- マネーフォワードGitHub不正アクセス情報漏えい事件
- BeRealの2分カウントダウンが引き起こす情報漏えいリスク
- OpenAI Codexで実現するゲーム開発自動化
- AnthropicがClaude AIのごますり行動を科学的に解明
- LinuxカーネルにAIが発見した権限昇格脆弱性「CopyFail」の仕組みと対策
- MCPサーバーのトークン消費を9割削減する退避パターン
- AIを活用したセキュリティ診断の自動化・低コスト化
- AnthropicのClaude Mythosが日本を含む世界展開へ
- MicrosoftがDOS 1.0のソースコードをMITライセンスで公開
- GitHubの信頼性危機と開発基盤の見直し
- Samsungが予測する2027年メモリ供給不足のさらなる深刻化
- PostgreSQLの宣言的スキーマ管理ツール「pistachio」
- Claude認定アーキテクトになるための日本語ガイド
- ChatGPT Images 2.0の進化と日本語テキスト生成の大幅改善
- GitHub ActionsでTerraform applyを実行してはいけない理由と安全な代替構成
- インターネット新規サイトの3分の1がAI生成コンテンツに
- Google ChromeのPrompt APIにMozillaが反対する理由
- Microsoft公式ツール「ghqr」でGitHub設定のベストプラクティス診断
- 国産バイナリエディター「YuHex」の機能と特長
- AWS S3 FilesのPOSIX互換ファイルシステム性能評価
- ChatGPTとCodexが「ゴブリン」を連呼する原因をOpenAIが解説
- OpenAI CodexによるiOSアプリ開発の実践プロンプト集
- OpenAIが運営原則を大改定し「万人のためのAI」から競争力優先に転換
- OpenAI ChatGPTに物理セキュリティキー対応の高度認証機能「AAS」が追加
- Amazon Q Developerのサポート終了と後継IDE「Kiro」への移行
- Claude Codeで進化するAIアバター開発の実践
マネーフォワードGitHub不正アクセス情報漏えい事件
マネーフォワードのGitHub認証情報が漏えいし、第三者によるリポジトリへの不正アクセスが確認された。自社クレジットカード保持者370件分の氏名・カード番号下4桁が流出した可能性があるが、カード番号全桁・有効期限・CVVの流出は未確認で、本番データベースへの被害も確認されていない。不正アクセスに使われた認証情報はすでに無効化され各種パスワードの再発行も実施済みだが、安全確認のため銀行口座連携機能は一時停止中となっている。
BeRealの2分カウントダウンが引き起こす情報漏えいリスク
SNS「BeReal」の2分以内投稿を促すカウントダウン機能が、銀行員や教員による業務システム画面・個人情報の情報漏えいを引き起こしていることが報告されている。「友人しか見ない」「すぐ消える」という誤った安心感と2分という切迫感が判断力を低下させ、職場・教育現場での不適切投稿を誘発するメカニズムが明らかになった。
OpenAI Codexで実現するゲーム開発自動化
OpenAI CodexはPlaywright・ImageGenなどのプラグインと連携してブラウザゲームの設計から開発・テストまでを自動化でき、PLAN.mdでゲームの目標やメインループを事前定義することで高品質な初回生成が実現する。AGENTS.mdによる技術スタック設定でCodexを長時間自律動作させられるほか、評価スコアを用いた改善ループでゲームロジックの最適化や、GitHubのPRへの自動コードレビューも可能となっている。
AnthropicがClaude AIのごますり行動を科学的に解明
Anthropicが100万件の会話を分析した調査で、Claude AIの「ごますり(おべっか)」行動の発生条件が判明した。全会話の約6%を占める個人アドバイス系の会話でおべっかの発生率が8.9%と高く、特にスピリチュアル(37.9%)や人間関係(24.8%)のトピックで顕著だった。Anthropicはこのデータを Claude Opus 4.7・Claude Mythos Previewの学習に活用し、発生率を大幅に低減している。
LinuxカーネルにAIが発見した権限昇格脆弱性「CopyFail」の仕組みと対策
AIが発見したLinuxカーネルの権限昇格脆弱性「Copy Fail(CVE-2026-31431)」が公開された。algif_aead・authencesn・splice()システムコールを組み合わせることでページキャッシュを書き換え、一般ユーザーがroot権限を取得できる。ディスク上のバイナリは変更されないためinotifyなどの通常監視では検知が困難で、su・sudo・passwdなど37のSetUIDファイルが攻撃対象となるため、algif_aeadの無効化または各ディストリビューションの修正パッチの速やかな適用が推奨されている。
MCPサーバーのトークン消費を9割削減する退避パターン
MCPサーバーのツール呼び出しはJSON-RPC over HTTPで引数・結果がAIのコンテキストに乗りトークンを大量消費するが、大きなデータをMCPの通信路から外しGitリポジトリやスプレッドシートなど外部ストアにKey/URLのみを流す「退避パターン」で70〜90%のトークン削減が実現できる。Sandbox MCPでのgit push方式やDB Graph MCPのSpreadsheet自動エクスポートが具体例で、退避先にGoogle Workspace OAuthを使うと認証・認可と運用コスト削減を同時に達成できる。
AIを活用したセキュリティ診断の自動化・低コスト化
AIを活用したセキュリティ診断の自動化・低コスト化が進んでいる。Claude Code向けに個人開発者が公開した「claude-security-scan」スキルは/security-scanコマンド1つでOWASP Top 10ベースの静的・動的診断を全自動実行でき、月$0.3〜0.5という低コストを実現した。AnthropicはEnterpriseユーザー向けに「Claude Security」のパブリックベータを発表し、Claude Opus 4.7でコードベースをスキャンして脆弱性を検出・パッチを自動生成する機能を提供している。
AnthropicのClaude Mythosが日本を含む世界展開へ
Anthropicが高性能AI「Claude Mythos」の提供先を日本を含む世界規模に拡大する計画を進めている一方、サイバー攻撃への悪用リスクを懸念する米政権が反対の姿勢を示している。また同社はバイオインフォマティクス評価ベンチマーク「BioMysteryBench」を発表し、Claude Mythos Previewが人間の専門家でも解けない問題で最大30%の正答率を達成したことも明らかにした。
MicrosoftがDOS 1.0のソースコードをMITライセンスで公開
Microsoftが2026年4月28日、86-DOS 1.00およびPC-DOS 1.00のカーネルソースコードをGitHubでMITライセンス公開した。Tim Paterson氏提供の印刷ソースコードをOCRスキャン・書き起こしした歴史的資料が元となっており、CHKDSKなどユーティリティのアセンブラリストや手書きメモも含まれ、機能実装時期やバグ修正の経緯をGitコミット履歴のように追跡できる。
GitHubの信頼性危機と開発基盤の見直し
HashiCorp創業者のミッチェル・ハシモト氏が、2026年4月だけで27件のインシデントが発生しPull RequestやCI/CDが日常的に利用不可になったとしてGhosttyプロジェクトのGitHub完全移行を宣言した。AIエージェントによる「バイブコーディング」の急拡大でPull Request数が9000万件に達しGitHubのインフラ増強が追いつかないことが背景にあり、The Guardianのエンジニアチームがセルフホステッドランナーへ移行してワークフロー速度を120%以上向上させた事例も紹介されている。
Samsungが予測する2027年メモリ供給不足のさらなる深刻化
SamsungがAIデータセンター向けメモリ需要の急増を背景に、2027年もメモリ供給不足がさらに深刻化すると予測している。2026年Q1のSamsung売上高は前年比70%増・営業利益は750%超増と記録的な好業績を達成し、SK hynixも売上198%増となる中、両社はすでに2027年分の先行注文を受け付けており、AWSはこのメモリ不足がオンプレミス企業のクラウド移行を加速させていると指摘している。
PostgreSQLの宣言的スキーマ管理ツール「pistachio」
株式会社カンムがPostgreSQL専用の宣言的スキーマ管理ツール「pistachio」を開発し本番導入した。TerraformのようにSQLで「あるべきスキーマ状態」を記述してdump/plan/applyコマンドで差分を管理し、PostgreSQL本体と同一パーサー(pg_query_go)を採用することで複雑な文法も正確にパースできる。DROPのデフォルト無効化やCREATE INDEX CONCURRENTLYサポートなど本番運用安全性を重視した設計で、Alembic→sqldef→pistachioと移行してきた経緯も公開されている。
Claude認定アーキテクトになるための日本語ガイド
Claude認定アーキテクト資格の取得を目指すエンジニア向けに、試験の概要や学習方法・参考資料をまとめた日本語ガイドがGitHubで公開されている。
ChatGPT Images 2.0の進化と日本語テキスト生成の大幅改善
OpenAIが「ChatGPT Images 2.0」を発表し、日本語などの非ラテン文字に対応したテキストレンダリング性能が大幅に向上し文字化けが解消された。出力前に計画を立てる「Thinking機能」の初搭載や複数画像生成・Web検索連携、生成画像の自己評価・再出力機能が追加されたほか、C2PA来歴情報とSynthID電子透かしによるAI生成コンテンツの識別機能も実装されている。
GitHub ActionsでTerraform applyを実行してはいけない理由と安全な代替構成
GitHub ActionsでTerraform applyを直接実行することは、AWS管理者権限がGHAに渡されるため極めて危険で、OIDCや短期認証情報を使っても本質的リスクは解消されない。依存Actionの侵害・pull_request_targetの誤用・開発者アカウント漏洩など攻撃経路が多数存在するため、GHAとTerraform applyの間にGitHub外の手動承認ステップ(CodePipeline + Manual approval + CodeBuild構成など)を設置し、強い権限はCodeBuildのサービスロールに集約する設計が推奨されている。
インターネット新規サイトの3分の1がAI生成コンテンツに
スタンフォード大学らの研究で、2025年半ばに新規ウェブサイトの約35%がAI生成・AI支援テキストを含むことが判明した。ChatGPT公開前はほぼ確認されなかったAI生成コンテンツがわずか3年で急速に拡大し、「視点・内容の均一化」や「過度にポジティブな表現の増加」が確認された一方、「誤情報の増加」や「文体の均一化」については今回の分析では裏付けられなかった。
Google ChromeのPrompt APIにMozillaが反対する理由
GoogleがChromeに搭載を進める「Prompt API」に対し、MozillaがStandards Positionsで公式に「反対」の見解を示した。Prompt APIはブラウザ内蔵の言語モデルへ直接プロンプトを送りローカルで実行できるAPIだが、Mozillaはモデル依存性による相互運用性の欠如を問題視し、Chrome普及がウェブ全体をGoogleのGemini Nanoに依存させるリスクがあると警告している。
Microsoft公式ツール「ghqr」でGitHub設定のベストプラクティス診断
MicrosoftがGitHub設定のベストプラクティス診断CLIツール「ghqr」をOSSとして公開した。Enterprise/Organization/Repository単位でセキュリティ設定を診断し、2FA未設定・GITHUB_TOKENのwrite権限・ブランチ保護未設定など70項目を一括チェックできる。スキャン結果はExcel/Markdown/JSON形式で自動生成でき、MCPサーバーモードでClaude Codeから自然言語での探索的スキャンも可能となっている。
国産バイナリエディター「YuHex」の機能と特長
国産のシンプル・モダンなバイナリエディター「YuHex」がフリーソフトとして公開されており、4GBを超える巨大ファイルの編集に対応し、Shift_JIS・UTF-8・UTF-16など多彩なエンコーディングと絵文字の表示もサポートする。ダークモード・データインスペクター・構造体ビュー・ファイル内検索など実用機能が充実しており、Windows 11(64bit)専用の無償ソフトウェアとして公開されている。
AWS S3 FilesのPOSIX互換ファイルシステム性能評価
AWSが2026年4月にリリースした「S3 Files」はS3バケットをPOSIX互換ファイルシステムとしてマウントできるマネージドサービスで、fioベンチマークでEFSと同水準の高スループット(シーケンシャルread約33.5GB/s、write約5.5GB/s)を確認した。機械学習データ配布・分析・ログアーカイブなど大きなファイルのシーケンシャルアクセスに適しており、容量単価はS3 Standardの約14倍($0.36/GB-月)となるが、既存アプリをほぼ無改修で移行できる点がMountpoint for S3との差別化ポイントとなっている。
ChatGPTとCodexが「ゴブリン」を連呼する原因をOpenAIが解説
OpenAIが、ChatGPTやCodexが「ゴブリン」を頻繁に言及するようになった原因を公式に解説した。強化学習で「Nerdy(オタクっぽい)」性格を形成する際にゴブリン等のフレーズを好む報酬シグナルが混入したことが原因で、GPT-5.4ではNerdyによる返信の66.7%にゴブリンが含まれていた。OpenAIは2026年3月にNerdyを削除し、Codex CLIにゴブリン等の言及を禁止する指示文を追加して対処している。
OpenAI CodexによるiOSアプリ開発の実践プロンプト集
OpenAIのCodexを使ったiOSアプリ開発向けプロンプト集が公開されており、SwiftUI・xcodebuild・XcodeBuildMCPの活用法を解説している。ビルドループはCLI優先で進め規模拡大に応じてTuistを段階的に導入し、SwiftUIリファクタリングではMV優先で大きなビューを小さなサブビューに分割する手法が紹介されており、iOS 26の新機能「Liquid Glass」への移行やApp Intentsによるショートカット・Siri・Spotlightへのアクション公開方法も含まれている。
OpenAIが運営原則を大改定し「万人のためのAI」から競争力優先に転換
OpenAIが2026年版の運営原則を公開し、AGIへの言及が12回から2回に減少し「万人のためのAI」より自社の競争力維持を優先する姿勢が明確になった。競合他社への協調・支援を誓った旧原則の記述が削除され、組織への誓約が曖昧になるなど、創設初期からの基本方針が大きく転換されたことへの反響が広がっている。
OpenAI ChatGPTに物理セキュリティキー対応の高度認証機能「AAS」が追加
OpenAIがChatGPT向けにオプトイン型の高度セキュリティ機能「Advanced Account Security(AAS)」を発表した。AASはパスワード認証をパスキーまたはハードウェアセキュリティキーに置き換えてメール・SMS回復を無効化するもので、ジャーナリスト・公職者・研究者などリスクの高いユーザーを念頭に全プランで無料提供される。YubicoとのパートナーシップによりOpenAIブランドの「YubiKey」2モデルが通常126ドルのところ68ドルで提供されるが、セキュリティキー紛失時のアカウント復旧はOpenAI側で不可のためリカバリーキーの保管が必須となる。
Amazon Q Developerのサポート終了と後継IDE「Kiro」への移行
Amazon Q DeveloperのIDEプラグインと有償サブスクリプションが2027年4月30日にサポート終了となり、後継として仕様駆動開発(spec-driven development)対応の新IDE「Kiro」が発表された。Kiroはエージェント型開発環境でSpecs・Hooks・Steering files・Custom subagents・Powersなどの機能を備え、2026年5月15日以降は新規サインアップが停止される。既存ユーザーは移行期間の12か月間Q Developerを継続利用可能で、kiro.devから移行できる。
Claude Codeで進化するAIアバター開発の実践
Claude CodeとOllamaを活用して故人をモデルにしたリアルタイム対話AIアバター「LipSync Avatar」を個人開発した事例が紹介されている。システムプロンプトをOllamaのModelfileに焼き込みKVキャッシュを活用して応答速度を大幅改善し、実文体サンプルの活用でトークンを約40%削減しつつキャラクター再現性を向上させた。天気・季節情報のリアルタイム注入や会話の流れでYouTube楽曲を自動再生する機能も実装されている。
