Engineer&#39;s Digest - 忙しいエンジニアのための技術情報ダイジェスト

AWS MCP ServerがGAして何が変わるのか

AWS MCP ServerがGA（一般提供）を開始し、Claude Code・Kiro・Cursor・Codexなど主要AIコーディングエージェントからAWS APIへの安全なアクセスが可能となり、15,000以上のAPIを呼び出せるcall_aws・ドキュメント検索用search_documentation・複数APIを1往復で実行するrun_scriptの3コアツールを提供するとともに、IAM SigV4認証・CloudTrail監査・IAMコンテキストキーによるdestructive操作制御も実装されており、追加料金なしで利用できる。

dev.classmethod.jp

qiita.com

AIコーディング後のコードレビューを効率化するOSS「difit」

AIエージェントによるコーディング後の差分レビューを軽量化するOSS「difit」は、ローカルでGitHubのPR画面風のdiff表示をブラウザで提供するコマンドラインツールで、AIが実装完了後に自動でブラウザを立ち上げて人間が受動的にコードを確認できる設計となっており、コメント機能でAIへの指摘を渡すことやAIによる自動レビュー・解説機能（difit-review）も備え、Claude Codeを用いたリリース後1日で100スター・3週間で1,000スターを達成した。

findy-code.io

マネーフォワードの不正アクセス事件と銀行連携停止の現状

マネーフォワードはGitHub経由のソースコード流出・ユーザー情報漏えい疑いが発覚してから約1週間が経過しても銀行口座連携機能の停止が続いており、三井住友カード・セゾンカード・三菱UFJモルガン・スタンレー証券など主要金融機関での連携停止も継続中で、ビジネスカード利用者370件の氏名・カード番号下4桁などが流出した可能性があり、同社は「安全性の確認が完了次第、連携を再開」としているが再開時期は未定としている。

DAEMON Toolsへのマルウェア混入と1ヶ月間見逃されたサプライチェーン攻撃

老舗仮想ドライブソフト「DAEMON Tools Lite」の公式インストーラーにサプライチェーン攻撃によるマルウェアが混入し、正規の署名付きバイナリが改ざんされてバックドアが仕込まれた状態が2026年4月8日から約1ヶ月間気づかれずに公式配布されていたことをKasperskyが発見し、100以上の国で数千件の感染試みが観測され一部の政府・研究機関に標的型ペイロードが展開されており、影響はLite無料版12.5.1に限定され最新版12.6.0で修正済みだが該当バージョンをインストールした場合はOSのクリーンインストールが強く推奨されている。

www.nichepcgamer.com

Claudeの大型アップデート：自己改善機能・レート緩和・キーレス認証

Anthropicは3つの大型アップデートを同時発表し、「ドリーミング」機能はClaude Managed Agentsにエージェントセッションのパターン学習・自己改善機能を追加して現在研究プレビュー版として提供中で、SpaceXとの提携でGPU22万基超のAIスパコン「Colossus 1」を確保してClaude Codeの5時間レート制限を2倍に緩和しピーク時間帯制限も撤廃、さらにClaude APIにWIF（Workload Identity Federation）サポートを導入してAWS/GCP/AzureなどのIdPを使ったAPIキー不要のキーレス認証が可能となり金融・医療・官公庁向けの採用障壁を解消した。

pc.watch.impress.co.jp

xenospectrum.com

AI駆動開発時代に押さえておくべきQA技法

AI駆動開発では実装スピードが向上する一方、AIが生成するテストは正常系に偏りがちで境界条件・状態遷移・例外系が抜けやすいという課題があり、同値分割・境界値分析・デシジョンテーブル・状態遷移テストなどのQA技法を活用し、AIへの依頼時にテスト観点を事前に明示・整理させることでテスト品質が大幅に向上するほか、エラー推測とチェックリスト化によってAI開発での品質の再現性と安定性を高められるとされている。

forest.watch.impress.co.jp

Windows「ファイルを指定して実行」ダイアログが30年ぶりに大刷新

Windows 11の「ファイルを指定して実行」（Win+R）ダイアログが30年ぶりに大刷新され、PowerToys CmdPal（Run v2）ベースのC#/WinUI 3・.NET Native AOT構成でFluentデザイン・ダークモード対応となり起動速度が103msから94msに高速化されるほか、使用頻度0.0038%にとどまる「参照」ボタンが削除されて履歴機能にプログラムアイコン表示が追加され、Windows Insider ProgramのExperimentalチャネルで先行試用が可能となっている。

ローカルMarkdownファイルをブラウザで閲覧・編集できる軽量Webアプリの作り方

ローカルのMarkdownファイルをブラウザから閲覧・編集できる軽量Webアプリ「workspace-web-editor」が公開され、Node.js/Expressベースで構築されObsidianのWiki-link・Backlinks・Quick Switcherをローカルディレクトリで実現し、Mermaid図・シンタックスハイライト・ダークテーマに対応するほか、Tailscale経由でスマートフォンからのアクセスやワンクリックGit syncによるGitHubとの同期も可能で、AIアシスタントのAgent Skillとしての使用も想定した設計となっている。

AIコーディングエージェントのセキュアな運用管理：実践スライド集

メルカリでのClaude Codeセキュリティ設定の組織配布戦略を解説した55,000ビュー超の注目スライドを公開したHi120kiによるSpeaker Deckのスライド集で、DevinやMCPにおける認証・認可のセキュリティ課題を実運用の観点からまとめたスライド群やSECCON Beginnersなど国内CTFイベントでのリバーシング講義資料も公開するなど、AIコーディングエージェントのセキュアな運用管理に特化した実践的な内容となっている。

speakerdeck.com

高校生がサイゼリヤCLI注文システムを作って直面した技術・法律・倫理の問題

高校生がサイゼリヤの非公式CLIクライアントをAPIリバースエンジニアリングで自作しAIエージェントからの注文に成功して話題となったが、不正アクセス禁止法・業務妨害罪・著作権法・商標法・利用規約の観点から複数のグレーゾーンが指摘され、メニューID総当たり列挙によるサーバー負荷や店員・厨房・他客への実リソース侵害の懸念もあり、AIエージェント時代には「悪意なく業務妨害が成立する」リスクが高まることから協調的開示など倫理的手順の重要性が改めて強調されている。

Unihertz「Titan 2 Elite」レビュー：QWERTYキーボードスマホの進化

UnihertzのAndroidスマートフォン「Titan 2 Elite」はTitan Pocketの後継として、Dimensity 7400・4.03型OLED（1,080×1,200ドット）・重量169gで携帯性を向上させ、Android 20まで5年間のソフトウェアサポートを保証するが、キーボードレイアウトの刷新で古参ユーザーの慣れが必要なことや背面サブディスプレイの廃止・カスタマイズ性の改善余地など変更点も多く、QWERTYキーボードスマホ愛好者向けの製品となっている。

pc.watch.impress.co.jp

ビデオ通話「Kyuun」など12サービスで約4万件のユーザー情報漏えい

大阪のSTARTDASHが運営するビデオ通話「Kyuun」など12サービスで約3万9,267人のユーザー情報が漏えいした可能性があり、2026年4月1〜6日に海外からの不正アクセスによりログ管理画面データに第三者がアクセス可能な状態となっていた。ハンドルネーム・メールアドレス・電話番号・パスワード・IPアドレスなどが漏えい対象となっているが、クレジットカード情報・チャット内容・銀行情報の漏えいは確認されておらず、脆弱性は修正済みで個人情報保護委員会への報告が完了している。

Google Gemma 4が推論速度を最大3倍に高速化

GoogleがGemma 4向けに投機的デコーディング（Speculative Decoding）アーキテクチャを採用した「MTP drafters」をApache 2.0ライセンスのオープンソースで公開し、ドラフタが複数トークンを先読み生成してターゲットモデルが並列検証する仕組みとKVキャッシュ共有による再計算防止により、Google Pixel TPUで3.1倍・A100で3倍の推論速度高速化を出力品質を維持したまま実現し、モデルはHuggingFace/Kaggleから入手可能となっている。

pc.watch.impress.co.jp

AIサーバー需要急増によるメモリ不足でAppleがMacの大容量構成を削除

AIサーバー向けハードウェア需要の急増によるRAMチップ不足を背景に、AppleがMac Studioの最大メモリを256GBから96GBへ大幅制限しMac miniの64GB構成も廃止するなど大容量メモリ構成を削除しており、クックCEOは需給バランスの回復まで数カ月かかるとの見通しを示し、SSD削除・実質値上げも合わせて実施されている。

MUFGとGoogleが目指すAIエージェントによる自律型金融サービス

MUFGとGoogleが協業し、AIエージェントが商品選択・購買・決済・家計管理を一括自動化する「自律型金融サービス」の開発を進めており、Google Cloud基盤でAP2・UCP・A2AなどのGoogle標準規格を採用しながら2026年度内のPoC開始を目指していて、MUFGはOpenAI（自社AIへの組み込み）とGoogle（外部連携）を相互補完的に活用する戦略を採用しMUFGエージェントを他社サービスへも提供する形で金融を日常行動に溶け込ませることを目指している。

NECとアンソロピックの提携が示す国内大手IT企業のAI戦略

富士通の2025年度IT受注が前期比102%と好調を維持する中、NECはアンソロピックと日本企業初のグローバルパートナーシップをわずか3週間の交渉で締結し、NEC副社長が「GAFAMとは違うAIネイティブ」と評価したアンソロピックの意思決定の速さに衝撃を受けたと明かし、NECはAX推進事業「BluStellar」強化の一環としてAI・データコンサル専任約250人の新組織を設立し2026年度をAIの社会実装の節目と位置づけている。

www.businessinsider.jp

AIスプレッドシートのプロンプトインジェクションで機密データが外部送信される脆弱性

表計算AI「Sheets AI」に、外部資料へ隠し命令文を埋め込んでAIに悪意ある数式を自動挿入させる間接プロンプトインジェクション攻撃の脆弱性が発見され、IMAGE関数を悪用してURLに財務データを付加して攻撃者サーバーへ機密情報を送信する手法が実証されており、2026年2月にPromptArmorが報告して3月16日にRampが修正済みだが、Claude for Excelでも同様のリスクが確認されAnthropicは赤い警告画面を追加して対応している。

Remix v3 BetaがReactから独立しフルスタックフレームワークとして刷新

Remix 3 Betaがリリースされ、React/React Routerから独立した単一パッケージ「remix」としてUI・ルーター・認証・バリデーション・テスト・CLIを統合したフルスタックフレームワークに刷新され、コンポーネントモデルは「セットアップ＋描画関数」の2段構えでstateをローカル変数として扱いmix propでスタイル・イベント・アニメーション・refを配列統一管理するWeb標準ベースの設計だが、ドキュメント不足やReactエコシステム非互換などのβ版課題もあり本番採用は時期尚早との評価となっている。

Microsoft Edgeがパスワードをメモリ上に平文で保持する設計上の問題

Microsoft Edgeが起動時に保存済みパスワードを全て復号してプロセスメモリに平文で常駐させる設計上の問題が発覚し、ノルウェーの研究者がEdgeSavedPasswordDumperを用いて管理者権限で複数アカウントのパスワードを抽出可能と実証したが、同じChromiumベースのChromeではこの問題が確認されておらずEdgeのみの設計上の問題とされており、Microsoftは「PC侵害が前提のシナリオ」と反論しているがセキュリティ上の懸念は残っている。