージョンは以下の2つです...

💾

この記事は、Claude Code を日常的に使っているものの「うまく活用できている実感がない」と感じているエンジニア向けです。 特に、「CLAUDE.md は作ってみたけど、サブエージェント・スキル・フック・MCP などはまだ使いこなせていない」という方を対象にしています。 書籍『実践 Claude Code 入門』（技術評論社）を読んで得た気づきをベースにしているので、ぜひ本書も読んでみてください。 読者には以下の状態になってもらうことを目指しています。 サブエージェント、スキル、フック、MCP がそれぞれ何のために存在するのかわかった 「何となく使っている」から「理解して使ってい...

💾

TL;DR 2026年3月31日、npm で最も利用されているHTTPクライアントライブラリの一つである axios がサプライチェーン攻撃を受けました。攻撃者はリードメンテナーのアカウントを乗っ取り、マルウェアを含む2つのバージョンを公開しています。 項目 内容 侵害バージョン axios@1.14.1、axios@0.30.4 安全なバージョン axios@1.14.0（1.x系）、axios@0.30.3（0.x系） 悪意あるパッケージ plain-crypto-js@4.2.1 マルウェア種別 クロスプラットフォームRAT（Remote Acc...

💾

本記事では、AIエージェントの性能を決める「ハーネス」の設計手法について、ざっくり解説します。 株式会社ナレッジセンスは、生成AIやRAGを使ったプロダクトを、エンタープライズ企業向けに開発しているスタートアップです。 この記事は何 この記事は、AIエージェントのハーネス設計を自然言語で統一的に記述する手法「NLAH（Natural-Language Agent Harnesses）」の論文[1]について、日本語で簡単にまとめたものです。 https://arxiv.org/abs/2603.25723 本題 ざっくりサマリー 「NLAH」は、エージェントのハーネス設計を、自...

💾

Ubie社内でセキュリティ分析に利用できる生成AIエージェントを開発・運用をはじめておよそ1年が経ちました。よい区切りではあるので、セキュリティ分析における生成AI利用について得られた知見などをまとめたいと思います。 前提：「セキュリティ分析」とは？ まず、セキュリティアラートとはEDR、WAF、クラウドセキュリティサービス、脆弱性スキャナーなどが発見したセキュリティ上問題になりそうな事象などの報告を指します。これは本当に影響のあるアラートもあれば誤検知も含まれます。組織のセキュリティ担当者はこれが本当に影響あるものなのかを調査して必要なら対応方針を考える、という一連の作業を「セキュ...

💾

普段 Claude Code でスマホアプリを個人開発しています。 最初は Cursor 上で Claude Code を使っていたのですが、ある日気づきました。これ、めちゃくちゃ使いにくい。 Cursor + Claude Code の何が辛かったか Claude Code の完了に気づけない（ずっと画面を見ていないといけない） 複数プロジェクトを並行開発すると、どのセッションが完了したか毎回探している Cursor のウィンドウをプロジェクト数分開いていて、Mac が重い 要するに「Claude Code を走らせながら別のことができない」という問題です。 せっかく AI が...

💾

GitHub Actions のセキュリティに特化した静的解析ツール「ghasec」を作りました。 https://github.com/koki-develop/ghasec こういうの インストール方法や基本的な使い方について紹介します。 インストール 使い方 明示的に対象ファイルを指定する オンラインモード 検出を無視する GitHub Actions で ghasec を使う AI エージェントとの連携 検出されるルール リモートアクションのコミット SHA 固定 スクリプトインジェクション なりすましコミット (Impostor Commit) 技術的な話...

💾

1. はじめに なぜログは重要なのか？ ログは現代のソフトウェアシステムにおいて欠かせない要素です。適切に設計されたログシステムは以下を可能にします。 システムの稼働状態をリアルタイムで監視する バグや障害を素早く発見・修正する パフォーマンスのボトルネックを特定し最適化する ビジネス指標を継続的に把握する しかし、ログ設計が不適切な場合、次のような問題が発生します。 オーバーロギング：不要なログが大量に生成され、重要な情報が埋もれる 情報不足：障害発生時にデバッグに必要なデータが記録されていない 非一貫性：プラットフォームやサービスによってログ形式がバラバラで分析が...

💾

はじめに こんにちは、株式会社Berryの浅沼です。 以前、Clineを利用した開発が超快適なので、使っている.clinerulesを解説しますという記事で、AI駆動開発における .clinerules の育て方を紹介しました。 あれから私たちのAI開発環境も日々進歩を続けています。Clineから Claude Code に移行し、ルールファイルの管理から Skillsによる開発ワークフロー各フェーズの効率化 へと進んでいます。 本記事では、医療機器向け品質管理システム「QMSmart」の開発で実際に運用している 12種類のClaude Code Skills と、その設計思想・ディ...

💾