- JWTをlocalStorageに置くな:Cookie回帰に至るWebセッション管理の変遷
- Windowsのフォルダー構成(Program Files/AppData)を正しく理解する
- Claude CodeでAWS管理とセキュリティ監査を自動化する実践事例
- 重要だが緊急でない仕事が組織停滞を招くマルチプロジェクト問題
- AI普及でエンジニアの役割と評価基準はどう変わるか
- AIエージェントのコンテキスト管理と性能劣化(老化)に関する最新研究
- スマートグラス・3Dプリンター・Raspberry Pi内蔵小型PCの最新ガジェット
- Opus 4.7・GPT-5.5・Codexの特性比較と使い分け分析
- LINEの広告が学歴・年収・子の有無を参照する問題とプライバシー設定方法
- AIが脆弱性を自律修正する時代:Google AI Threat DefenseとMozillaの事例
- 生成AIでテスト仕様書の作成工数を4割削減した事例(Amazon Bedrock活用)
- Vibe CodingでGitHub Copilotに実際に使っているプロンプト公開
- コーディングエージェントが正当化するAIインフラ100兆円投資とモデルコスト比較
- RunwayのMCP対応でChatGPT/Claudeから直接動画生成が可能に
- HTMLに1行追加するだけでPWAインストールボタンを設置できる新HTML要素
- AIコンテンツへの疲弊感:人間とAIの境界が曖昧になる現実
- オープンウェイトAIの安全制御解除問題とAIエージェント認証基盤
- 正規ルートで配布されたソフトウェア汚染とドメイン乗っ取りのセキュリティ事例
JWTをlocalStorageに置くな:Cookie回帰に至るWebセッション管理の変遷
SPA普及とともに一般化したlocalStorage+JWTによるセッション管理はXSSによるトークン窃取リスクが問題視され、現代ではクライアントとBFF間をHttpOnly Cookieで保護しBFFと外部API間のみJWTを使うレイヤー分離が正解とされている。この記事では2005年からCookie→sessionStorage+JWT→BFF+Cookie回帰という20年4段階の変遷をNext.js App Router+NextAuthの実装例も交えながら整理し、session() callbackにaccess tokenを載せるアンチパターンへの警告も含む実践的な解説が掲載されている。
Windowsのフォルダー構成(Program Files/AppData)を正しく理解する
Windowsのアプリインストール先には役割ごとの正しい配置ルールがあり、全ユーザー向けアプリはProgram Files、管理者権限不要のユーザー向けアプリはAppData\Local\Programsが正式な配置先とされる。AppData配下はRoaming(複数PC共有設定)・Local(PC固有データ)・LocalLow(制限付きアプリ)の3種類に分かれており、Program Filesへの設定ファイル保存やCドライブ直下へのフォルダー作成はMicrosoftガイドラインで非推奨で、スクリプトや設定では%APPDATA%・%LOCALAPPDATA%の環境変数を使ってパスを参照するのが正しい方法だ。
Claude CodeでAWS管理とセキュリティ監査を自動化する実践事例
AnthropicがClaude Code向けセキュリティ監査プラグイン「security-guidance」を無償公開し、ファイル編集時・ターン終了時・コミット時の3段階で脆弱性を自動検出する機能を提供した。AWSマルチアカウント管理の実践事例では、Claude CodeとAWS MCPを組み合わせてIAM Identity Center(SSO)でログインし、CLAUDE.mdにアカウント一覧・SecurityHub構成を記載することで、従来は手動だった複数アカウント横断のSecurity Hub調査を自然言語で自動化できることが示されている。
重要だが緊急でない仕事が組織停滞を招くマルチプロジェクト問題
「重要だが緊急でない仕事」をプロジェクト化すると長期化が進み、複数プロジェクトを同時に抱えるマルチプロジェクト状態がリードタイムを最大3倍以上に伸ばすという問題が指摘されている。善意による着手・準備不足・サンクコストが悪循環フィードバックループを形成する構造を解説し、スクラム・トヨタ生産方式・制約理論(TOC)がすべて「いかに着手しないか」を原則とするように、緊急タスクのみシングルプロジェクトで最速完了させるメカニズムに基づくオペレーション設計が解決策として示されている。
AI普及でエンジニアの役割と評価基準はどう変わるか
生成AI普及後、AIの影響を受けやすい職種の22〜25歳の雇用が相対的に16%減少しており、ソフトウェア開発・カスタマーサービスなどでAIが初級業務を代替し「コーディングを学べ」は通用しなくなりつつある。米国Microsoftのエンジニアはエンジニアの評価式が「アウトカム = 自分+AIの成果 - トークンコスト」へ変化しつつあることを報告しており、AI時代の実装力はコードを書く力から「コード/プロダクト解空間を収束させる力」へ移行しているとも指摘されている。
AIエージェントのコンテキスト管理と性能劣化(老化)に関する最新研究
カーネギーメロン大学の研究により、AIモデルは長期タスクでコンテキストウィンドウが満杯になると性能が低下し、外部入力を停止して過去情報を重みメモリに統合・再圧縮する「睡眠」処理が必要だと判明した。テキサス大学が開発した老化測定ベンチマーク「AgingBench」では14モデル・7シナリオの検証で、セッションを重ねるとAIエージェントの性能が圧縮・干渉・改訂・メンテナンスの4メカニズムにより劣化することが示されており、信頼性の高い運用には初期性能評価だけでなく寿命評価や段階的な診断・修正が必要とされている。
スマートグラス・3Dプリンター・Raspberry Pi内蔵小型PCの最新ガジェット
既存のメガネフレームにそのまま装着できる後付けスマートグラス「GUIDE01」(約3万9800円・約10g)が登場し、Python SDKを含むマルチプラットフォーム対応のSDKが公開済みで自作アプリ開発にも活用できる。また3DプリンターCreality K2 Comboでの実用的な自作事例や、Raspberry Pi CM5搭載でHDMI・USB3.0・M.2 NVMe・40ピンGPIOを備えた10,000mAhバッテリー内蔵の小型PC「Lini」もKickstarterに登場し、現場デバッグやIoT開発向けのコンパクトな開発マシンとして注目を集めている。
Opus 4.7・GPT-5.5・Codexの特性比較と使い分け分析
同一コードに対してOpus 4.7とGPT-5.5に720ケースのレビューをさせた統計的比較では、全体平均はほぼ同点ながら軸ごとに明確な差が確認されており、Opus 4.7は読み手志向でコメントやdocstringの欠如を厳しく減点し、GPT-5.5は原則厳守で指定外ファイル追加を0点にする傾向がある。コーディングエージェントとしての特性ではClaude Code(Opus 4.7)がDFS型、Codex(GPT-5.5)がBFS型と分類されており、複雑なリファクタリングではCodexで全体を把握してからClaude Codeで実装する組み合わせが有効とされている。
LINEの広告が学歴・年収・子の有無を参照する問題とプライバシー設定方法
LINEアプリの広告ターゲティングに子どもの有無・学歴・年収などの機微情報が利用されていることが判明し物議を醸している。設定はデフォルトで「オン」になっており、LINEヤフーは個人間トークは参照しないとしているものの公式アカウントや行動履歴から属性を推定していると説明しており、オフにしても広告が完全に非表示になるわけではない仕様で、設定変更は「LINEアプリ→設定→プライバシー管理→広告の設定→属性情報/行動履歴をオフ」から行える。
AIが脆弱性を自律修正する時代:Google AI Threat DefenseとMozillaの事例
Googleは脆弱性の発見・優先順位付け・修正・監視を自律的にサイクルで実行する「Google AI Threat Defense」を発表し、Gemini・Wiz・CodeMender・Mandiantを統合したAIによる脆弱性対策を提供する。MozillaはAnthropicのAI「Claude Mythos Preview」を活用してFirefox 150で271件(うち15〜20年間見逃されていたものを含む)の脆弱性を月間平均の約14倍のペースで一括修正しており、AIによる大規模な脆弱性自律修正が現実のものとなっている。
生成AIでテスト仕様書の作成工数を4割削減した事例(Amazon Bedrock活用)
TISインテックグループはAmazon Bedrock(Claude Sonnet/Haiku)を活用し、設計書とテスト観点カタログを入力することで5ステップのパイプラインでCSV形式のテスト仕様書を自動生成する仕組みを構築した。テスト観点の要否判断精度は88〜91%を達成し、全体工数を14.75時間から8.50時間へと約4割削減することに成功しており、今後の課題として大規模機能への対応・品質リグレッションテストの自動化・レビュー容易性の向上が挙げられている。
Vibe CodingでGitHub Copilotに実際に使っているプロンプト公開
Microsoftの社員がGitHub Copilotを使ったVibe Codingで実際に投入しているプロンプトを公開し、Copilotの「Prompt Rewrite」機能により整形不要となったことで目的と内容に集中したプロンプトが有効になったと紹介している。推奨フローはやること明示→実装プラン作成→質問票作成→敵対的レビュー→タスク実行という順序で、タスクを小さく分割してコンテキストウィンドウを最小化し、オーバーエンジニアリングの明示的な禁止をプロンプトに含めることが重要とされている。
コーディングエージェントが正当化するAIインフラ100兆円投資とモデルコスト比較
OpenAI・AnthropicなどのAPIは値上げ傾向にある一方でDeepSeekは75%割引を永続化しており、100万トークンあたりのコストはAnthropicが約450円・DeepSeekが約15円と大きな差がある。AI向けデータセンターへの投資は2025年時点で約146兆円規模に達しているが、その回収の鍵としてコーディングエージェントが注目されており、個人定額プラン200ドルの利用がAPI換算で2180ドル相当になるケースも報告されている。
RunwayのMCP対応でChatGPT/Claudeから直接動画生成が可能に
RunwayがMCPに対応した「Runway MCP」を発表し、ChatGPTやClaudeのチャット画面から直接Runwayの動画生成機能を利用できるようになった。ChatGPTとの連携はサイドバーの「アプリ」からRunwayを検索して接続するだけで完了し、チャット上で参考画像やアイデアを入力してそのままRunwayで動画化するシームレスなワークフローが実現されており、MCP対応の任意のAIエージェントからも同様に利用できる。
HTMLに1行追加するだけでPWAインストールボタンを設置できる新HTML要素
ChromeとEdgeで新しいHTML要素<install>がオリジントライアル(v148〜153)として導入され、JavaScriptなしでHTMLに1行追加するだけでPWAのインストールボタンを設置できるようになった。installurl属性を使えば他アプリのインストールボタンも設置できPWAストアサイトの構築が容易になるほか、promptactionやpromptdismissなどのイベントハンドリングも改善されており、細かいカスタマイズが必要な場合は命令型のnavigator.install() APIと使い分ける設計になっている。
AIコンテンツへの疲弊感:人間とAIの境界が曖昧になる現実
AI生成コンテンツへの疲弊感を率直に綴ったエッセイが注目を集めており、GitHubのディスカッションでAI生成テキストが使い回される事例や、業務の質問に対しChatGPTのスクリーンショットをそのまま転送する上司の事例が紹介されている。RedditでAIエージェントと気づかずに会話を続けるという体験談も挙げられており、人と話しているつもりがAIの回答を中継されているだけという現実への問題提起がなされている。
オープンウェイトAIの安全制御解除問題とAIエージェント認証基盤
MetaのLlama 3.3やGoogleのGemma 3の安全制御がGitHub公開ツール「Heretic」を使った「abliteration」技術で10分未満に解除可能であることが報告されており、安全制御解除済みモデルはすでに3500以上・累計1300万回ダウンロードされているという実態が明らかになっている。一方でAIエージェントの信頼性確保に向けた動きとして、みずほFGとNECがDID(分散型ID)とVC(デジタル証明書)を活用した「KYA」(AIエージェント認証基盤)の共同実証を6月から開始し、認証・同意・委任・監査の4要素でAIの金融サービス利用を安全に担保する取り組みが進んでいる。
正規ルートで配布されたソフトウェア汚染とドメイン乗っ取りのセキュリティ事例
CISAがサプライチェーン侵害に起因するKEV追加脆弱性3件を公表し、「DAEMON Tools Lite」の正規インストーラが正規の証明書で署名されたまま改ざんされて配布された事例や、JavaScriptライブラリ「TanStack」のnpmパッケージ42件・84バージョンが悪意ある版に侵害された事例が確認されている。また静岡県が「浜名湖花博2024」終了後にドメイン管理を放棄したことで第三者にドメインが取得されるブランドなりすましリスクの事例も報告されており、正規ルートを経由したソフトウェア汚染とドメイン管理不備への注意が呼びかけられている。
