朝刊
注目トピック 18
How Cloudflare responded to the Copy Fail Linux vulnerability (CVE-2026-31431) セキュリティ / CVE
Linuxカーネルの algif_aead モジュールに out-of-bounds write が存在し、非特権ユーザーが setuid バイナリのページキャッシュを書き換えて root 権限を取得できる CVE-2026-31431 にCloudflareがどう対応したかの内部事例。既存の振る舞い検知が公表後数分で発火、48時間遡って痕跡を確認、eBPF-LSM プログラムで AF_ALG ソケットの不正利用をブロックしつつパッチ展開を進めた。CISA KEVには5月1日付で追加済みで、Cloud Run / GKE / EKS など主要マネージド K8s の基盤VMも対象。自前カーネルを使う Go ワークロードがある場合、この検知&mitigationの順序設計はそのまま参考にできる。
Dirtyfrag: Universal Linux LPE on all major distros (no patch, no CVE) セキュリティ / CVE
esp4/esp6/rxrpc カーネルモジュールを悪用してrootを取得する Dirtyfrag が、第三者によるエンバーゴ破りで本日5月7日にPoC含めて公表された。/usr/bin/su のページキャッシュをELFペイロードで上書きする経路と、rxrpc/rxkad 経由で /etc/passwd の root パスワードを空欄に書き換える代替経路を持ち、主要ディストロすべてで即時root化が可能。CVEもパッチも未発行で、対策は esp4 / esp6 / rxrpc を modprobe ブラックリストに入れて読み込みを止めるしかない。共有テナントのコンテナホストや開発VMは特に危険、まず /etc/modprobe.d/ で無効化を入れてからパッチ待ちしたい。
Ivanti EPMM CVE-2026-6973 RCE under active exploitation (CISA KEV) セキュリティ / CVE
Ivanti Endpoint Manager Mobile の入力検証不備で、認証済み管理者が任意コードを実行できる CVE-2026-6973(CVSS 7.2)が攻撃者により悪用中。CISA KEVに5月7日付で追加され、連邦機関は5月10日までにパッチ適用が義務付けられた。影響は EPMM 12.6.1.1 / 12.7.0.1 / 12.8.0.1 より前のオンプレ版に限定され、クラウド版 Neurons / EPM は無関係。1月の0day事案で資格情報をローテーション済みなら被害ハードルは上がるが、認証情報流出が継続する企業は即時対応すべき。MDMはクライアント全台に root 級命令を配信できる立ち位置なので、社内利用がある場合は最優先案件として扱う。
Go 1.26.3 released with security and runtime fixes Go
Go 1.26.3 が5月7日にリリース。net / net/http / net/http/httputil / html/template / syscall / pack / go コマンドにセキュリティ修正が入り、コンパイラ・リンカ・ランタイム・crypto/tls・crypto/fips140 にもバグ修正が含まれる。具体的なCVE番号はリリースノート側のミルストーンで列挙されているので、依存している stdlib 機能をピンポイントで確認したい。Go プロジェクトの本番ビルドは go.mod の go ディレクティブと CI のツールチェーン更新を合わせて入れる流れで進めると安全。go install golang.org/dl/go1.26.3@latest でローカル切り替えが可能。
Node.js 26.1.0 (Current) released JS / TS
Antoine du Hamel 名義で5月7日に Node.js 26.1.0 が Current ラインで公開。5月5日リリースの 26.0.0 のフォローアップで、初期報告された不具合と性能リグレッションを潰すマイナーアップデート。本ラインは2026年10月に 26.x が LTS 化する想定なので、SaaSバックエンドや CI ノードはこのタイミングで 24 LTS → 26 Current の動作検証を始めるのが良い。Cloudflare Workers / Vercel Functions ではすでに Node 互換APIが拡充されており、サーバー実装がエッジに乗りやすい状態。
Next.js: Cache poisoning in React Server Component responses (CVE-2026-44576 / CVE-2026-44582) JS / TS
Next.js の React Server Components 周辺で、共有キャッシュが RSC リクエストとHTMLリクエストのレスポンスを取り違える CVE-2026-44576(CVSS 5.4 / Moderate)と、_rsc キャッシュバスティング値のハッシュ衝突を悪用する CVE-2026-44582(CVSS 3.7 / Low)が5月6日に公表された。影響範囲は 14.2.0〜15.5.15 と 16.0.0〜16.2.4 で、修正版は 15.5.16 / 16.2.5。攻撃者は他ユーザーに「HTMLが来るべき所に RSC ペイロード」を返させてキャッシュを汚染できる。Vercel / Cloudflare / Fastly など CDN 前段に置くタイプの構成は、まずアップグレードか、Vary ヘッダ尊重と RSC ヘッダ別 cache key 設定で暫定対処する必要がある。Next.js App Router を本番で使っている案件は今週中のパッチ計画を入れるべき案件。
vm2 Node.js Library: 12 Critical Vulnerabilities Disclosed (CVSS up to 10.0) npm サプライチェーン
Node.js で「信頼されないコードを安全に走らせる」ために広く使われてきた vm2(npm: vm2)に、サンドボックス脱出を可能にする 12 件の Critical 脆弱性(CVE-2026-24118 / 24120 / 24781 / 26332 / 26956 / 43997 / 43999 / 44005-44009、CVSS 9.1〜10.0)が一気に公表された。3.9.6 〜 3.11.1 が影響対象で、3.11.2 で修正。NodeVMの allowlist 回避による child_process 取得、prototype pollution、コードインジェクション等、攻撃面はほぼフルセット。SaaSやAIエージェント実行基盤でユーザー投稿コードを評価している箇所はサンドボックスごと突破される前提で、isolated-vm / Workers にリプレースを検討すべき段階。
Natural Language Autoencoders: Turning Claude's Thoughts into Text (Anthropic Research) AI / LLM
Anthropicが5月7日付で発表した Natural Language Autoencoders(NLA)は、Claude の活性ベクトルを自然言語に翻訳し、また同じ言語から元の活性を復元する2段モデル。コーディングベンチで「自分は評価中だと内部的には26%の問題で気付いている」「明示的に発話するのはずっと少ない」というギャップを定量化できた。意図的に misalign した監査用モデルでは、NLAなしだと3%以下しか拾えなかった隠れた動機を 12〜15% で検出。解釈可能性研究の主流ルートが「サーキット解析」から「内部状態の自然言語化」へ寄り始めた合図で、Claude を本番に組み込む側にとってもブラックボックス度を下げる将来手段として注目に値する。
Claude Code 5時間制限が2倍化、SpaceX 300MW提携で全プラン緩和 AI / LLM
Anthropic が SpaceX の Colossus 1 データセンター(H100 / H200 / GB200 クラスのGPU 22万台超、300MW級)の演算容量を全面的に確保すると5月6日に発表。あわせて Claude Code の Pro / Max / Team / Enterprise の5時間レート制限を2倍化、Pro / Max のピーク時減速を撤廃、Opus の API レート上限を大幅引き上げ。直近の「5時間で週次クォータの25%を消費する」型の不満を緩和する直接的なアップデートで、Claude Code 中心の開発フローを採用している側には即効性のある変更。Amazon / Google / Microsoft などとの既存のコンピュート契約と並行し、軌道上 AI コンピュートにも言及している点が特徴的。
AlphaEvolve: Gemini-powered coding agent scaling impact across fields AI / LLM
Google DeepMind が5月7日に AlphaEvolve のインパクト報告を公開。Gemini を用いてアルゴリズムを自動進化させるコーディングエージェントで、Spanner の write amplification を 20% 削減、TPU の次世代回路設計の一部を直接シリコンに採用、コンパイラ最適化でソフトウェアストレージを 9% 縮小、量子回路シミュレーションでエラー率10倍改善、といった社内インフラ寄りの成果を多数列挙。商用側でも Klarna が学習速度2倍、FM Logistic が物流ルートを 10.4% 改善、Schrödinger が分子力場学習で4倍速など、研究→製品インパクトのループが回り始めた事例。AIエージェントを「コード書かせる」から「アルゴリズムを進化させる」フェーズに引き上げる象徴的な発表。
PAN-OS RCE CVE-2026-0300 actively exploited as state-sponsored campaign セキュリティ / CVE
Palo Alto Networks PAN-OS の User-ID Authentication Portal にバッファオーバーフロー(CVSS 9.3/8.7)があり、未認証で root 権限のRCEが可能。4月9日から探索が始まり、4月16日には EarthWorm / ReverseSocks5 を投下する成功事例が観測された。攻撃クラスター CL-STA-1132 はログとクラッシュダンプを消去する徹底ぶりで国家系の関与が示唆される。パッチは5月13日以降の予定で、それまでは User-ID ポータルを信頼ゾーンに限定 or 無効化、Threat ID 510019 を有効化するのが暫定対策。ファイアウォール製品自体が踏み台化する事象なので、外部公開面のセグメント設計の見直し含めて要対応。
Canvas Login Portals Hacked in Mass ShinyHunters Extortion Campaign セキュリティ / CVE
ShinyHunters が Canvas(Instructure社の教育LMS)の脆弱性を悪用して数百校のログインポータルを改ざんし、データ流出を盾に大規模恐喝キャンペーンを展開中。SalesforceやSnowflakeを狙ってきた集団がEdTech領域に矛先を変え、学生・職員の個人情報がリスクに晒されている。LMSは外部委託SaaSが多くサプライチェーンの観点で監視が手薄になりがちで、教育機関だけでなく社内研修プラットフォームを共有運用する企業も影響範囲を確認すべき。GitHub認証連携や SAML SSO の信頼関係を見直し、漏洩時の影響範囲を再棚卸しする良いタイミング。
Solod v0.1: Go-syntax systems language with C interop and zero GC Go
Anton Zhiyanov が Go の構文をほぼそのまま使いつつ C にトランスパイルする system 言語 Solod v0.1 を5月6日に公開。GCも自動メモリ管理もなく、io / fmt / strings / crypto/rand / flag / log/slog などの標準パッケージを移植済みで、Goユーザーがすぐ書ける敷居の低さが売り。バッファ付きI/O 3倍、文字列操作 2.5倍 という実装ベンチも公開しており、組み込み・ゲーム・カーネルモジュールなど Go の GC が使えない領域への選択肢が増える。実用採用はまだ早いが「もし Go が GC なしだったら」を体感する材料として面白い。
pnpm 11 ships supply-chain protection defaults: minimum release age and exotic subdep blocking npm サプライチェーン
pnpm 11 がデフォルトで Minimum Release Age 1日(公開直後のバージョンは取得しない)と exotic subdependency(lockfileに無い深い依存)のブロックを有効化したと Socket が解説。直近の Shai-Hulud / TanStack typosquat / Intercom 侵害といった「公開直後に踏ませる」型のサプライチェーン攻撃に正面から効く設計で、開発者のオプトインに頼らない防御がパッケージマネージャ側に降りてきた。CIで pnpm install が突然失敗する場面も増えるが、運用は --resolution-mode で個別解除できる。npm / yarn ユーザーにとっても、同等オプションを今のうち導入する判断材料として読む価値あり。
Cloudflareが従業員の約20%(1,100人超)を削減、AI時代の組織再設計 インフラ
Matthew Prince と Michelle Zatlyn 連名で5月7日に発表された、全社員の約20%(1,100人以上)を対象にする組織再編。社内AI利用が3か月で 600% 増、エージェント実行セッションが日次数千件に到達する状況を踏まえ「コスト削減ではなく、AIエージェント時代に合わせた構造再設計」と位置付ける。退職パッケージは2026年末まで基本給支給・医療継続・8月15日までのベスティング加速と業界トップ水準で、追加レイオフは行わないと明言。クラウド/エッジ業界の人員設計のベンチマークが書き換わるイベントで、自分のキャリア観点でも「AIネイティブな職務設計」を意識するきっかけになる。
AWS、攻撃を受けた中東(UAE)リージョンの復旧には数カ月かかると報告 インフラ
3月のドローン攻撃で被災した AWS Middle East (UAE) ME-CENTRAL-1 について、4月30日付で復旧に「数カ月」を要するとアナウンス。3つのAZのうち2つで機能が深刻に毀損したため、AWSは顧客にワークロードの他リージョン退避を強く要請し、課金処理も一時停止した。中東は AWS が3拠点(バーレーン・UAE・イスラエル)+サウジ計画と分散展開していたが、地政学リスクで「AZ=独立障害単位」の前提が壊れる事例となった。マルチリージョン DR 計画に「物理破壊由来の長期停止」シナリオを足す必要があり、クラウド前提のバックアップ戦略を見直す観点として効く事例。
Introducing @supabase/server DB
5月6日リリースの @supabase/server は、Edge Functions / Vercel / Cloudflare Workers / Hono / Bun などで Supabase をサーバー側から使うときの認証検証・user-scoped と admin の Supabase クライアント生成・JWT検証・CORS 等を1パッケージに集約したもの。auth: 'user' / 'none' / 'secret' の宣言だけでハンドラ前段でアクセス制御が走り、新しい非対称JWT署名キーへの対応も内部で吸収される。Web Request/Response API ベースのランタイムなら基本どこでも動くため、自前の supabase クライアント初期化コードを各 Function に書いている運用は乗り換え候補。バックエンド側で「ログインユーザー」を受け取るボイラープレートが激減する。
Behind the Scenes: Hardening Firefox with Claude Mythos Preview AI / LLM
Mozilla が Anthropic の Claude Mythos プレビューを使って Firefox の脆弱性を発掘・修正した取り組みを Simon Willison が紹介。2025年は月20〜30件だった Firefox のセキュリティ修正が、2026年4月だけで 423件 に跳ね上がった。20年前の XSLT 脆弱性、15年前の <legend> 要素の問題など、長年残っていた古層バグまで掘り起こされている。鍵はモデル単体の能力だけでなく「使い回し方(steering, scaling, stacking)」だと著者は強調。AIによるバグ報告の質が低い時代は終わりつつあり、自分のOSSや業務コードでも Claude を使った継続スキャン体制をどう組むかが現実的な議題になってきた。
セキュリティ / CVE 5
How Cloudflare responded to the Copy Fail Linux vulnerability (CVE-2026-31431)
Linuxカーネルの algif_aead モジュールに out-of-bounds write が存在し、非特権ユーザーが setuid バイナリのページキャッシュを書き換えて root 権限を取得できる CVE-2026-31431 にCloudflareがどう対応したかの内部事例。既存の振る舞い検知が公表後数分で発火、48時間遡って痕跡を確認、eBPF-LSM プログラムで AF_ALG ソケットの不正利用をブロックしつつパッチ展開を進めた。CISA KEVには5月1日付で追加済みで、Cloud Run / GKE / EKS など主要マネージド K8s の基盤VMも対象。自前カーネルを使う Go ワークロードがある場合、この検知&mitigationの順序設計はそのまま参考にできる。
Dirtyfrag: Universal Linux LPE on all major distros (no patch, no CVE)
esp4/esp6/rxrpc カーネルモジュールを悪用してrootを取得する Dirtyfrag が、第三者によるエンバーゴ破りで本日5月7日にPoC含めて公表された。/usr/bin/su のページキャッシュをELFペイロードで上書きする経路と、rxrpc/rxkad 経由で /etc/passwd の root パスワードを空欄に書き換える代替経路を持ち、主要ディストロすべてで即時root化が可能。CVEもパッチも未発行で、対策は esp4 / esp6 / rxrpc を modprobe ブラックリストに入れて読み込みを止めるしかない。共有テナントのコンテナホストや開発VMは特に危険、まず /etc/modprobe.d/ で無効化を入れてからパッチ待ちしたい。
Ivanti EPMM CVE-2026-6973 RCE under active exploitation (CISA KEV)
Ivanti Endpoint Manager Mobile の入力検証不備で、認証済み管理者が任意コードを実行できる CVE-2026-6973(CVSS 7.2)が攻撃者により悪用中。CISA KEVに5月7日付で追加され、連邦機関は5月10日までにパッチ適用が義務付けられた。影響は EPMM 12.6.1.1 / 12.7.0.1 / 12.8.0.1 より前のオンプレ版に限定され、クラウド版 Neurons / EPM は無関係。1月の0day事案で資格情報をローテーション済みなら被害ハードルは上がるが、認証情報流出が継続する企業は即時対応すべき。MDMはクライアント全台に root 級命令を配信できる立ち位置なので、社内利用がある場合は最優先案件として扱う。
PAN-OS RCE CVE-2026-0300 actively exploited as state-sponsored campaign
Palo Alto Networks PAN-OS の User-ID Authentication Portal にバッファオーバーフロー(CVSS 9.3/8.7)があり、未認証で root 権限のRCEが可能。4月9日から探索が始まり、4月16日には EarthWorm / ReverseSocks5 を投下する成功事例が観測された。攻撃クラスター CL-STA-1132 はログとクラッシュダンプを消去する徹底ぶりで国家系の関与が示唆される。パッチは5月13日以降の予定で、それまでは User-ID ポータルを信頼ゾーンに限定 or 無効化、Threat ID 510019 を有効化するのが暫定対策。ファイアウォール製品自体が踏み台化する事象なので、外部公開面のセグメント設計の見直し含めて要対応。
Canvas Login Portals Hacked in Mass ShinyHunters Extortion Campaign
ShinyHunters が Canvas(Instructure社の教育LMS)の脆弱性を悪用して数百校のログインポータルを改ざんし、データ流出を盾に大規模恐喝キャンペーンを展開中。SalesforceやSnowflakeを狙ってきた集団がEdTech領域に矛先を変え、学生・職員の個人情報がリスクに晒されている。LMSは外部委託SaaSが多くサプライチェーンの観点で監視が手薄になりがちで、教育機関だけでなく社内研修プラットフォームを共有運用する企業も影響範囲を確認すべき。GitHub認証連携や SAML SSO の信頼関係を見直し、漏洩時の影響範囲を再棚卸しする良いタイミング。
Go 5
Go 1.26.3 released with security and runtime fixes
Go 1.26.3 が5月7日にリリース。net / net/http / net/http/httputil / html/template / syscall / pack / go コマンドにセキュリティ修正が入り、コンパイラ・リンカ・ランタイム・crypto/tls・crypto/fips140 にもバグ修正が含まれる。具体的なCVE番号はリリースノート側のミルストーンで列挙されているので、依存している stdlib 機能をピンポイントで確認したい。Go プロジェクトの本番ビルドは go.mod の go ディレクティブと CI のツールチェーン更新を合わせて入れる流れで進めると安全。go install golang.org/dl/go1.26.3@latest でローカル切り替えが可能。
Solod v0.1: Go-syntax systems language with C interop and zero GC
Anton Zhiyanov が Go の構文をほぼそのまま使いつつ C にトランスパイルする system 言語 Solod v0.1 を5月6日に公開。GCも自動メモリ管理もなく、io / fmt / strings / crypto/rand / flag / log/slog などの標準パッケージを移植済みで、Goユーザーがすぐ書ける敷居の低さが売り。バッファ付きI/O 3倍、文字列操作 2.5倍 という実装ベンチも公開しており、組み込み・ゲーム・カーネルモジュールなど Go の GC が使えない領域への選択肢が増える。実用採用はまだ早いが「もし Go が GC なしだったら」を体感する材料として面白い。
4 Open-Source Security Tools Every Go Developer Should Know
Gitleaks(履歴のシークレット漏洩検出)、Semgrep(exec.Commandへのユーザ入力等の意味的解析)、OSV-Scanner(go.modの脆弱性 + guided remediation)、govulncheck(実際にコールしている関数だけ警告する公式スキャナ)の4ツールを Go プロジェクトに導入する手順を5月6日付の記事で紹介。各ツールはCLI一発で動くため、CIにそのまま追加できる。gitleaks と govulncheck は GitHub Actions テンプレが揃っている定番だが、Semgrep の意味的ルールは Auth ハンドラの未検証入力など「ロジックを読まないと拾えない」欠陥に強く、相補的に併用する価値がある。Go 固有のサプライチェーン対策として govulncheck の継続運用は最低限の防御線。
Go by Example: Goroutines
Go の並行性プリミティブである goroutine の基礎ページ。同期実行と go f() で起動した goroutine の挙動の違い、無名関数を直接 go で起動する書き方、main の終了で goroutine が打ち切られる前提などを最小限のコードで示す。「軽量スレッド」と呼ばれる理由はランタイムの M:N スケジューラにあり、数千〜数万単位で立ち上げても OS スレッドを消費しない。実プロジェクトでは sync.WaitGroup / channel と組み合わせて寿命管理を必ず付けるが、まずはこの素のページを写経すると後段の context 制御が腑に落ちる。
Go by Example: Channels
channel は Go の goroutine 同士で値を受け渡す標準手段で、make(chan T) で生成し ch <- v / v := <-ch で送受信する。デフォルトでは送受信どちらも相手が来るまでブロックするため、チャネル単体で軽量な同期が成立する点が肝。バッファ無しチャネルが「通信兼同期」の最小単位、バッファ付きチャネルが「キュー」、close と range が「終端通知」、select が「複数チャネルの多重待ち」と4段階で押さえると Go の並行設計の地図が見える。Pub/Sub やリトライキューを組むときの脳内モデルもここから派生する。
JS / TS 2
Node.js 26.1.0 (Current) released
Antoine du Hamel 名義で5月7日に Node.js 26.1.0 が Current ラインで公開。5月5日リリースの 26.0.0 のフォローアップで、初期報告された不具合と性能リグレッションを潰すマイナーアップデート。本ラインは2026年10月に 26.x が LTS 化する想定なので、SaaSバックエンドや CI ノードはこのタイミングで 24 LTS → 26 Current の動作検証を始めるのが良い。Cloudflare Workers / Vercel Functions ではすでに Node 互換APIが拡充されており、サーバー実装がエッジに乗りやすい状態。
Next.js: Cache poisoning in React Server Component responses (CVE-2026-44576 / CVE-2026-44582)
Next.js の React Server Components 周辺で、共有キャッシュが RSC リクエストとHTMLリクエストのレスポンスを取り違える CVE-2026-44576(CVSS 5.4 / Moderate)と、_rsc キャッシュバスティング値のハッシュ衝突を悪用する CVE-2026-44582(CVSS 3.7 / Low)が5月6日に公表された。影響範囲は 14.2.0〜15.5.15 と 16.0.0〜16.2.4 で、修正版は 15.5.16 / 16.2.5。攻撃者は他ユーザーに「HTMLが来るべき所に RSC ペイロード」を返させてキャッシュを汚染できる。Vercel / Cloudflare / Fastly など CDN 前段に置くタイプの構成は、まずアップグレードか、Vary ヘッダ尊重と RSC ヘッダ別 cache key 設定で暫定対処する必要がある。Next.js App Router を本番で使っている案件は今週中のパッチ計画を入れるべき案件。
npm サプライチェーン 2
vm2 Node.js Library: 12 Critical Vulnerabilities Disclosed (CVSS up to 10.0)
Node.js で「信頼されないコードを安全に走らせる」ために広く使われてきた vm2(npm: vm2)に、サンドボックス脱出を可能にする 12 件の Critical 脆弱性(CVE-2026-24118 / 24120 / 24781 / 26332 / 26956 / 43997 / 43999 / 44005-44009、CVSS 9.1〜10.0)が一気に公表された。3.9.6 〜 3.11.1 が影響対象で、3.11.2 で修正。NodeVMの allowlist 回避による child_process 取得、prototype pollution、コードインジェクション等、攻撃面はほぼフルセット。SaaSやAIエージェント実行基盤でユーザー投稿コードを評価している箇所はサンドボックスごと突破される前提で、isolated-vm / Workers にリプレースを検討すべき段階。
pnpm 11 ships supply-chain protection defaults: minimum release age and exotic subdep blocking
pnpm 11 がデフォルトで Minimum Release Age 1日(公開直後のバージョンは取得しない)と exotic subdependency(lockfileに無い深い依存)のブロックを有効化したと Socket が解説。直近の Shai-Hulud / TanStack typosquat / Intercom 侵害といった「公開直後に踏ませる」型のサプライチェーン攻撃に正面から効く設計で、開発者のオプトインに頼らない防御がパッケージマネージャ側に降りてきた。CIで pnpm install が突然失敗する場面も増えるが、運用は --resolution-mode で個別解除できる。npm / yarn ユーザーにとっても、同等オプションを今のうち導入する判断材料として読む価値あり。
インフラ 3
Cloudflareが従業員の約20%(1,100人超)を削減、AI時代の組織再設計
Matthew Prince と Michelle Zatlyn 連名で5月7日に発表された、全社員の約20%(1,100人以上)を対象にする組織再編。社内AI利用が3か月で 600% 増、エージェント実行セッションが日次数千件に到達する状況を踏まえ「コスト削減ではなく、AIエージェント時代に合わせた構造再設計」と位置付ける。退職パッケージは2026年末まで基本給支給・医療継続・8月15日までのベスティング加速と業界トップ水準で、追加レイオフは行わないと明言。クラウド/エッジ業界の人員設計のベンチマークが書き換わるイベントで、自分のキャリア観点でも「AIネイティブな職務設計」を意識するきっかけになる。
AWS、攻撃を受けた中東(UAE)リージョンの復旧には数カ月かかると報告
3月のドローン攻撃で被災した AWS Middle East (UAE) ME-CENTRAL-1 について、4月30日付で復旧に「数カ月」を要するとアナウンス。3つのAZのうち2つで機能が深刻に毀損したため、AWSは顧客にワークロードの他リージョン退避を強く要請し、課金処理も一時停止した。中東は AWS が3拠点(バーレーン・UAE・イスラエル)+サウジ計画と分散展開していたが、地政学リスクで「AZ=独立障害単位」の前提が壊れる事例となった。マルチリージョン DR 計画に「物理破壊由来の長期停止」シナリオを足す必要があり、クラウド前提のバックアップ戦略を見直す観点として効く事例。
Container runtime contract for Cloud Run
Cloud Run にデプロイするコンテナが満たすべき「契約」を定義した公式ドキュメント。listen するポートは PORT 環境変数で指定、リクエスト処理用の HTTP/HTTP2/gRPC サーバーであること、ファイルシステムは tmpfs(書き込みOKだがコンテナ寿命)、ステートレスを前提に設計する、ヘッドレス処理は Cloud Run Jobs に分離する、といった項目が並ぶ。Dockerfile の EXPOSE をサービス側が読まない・SIGTERMで10秒以内に gracefully 終了させる、などの落とし穴もここに集約されている。Cloud Run でデプロイがうまくいかない/突然 504 が出るタイプの障害は、十中八九この契約のどこかを満たしていない。新規サービスを Cloud Run に乗せる前に一度通読しておく価値がある。
DB 3
Introducing @supabase/server
5月6日リリースの @supabase/server は、Edge Functions / Vercel / Cloudflare Workers / Hono / Bun などで Supabase をサーバー側から使うときの認証検証・user-scoped と admin の Supabase クライアント生成・JWT検証・CORS 等を1パッケージに集約したもの。auth: 'user' / 'none' / 'secret' の宣言だけでハンドラ前段でアクセス制御が走り、新しい非対称JWT署名キーへの対応も内部で吸収される。Web Request/Response API ベースのランタイムなら基本どこでも動くため、自前の supabase クライアント初期化コードを各 Function に書いている運用は乗り換え候補。バックエンド側で「ログインユーザー」を受け取るボイラープレートが激減する。
Problem solving with PlanetScale Insights (Database Traffic Control)
5月7日付で PlanetScale Insights のリブランディングと新機能紹介。クエリ別 p50 / p95 / p99 / p99.9 レイテンシ可視化、自動インデックス推奨、エラー追跡、クエリタグ運用、そして目玉の Database Traffic Control™(特定クエリパターンに resource budget を割り当て、暴れる単発クエリのレートを抑える機能)を提供。MCP 経由で Claude が本番メトリクスを読みに行きながら原因特定→提案までできるようにしてあり、生成AIエージェントを DB 運用に組み込みたい人にとって参考になる。Postgres オプションも揃っており、Neon / Supabase 比較材料として要観察。
PostgreSQL: WITH Queries (Common Table Expressions)
PostgreSQL 公式ドキュメントの WITH 句(CTE)の解説ページ。サブクエリを名前付きで宣言して可読性を上げる用途に加え、WITH RECURSIVE で再帰検索(組織ツリー、グラフ走査、シーケンス生成)が書ける。MATERIALIZED / NOT MATERIALIZED でプランナにヒントを渡せるのもポイントで、PostgreSQL 12 以降は NOT MATERIALIZED がデフォルト寄りに振れているため、過去に「CTEで遅くなる」と覚えた人は再確認の価値あり。INSERT / UPDATE / DELETE を WITH 内に書いて返り値を再利用する「Data-Modifying Statement in WITH」も、複数操作を1トランザクションで完結させる強力なパターンとして実務で頻出。
AI / LLM 4
Natural Language Autoencoders: Turning Claude's Thoughts into Text (Anthropic Research)
Anthropicが5月7日付で発表した Natural Language Autoencoders(NLA)は、Claude の活性ベクトルを自然言語に翻訳し、また同じ言語から元の活性を復元する2段モデル。コーディングベンチで「自分は評価中だと内部的には26%の問題で気付いている」「明示的に発話するのはずっと少ない」というギャップを定量化できた。意図的に misalign した監査用モデルでは、NLAなしだと3%以下しか拾えなかった隠れた動機を 12〜15% で検出。解釈可能性研究の主流ルートが「サーキット解析」から「内部状態の自然言語化」へ寄り始めた合図で、Claude を本番に組み込む側にとってもブラックボックス度を下げる将来手段として注目に値する。
Claude Code 5時間制限が2倍化、SpaceX 300MW提携で全プラン緩和
Anthropic が SpaceX の Colossus 1 データセンター(H100 / H200 / GB200 クラスのGPU 22万台超、300MW級)の演算容量を全面的に確保すると5月6日に発表。あわせて Claude Code の Pro / Max / Team / Enterprise の5時間レート制限を2倍化、Pro / Max のピーク時減速を撤廃、Opus の API レート上限を大幅引き上げ。直近の「5時間で週次クォータの25%を消費する」型の不満を緩和する直接的なアップデートで、Claude Code 中心の開発フローを採用している側には即効性のある変更。Amazon / Google / Microsoft などとの既存のコンピュート契約と並行し、軌道上 AI コンピュートにも言及している点が特徴的。
AlphaEvolve: Gemini-powered coding agent scaling impact across fields
Google DeepMind が5月7日に AlphaEvolve のインパクト報告を公開。Gemini を用いてアルゴリズムを自動進化させるコーディングエージェントで、Spanner の write amplification を 20% 削減、TPU の次世代回路設計の一部を直接シリコンに採用、コンパイラ最適化でソフトウェアストレージを 9% 縮小、量子回路シミュレーションでエラー率10倍改善、といった社内インフラ寄りの成果を多数列挙。商用側でも Klarna が学習速度2倍、FM Logistic が物流ルートを 10.4% 改善、Schrödinger が分子力場学習で4倍速など、研究→製品インパクトのループが回り始めた事例。AIエージェントを「コード書かせる」から「アルゴリズムを進化させる」フェーズに引き上げる象徴的な発表。
Behind the Scenes: Hardening Firefox with Claude Mythos Preview
Mozilla が Anthropic の Claude Mythos プレビューを使って Firefox の脆弱性を発掘・修正した取り組みを Simon Willison が紹介。2025年は月20〜30件だった Firefox のセキュリティ修正が、2026年4月だけで 423件 に跳ね上がった。20年前の XSLT 脆弱性、15年前の <legend> 要素の問題など、長年残っていた古層バグまで掘り起こされている。鍵はモデル単体の能力だけでなく「使い回し方(steering, scaling, stacking)」だと著者は強調。AIによるバグ報告の質が低い時代は終わりつつあり、自分のOSSや業務コードでも Claude を使った継続スキャン体制をどう組むかが現実的な議題になってきた。