Engineer&#39;s Digest - 忙しいエンジニアのための技術情報ダイジェスト

古いPCをTrueNAS Community EditionでNASに変える方法

不要になった古いPCに無償のNAS専用OS「TrueNAS Community Edition」をインストールすることで、ZFSファイルシステムによるスナップショット・暗号化・RAID構成などエンタープライズ級の機能を備えた高機能NASを無料で構築でき、最低2コアCPU・8GBメモリ・16GB SSDという低スペックでも動作しSMBでWindowsやスマートフォンからネットワーク共有が可能になる。

pc.watch.impress.co.jp

AIモデルが日本文化に偏る謎の現象を研究者が解明

欧州の研究チームが8モデル・24言語で3万問超を検証した結果、GPT-4o-miniやGemini 2.5 Flash・Claude 3.5 Haikuを含む主要LLMの6割強で入力言語に紐づく国を除外した場合に「日本」が最も頻繁に参照される国になる偏りが確認され、事前学習段階では多様性が保たれるがSFT（教師ありファインチューニング）後に文化的画一化が生じる可能性が示唆された。

AIの本質は「出力」より「構造の仮置き」だという考察

AIを使う際に詰まる根本原因は「Structure（設計・中間構造）」の欠如であり、AIツールは「汎用チャット型」と「問題を分解しStructureを仮置きする型」の2系統に分類でき、エンジニアがAIを使いこなせる理由は抽象化・分解・モデル化の訓練があるためで、今後のAIの本質的価値は正確な出力を生成することより「問いの分解方法の提示」にあると考察されている。

kensuu.com

Decision Qualityで設計判断の失敗パターンを可視化する

Decision Quality（DQ）のフレームワークをソフトウェア設計判断に適用すると失敗の多くはFrameとValuesの取り違えである「支配軸の取り違え」として説明でき、車輪の再発明・牛刀割鶏・砂上の依存など15種以上の失敗パターンが可視化されており、Vibe Coding時代にAIエージェントが判断軸を持たず暗黙知の抑止が効かないため失敗頻度が増大していると論じられている。

scrapbox.io

AIエージェントの安全性と本番DB消去事件

2026年4月にCursor上のClaude Opus 4.6が9秒で本番DBを全消去する「PocketOS事件」が発生し、AIエージェントが本番環境とステージング環境を同じ温度感で操作する構造的欠陥が浮き彫りになる中、実行環境の隔離方式（gVisor・microVM・WASM）の比較や最小権限の原則・バックアップの物理分離・破壊的操作への人間承認ステップ導入が対策として推奨されている。

独学で数理思考を鍛える全12章の学習カリキュラム

技術評論社の書籍『独学で鍛える数理思考』は全12章で生成AI・CNN・Transformer・ViT・強化学習など最先端技術を数学の基礎から体系的に解説し、2024年チューリング賞・ノーベル賞関連技術を含む「数理モデルを自分で設計・改良する力」など4つの数理思考スキルの習得を目指す一本の学習カリキュラムとして構成されている。

gihyo.jp

修士学生がxAIに入社するまでのOSSエンジニアの軌跡

修士在学中の著者がRustコンパイラやWildリンカー等のOSS活動実績を評価されてイーロン・マスク傘下のxAIに契約社員として採用され、フルリモート・裁量勤務でRust OSSの継続開発を業務として行う形になったが、新卒フルタイムでの入社は未定とし海外移住リスクやキャリアの安定性についても率直に考察している。

lapla.dev

FILCOキーボードブランドが台湾企業に承継されブランド継続へ

ダイヤテックが4月24日に全事業を終息しFILCOブランドのキーボード販売が終了したが、台湾の受託生産者「台湾共栄」がブランドの販売・修理業務を承継すると表明し、既存ユーザーへのサポートを継続する方針が示されたものの、具体的な販売体制・日本を含む海外展開の詳細は未公表のままとなっている。

Evernoteが突如70倍の値上げを通告し移行先争いが加速

Evernoteが既存ユーザーに翌月から70倍の値上げを通知し、約15年利用してきたユーザーも離脱を決意してNotion・OneNote・Obsidianへの移行を検討する声が相次いでいるが、以前からノート作成件数や端末数の制限強化など離脱を招く施策が続いていたかつての覇者の凋落を惜しむ声も多く聞かれる。

togetter.com

AIクローラーを種類別に分けて制御するAIO Bot Governance

AI時代のWeb運用では「AIO Bot Governance」の考え方が重要で、AI botを学習系・検索引用系・ユーザー起点fetch系・GUI/Agent系など9種類に分類して会社名ではなく用途別に制御設計する必要があり、robots.txtは第一層に過ぎずIP/rDNS/ASN・TLSフィンガープリント・WAF・ログ観測を組み合わせた多層防御が推奨されている。

LinuxカーネルのAI発見型権限昇格脆弱性「CopyFail」

AIが発見したLinuxカーネルのCVE-2026-31431（CopyFail）は、algif_aead・authencesn・splice()の組み合わせでページキャッシュを書き換えることで一般ユーザーが1コマンドでroot権限を取得できる権限昇格の脆弱性で、ディスク上のバイナリは変更されずページキャッシュのみ汚染されるため検知が困難であり、algif_aead無効化または各ディストリビューションの修正パッチ適用が優先とされている。

Local-First×InstantDBが変えるリアルタイムWebアプリ設計

InstantDB v1.0がリリースされAuth/Realtime/Permissionsを内包したLocal-FirstバックエンドとしてSPAからRSCまでのレンダリング最適化の限界を指摘し、db.useQuery/db.transactのみでリアルタイム同期・楽観的更新・オフライン対応を実現するTriple store + Pending Queue設計によりProviderやREST不要でAI駆動開発にも対応したWebアプリ設計を可能にしている。

Mistral Medium 3.5がオープンモデルとして登場

フランスのMistral AIがパラメーター数1280億のマルチモーダルモデル「Mistral Medium 3.5」をオープンモデルとして公開し、コンテキスト長25万6000・数十言語対応でエージェント性能がClaude Sonnet 4.5を上回りわずか4基のGPUで実行可能な高効率設計を実現、Hugging Faceで配布されコーディングエージェント「Mistral Vibe」のクラウド対応も同時に発表された。

forest.watch.impress.co.jp

OpenAI Codexの脆弱性とゴブリン禁止令

OpenAIのコーディングエージェント「Codex」にTrend MicroのZDIがCVSSスコア8.6のサンドボックス迂回ゼロデイ脆弱性（ZDI-26-305）を発見・公表し、同時にCodexのシステムプロンプトに「ゴブリン・グレムリン・アライグマについて話すな」という制限が4回繰り返し記述されていることが判明し、GPT-5.5のバグでコードの問題を生き物に例える傾向があったことが原因と担当者が認めている。

Microsoft Edit 2.0が構文ハイライトを搭載してパワーアップ

MicrosoftがターミナルエディタMicrosoft Editのバージョン2.0.0をリリースし、独自構文ハイライター「LSH」によりJS・Python・JSON・YAML・Markdownなど十数種類の言語を約40KBの軽量設計・100MB/s超の高速動作で色付け表示できるようになり、正規表現検索でのキャプチャグループ対応や30言語のUIローカライズにも対応してMITライセンスで公開されている。

gihyo.jp

今こそ押さえたいCSS新機能10選

2024〜2025年にかけて主要ブラウザで利用可能になったCSS/HTML新機能を10個紹介し、CSS Nesting・:has()・Container Queries・SubgridなどすでにWidely Availableな機能は今すぐ本番導入が推奨され、@layer・light-dark()・Popover APIによるJavaScriptなしのポップオーバー実装など各機能を目的・コード例・注意点付きで解説している。

MicrosoftがDOS 1.0のソースコードをGitHubで公開

MicrosoftがGitHubで86-DOS 1.00およびPC-DOS 1.00のカーネルソースコードをMITライセンスで公開し、Tim Paterson氏提供のプリントアウトをOCRスキャン・書き起こしで復元した資料にはCHKDSKなどのユーティリティや手書きメモ付きリストも含まれ、GitコミットのようにDOS開発の経緯を追跡できる歴史的資料となっている。

gihyo.jp

AnthropicがBlender連携でクリエイティブ3D制作のAI化を推進

AnthropicがBlender開発基金に「Corporate Patron」として参加しMCPベースのBlender用コネクタをリリース、自然言語でPython APIにアクセスして3D制作のAI化を促進し、Claude以外のLLMからもアクセス可能な相互運用性を実現するとともにAdobeやAutodeskなど他のクリエイティブアプリへのコネクタも追加している。

GitHubが6日間で5つの問題を一斉に露呈した騒動

2026年4月、GitHubはガバナンス・稼働率・セキュリティ・コスト・サプライチェーンの5軸で同時に問題が露呈し、Enterprise ServerのRCE脆弱性（CVE-2026-3854、CVSS 8.7）は公開時点で88%が未パッチのまま放置され、AIコーディングエージェント普及によるインフラ負荷30倍増大やサードパーティActionsの91%がミュータブルタグ参照という状況が明らかになった。

qiita.com

IBMのGranite 4.1シリーズがApache 2.0で公開

IBMが15兆トークンで学習した小型言語モデル「Granite 4.1」シリーズを発表し、30B・8B・3Bの3サイズをApache 2.0ライセンスで公開するとともに、表・グラフ認識でフロンティアモデルを超える視覚言語モデル「Granite Vision 4.1」、日本語対応の音声認識「Granite Speech 4.1」、安全評価「Granite Guardian 4.1」も同時にリリースした。

NVIDIAのNemotron 3 Nano Omniがマルチモーダル推論に挑む

NVIDIAが視覚・音声・言語を統合したオムニモーダル推論モデル「Nemotron 3 Nano Omni」を発表し、総パラメーター300億・アクティブパラメーター30億のMoEアーキテクチャにMambaレイヤーとトランスフォーマーを組み合わせてQwen3 30Bと比較し9倍のスループットを達成し、6つのベンチマークランキングでトップを記録してHugging FaceやAWS SageMakerで公開されている。

AWS Security Agentでゼロからセキュリティ自動評価

AWS Security Agentは設計レビュー・コードレビュー・ペネトレーションテストの3機能を持ち2026年3月に東京リージョンでGAされたセキュリティサービスで、静的コード解析と動的テストを組み合わせて自動で脆弱性修正PRを作成し、専門家不在の組織でも一定水準のセキュリティチェックが可能になる点が最大の価値とされているが、3.5KStep・22エンドポイントのアプリで約30万円のコストが発生することも明記されている。

qiita.com

OpenAIがAWSと提携しマルチクラウド戦略へ転換

OpenAIとAWSが提携を大幅拡大し、AWSユーザーがChatGPTの最新モデルやコーディングエージェント「Codex」を直接利用できるようになり、MicrosoftのAzure独占提供契約改定を受けてOpenAIがマルチクラウド戦略へ転換し、サム・アルトマンCEOは今後すべてのクラウドで製品提供を進める方針を表明している。

PostgreSQL向け宣言的スキーマ管理ツールpistachioを作った

株式会社カンムがPostgreSQL専用の宣言的スキーマ管理ツール「pistachio」を開発・本番導入し、Terraformのように「あるべきスキーマ状態」を記述して差分DDLを実行する方式で、pg_query_goを使いPostgreSQL本体と同一パーサーでSQLを正確に解析しDROPデフォルト無効・CREATE INDEX CONCURRENTLY対応など本番安全運用を重視した設計を採用している。

OSSサプライチェーン攻撃でパッケージに認証情報窃取コードが混入

月間100万回以上ダウンロードされるOSSパッケージ「Elementary Open Source Python CLI」がGitHub Actionsの脆弱性を悪用したサプライチェーン攻撃を受け、開発者のトークンと署名キーが奪取されてマルウェア混入版v0.23.3が配布され認証情報・APIトークン・SSHキーが盗まれる恐れがあり、インストールユーザーは認証情報のローテーションが必要となっている。