朝刊
注目トピック 11
CISA KEV追加: Fortinet FortiClient EMSのSQL Injection CVE-2026-21643が悪用中 セキュリティ / CVE
CISAが2026-04-13付でFortiClient EMS (Enterprise Management Server) のSQLインジェクション脆弱性CVE-2026-21643をKnown Exploited Vulnerabilities CatalogにAdd。攻撃者は認証なしでSQL命令を送り込み、エンドポイント管理基盤を丸ごと侵害できる。企業がFortiClient EMS経由でエンドポイントへプッシュ配信している環境では、配布されるエージェントを足掛かりに水平展開されるリスクがある。連邦機関は修正適用まで3週間、民間も同等の緊急度で扱うべき。smart-stay-platformはFortinet依存なし。
OpenAI、axiosサプライチェーン侵害を受けてmacOSアプリ証明書を失効 npm サプライチェーン
axios npmパッケージの改ざんがOpenAIのmacOSアプリ署名パイプラインまで到達していたことが判明し、OpenAIは既発行証明書を全件失効して再発行する事態になった。既存のChatGPTデスクトップ版は近日中にアップデート必須。侵害経路はAPIキーやビルドシークレットが改ざん版axiosから外部へ漏出した流れとされ、「CIに入れたnpmパッケージの権限」を再点検する必要がある。smart-stay-platform-frontendやLINE botはnpm依存が多く、pinned version + SBOM + Socket FirewallでのPR時チェックが効く対策。
Claude Code製作者本人、現在のキャッシュ障害について公式コメント AI / LLM
Claude Codeの製作者Boris Cherny本人がr/ClaudeCodeに登場し、2026-04-13前後のキャッシュヒット率低下と500エラー多発について技術的な背景を説明。prompt cachingのTTL切れとリージョン切替が重なり、セッション再開時に全文非キャッシュで再送され結果的にOpusクォータを瞬殺している、と。ユーザー視点の対策は「長時間セッションを分割せず1本で走らせ続けること」。私のClaude Code日常運用と直結する情報なので、/loop実行パターンを見直す価値がある。
108個のChrome拡張が共通C2で身元盗難とセッション乗っ取りを実行 セキュリティ / CVE
Socket.devが108個のChrome拡張機能が同一のC2インフラに接続し、ブラウザ内の身元情報・セッションクッキー・保存パスワードを持ち出しているキャンペーンを暴露。拡張はそれぞれ別の開発者を装うが、JSペイロードとドメイン構造で紐付いた。既にインストール実績のある拡張に対しバックドアを仕込んだ疑いもあり、チーム開発のレビュー済み拡張さえも安心できない状況。開発者は社内のChrome環境で使用拡張を棚卸しし、不要なものを剥がすのが妥当。
Coinbase AgentKit Prompt Injectionで財布枯渇・無限承認・エージェントRCE セキュリティ / CVE
Coinbase AgentKit (ブロックチェーン操作エージェント用SDK) にPrompt Injection経由でオンチェーンのウォレットを空にし、無限のtoken承認を発行させ、ホスト側のコード実行まで到達するPoCがCoinbaseにより検証された。AI×オンチェーンの統合が進む中、user供給テキストが即座に資金移動トランザクションになる設計が根本的に危険だと示した事例。MCPやTool呼び出しを行うエージェントを金融系・機密系に統合する際は、「ツール呼び出し前の人間承認」を例外なく挟むべき。
Dolibarr 23.0.0のdol_eval() ホワイトリスト回避でRCE: CVE-2026-22666 セキュリティ / CVE
OSS ERPのDolibarr 23.0.0でカスタム数式評価関数dol_eval() のホワイトリスト実装に穴があり、制限されているはずの関数呼び出しを経由してRCEまで到達できる完全PoC付き脆弱性が公開 (CVE-2026-22666)。ERP系は経営データを持つ割に露出した業務サーバで動くことが多く、社内Dolibarr運用チームはすぐアップグレード/WAFルール追加を。自作のeval的仕組みを持つアプリも同じ教訓 ― ホワイトリストの綻びは必ずRCEに進化する。
axios脆弱性の日本語まとめと影響範囲整理 (2026-04-12時点) npm サプライチェーン
Zennでaxios改ざんに関する日本語の包括的整理記事が出た。どのバージョンが汚染され、どの攻撃経路でAPIキーが流出するか、他の派生パッケージ (axios-retry等) への影響、package-lock.json / pnpm-lockのpin解除で被害を受けた例をまとめている。英語の一次ソースを追う時間がないチームリーダー向けに、そのままSlackに貼れるサマリー資料として有用。smart-stay-platform-frontendのフロントエンドでaxiosを直接入れずfetchベースかつ薄いラッパーにしている設計は正解だったと裏付けられる。
Cloudflare Workers Sandbox がGA: 信頼できないコードの安全な実行環境 インフラ
Cloudflare Workersに統合された「Sandbox」機能が一般提供開始。AIエージェントやユーザー生成コードをWorkers内で安全に実行するための隔離実行環境で、ネットワークアクセス・ストレージ・CPU時間を細かく制限できる。Code interpreterやFunction Calling時に「LLMが生成したコードを本番アカウントで走らせてしまう」リスクへの標準解となる。agent系アプリ (line_bot+LLMなど) を作る時に自前でサンドボックスを作らず済む点で大きい。
200万行のテーブルにDDLを打つ前に知りたかったこと DB
Zennで「200万行規模のテーブルにALTER TABLEを投げる前に気にすべきだった事」の振り返り記事が公開。MySQL/PostgreSQL双方で、ロック所要時間・レプリカ遅延・ディスクI/O・オンライン移行ツール (pt-osc, gh-ost) 選定の実地のハマりどころが整理されている。本番のDDLを軽い気持ちで打って長時間ロックを引き起こした経験がない開発者は必読。smart-stay-platformのreservationテーブルなど増え続けるテーブルでも、同じ戦略が将来必要になる。
PostgreSQLでbigserialなのに一意性制約違反が発生した原因 DB
Qiitaで、PostgreSQLのbigserial (SERIAL) 列に手動INSERTで固定IDを差し込むとsequenceが追従せず、後続のdefault付与INSERTが一意制約違反を出す問題の実例と解消手順が公開。解決策はsetval(pg_get_serial_sequence('tbl','id'), MAX(id)) でシーケンスをまとめて進めること。本番データを種データ入れで汚してしまう典型事故で、seeds.sqlを流す運用がある全プロジェクト共通の落とし穴。smart-stay-platformの初期データ投入スクリプトでも要点検。
Claude Codeの設定をGLM-5.1に差し替えたユーザーの体験レポート AI / LLM
あるユーザーがClaude Codeの設定ファイルでbackendをAnthropicからZhipuのGLM-5.1に切り替えて数日使った実体験スレッド。コード補完の精度はClaudeより劣るが、長時間セッションでの安定性とクォータ感覚は圧倒的に良く、週末のhobby開発には十分と評価。公式には未サポートだが、OpenAI互換proxyを挟んで動かす手順が共有されている。Anthropic側が不安定な時期に選択肢としてGLM-5.1を知っておく価値はある。
セキュリティ / CVE 5
CISA KEV追加: Fortinet FortiClient EMSのSQL Injection CVE-2026-21643が悪用中
CISAが2026-04-13付でFortiClient EMS (Enterprise Management Server) のSQLインジェクション脆弱性CVE-2026-21643をKnown Exploited Vulnerabilities CatalogにAdd。攻撃者は認証なしでSQL命令を送り込み、エンドポイント管理基盤を丸ごと侵害できる。企業がFortiClient EMS経由でエンドポイントへプッシュ配信している環境では、配布されるエージェントを足掛かりに水平展開されるリスクがある。連邦機関は修正適用まで3週間、民間も同等の緊急度で扱うべき。smart-stay-platformはFortinet依存なし。
108個のChrome拡張が共通C2で身元盗難とセッション乗っ取りを実行
Socket.devが108個のChrome拡張機能が同一のC2インフラに接続し、ブラウザ内の身元情報・セッションクッキー・保存パスワードを持ち出しているキャンペーンを暴露。拡張はそれぞれ別の開発者を装うが、JSペイロードとドメイン構造で紐付いた。既にインストール実績のある拡張に対しバックドアを仕込んだ疑いもあり、チーム開発のレビュー済み拡張さえも安心できない状況。開発者は社内のChrome環境で使用拡張を棚卸しし、不要なものを剥がすのが妥当。
Coinbase AgentKit Prompt Injectionで財布枯渇・無限承認・エージェントRCE
Coinbase AgentKit (ブロックチェーン操作エージェント用SDK) にPrompt Injection経由でオンチェーンのウォレットを空にし、無限のtoken承認を発行させ、ホスト側のコード実行まで到達するPoCがCoinbaseにより検証された。AI×オンチェーンの統合が進む中、user供給テキストが即座に資金移動トランザクションになる設計が根本的に危険だと示した事例。MCPやTool呼び出しを行うエージェントを金融系・機密系に統合する際は、「ツール呼び出し前の人間承認」を例外なく挟むべき。
Dolibarr 23.0.0のdol_eval() ホワイトリスト回避でRCE: CVE-2026-22666
OSS ERPのDolibarr 23.0.0でカスタム数式評価関数dol_eval() のホワイトリスト実装に穴があり、制限されているはずの関数呼び出しを経由してRCEまで到達できる完全PoC付き脆弱性が公開 (CVE-2026-22666)。ERP系は経営データを持つ割に露出した業務サーバで動くことが多く、社内Dolibarr運用チームはすぐアップグレード/WAFルール追加を。自作のeval的仕組みを持つアプリも同じ教訓 ― ホワイトリストの綻びは必ずRCEに進化する。
北朝鮮APT37、FacebookのメッセンジャーでRokRATを配信
北朝鮮APT37 (ScarCruft) が偽のジャーナリスト人格でFacebook Messengerから標的にコンタクトを取り、情報源取材依頼を装ってRokRATを埋め込んだドキュメントを送りつける新キャンペーンが確認された。政府職員・脱北者・人権活動家が標的で、開封したら端末情報・スクリーンショット・キーロガーが稼働する。Slack/Teams以外のチャンネル (メール・DM・SNS) 経由で届いた未知の添付ファイルは社用端末で絶対に開かない運用ルールが改めて必要。
Go 5
Goサービス間でエラーメッセージをローカライズ・変換する方法の議論
r/golangで「Goサービス間のエラー翻訳」をテーマにしたスレッドが盛り上がっている。gRPCのstatus codeに独自errorを潰さず乗せ、ゲートウェイ層で最後にユーザー表示向けの言語・ドメイン用語に変換する方式に賛同が集まる。errors.Is/Asで型を保持しつつ、境界でpb.Statusに詰めるのがRailsとは違うGo流儀。Goマイクロサービス (Reservation → Key Service連携など) でのエラー横断処理を見直す時に実用ネタになる。
Goバイナリを最速にするコンパイラフラグは何か
「Goで最速のバイナリを作るためのフラグは?」という質問に、コンパイラ関係者を含む回答が集まった。結論は「-gcflags「-l=4」インライン深度を上げる」「-ldflags「-s -w」でサイズ削減」「PGO (Profile-Guided Optimization) を必ず有効にする」で、数十%の実効性能差が出る報告あり。Go 1.26以降はPGOがほぼフリーで使えるため、本番バイナリは常にPGOビルドに切り替える価値がある。smart-stay-platformの各serviceも検討余地あり。
Goでリアクティブなステートフルなウェブアプリ用ランタイムを自作
HTMXやLiveViewのようにサーバサイドでUIステートを保持し、差分だけをクライアントに送るランタイムをGoで実装したOSSがr/golangで公開。WebSocket上で状態とイベントを双方向に同期し、TypeScriptやReact無しでリアクティブUIを構築できる。Goで完結した社内管理画面が欲しいチーム (todo_cliのWeb版など) には有力選択肢。SSRとの境界が曖昧になる最近のトレンドを象徴する作例。
【基礎】Go by Example: Maps
Goのmap型の宣言・初期化・更新・削除・存在チェック (comma-ok) ・for range反復を10行程度のサンプルでまとめた定番ページ。mapの反復順序が不定である点や、nil mapへのwriteがpanicする挙動はGoのバグ源泉で、毎回確認する価値がある。make(map[K]V, hint) で容量ヒントを与えるパフォーマンスチューニングも記載。Goの言語機能が「最小 × 定期復習」で定着するタイプなので、週次で寝る前に眺めると地力が付く。
【基礎】Effective Go: Interfaces and other types
Goの公式ドキュメントEffective Goのうち、インタフェース設計を解説した節。「小さく作る・実装側が暗黙に満たす・受け取る側が定義する」 (Accept interfaces, return structs) の原則を豊富な例で示す。io.Reader/Writerがなぜこの切り方なのか、受け入れ側が定義するパターンが何故テスト容易性に効くのかが分かる。Goの「大きすぎるインタフェース」の臭いを嗅ぎ分けられる判断基準を得られるため、レビュアー視点でも必読。
JS / TS 2
フロントエンドフレームワーク横断: TodoMVCベースのバンドルサイズ比較
r/javascriptで、共通仕様のTodoMVC実装を各フレームワーク (React / Vue / Svelte / Solid / Qwik / Preactなど) で作り、gzip後のバンドルサイズを横断比較した新しいベンチマークが公開。同じアプリでもFW選択で数倍のペイロード差が出ることを改めて可視化し、Qwik/Solid勢の小ささが目立つ。モバイル回線での初期ロード時間が収益に直結するサービスでは、FW選定が要件そのものになる。portofolioのようなポートフォリオサイトでも参考値として使える。
Electron IPCの設計は根本的に破綻しているのでは?
r/javascriptで「Electronのmain ↔ rendererのIPCは型安全性・非同期性・セキュリティで根本欠陥があるのでは?」という問題提起スレッドが活発化。contextBridgeとipcRendererのinvokeは手書きボイラープレートが膨らみ、preloadスクリプトに権限が集中しがちという指摘が出ている。tRPCライクにタイプセーフなIPC層をかぶせるライブラリの紹介や、そもそもElectronではなくTauri/WebViewに移る判断の話も。デスクトップLINE botラッパーなどを作る前に読む価値あり。
npm サプライチェーン 2
OpenAI、axiosサプライチェーン侵害を受けてmacOSアプリ証明書を失効
axios npmパッケージの改ざんがOpenAIのmacOSアプリ署名パイプラインまで到達していたことが判明し、OpenAIは既発行証明書を全件失効して再発行する事態になった。既存のChatGPTデスクトップ版は近日中にアップデート必須。侵害経路はAPIキーやビルドシークレットが改ざん版axiosから外部へ漏出した流れとされ、「CIに入れたnpmパッケージの権限」を再点検する必要がある。smart-stay-platform-frontendやLINE botはnpm依存が多く、pinned version + SBOM + Socket FirewallでのPR時チェックが効く対策。
axios脆弱性の日本語まとめと影響範囲整理 (2026-04-12時点)
Zennでaxios改ざんに関する日本語の包括的整理記事が出た。どのバージョンが汚染され、どの攻撃経路でAPIキーが流出するか、他の派生パッケージ (axios-retry等) への影響、package-lock.json / pnpm-lockのpin解除で被害を受けた例をまとめている。英語の一次ソースを追う時間がないチームリーダー向けに、そのままSlackに貼れるサマリー資料として有用。smart-stay-platform-frontendのフロントエンドでaxiosを直接入れずfetchベースかつ薄いラッパーにしている設計は正解だったと裏付けられる。
インフラ 3
Cloudflare Workers Sandbox がGA: 信頼できないコードの安全な実行環境
Cloudflare Workersに統合された「Sandbox」機能が一般提供開始。AIエージェントやユーザー生成コードをWorkers内で安全に実行するための隔離実行環境で、ネットワークアクセス・ストレージ・CPU時間を細かく制限できる。Code interpreterやFunction Calling時に「LLMが生成したコードを本番アカウントで走らせてしまう」リスクへの標準解となる。agent系アプリ (line_bot+LLMなど) を作る時に自前でサンドボックスを作らず済む点で大きい。
AWS App Runner、2026年4月30日で新規受付停止・メンテナンスモードへ
AWSが2026年4月30日をもってApp Runnerの新規顧客受付を停止し、以降は既存ユーザー向けのメンテナンスモードに移行すると発表。Amazon RDS Custom for Oracleも1年後に終了予定で、AWSが複数サービス整理を同時に進めている。App Runnerでサクッとコンテナを動かしていた小規模アプリは、ECS Fargate / Cloud Run / Fly.io / Cloudflare Workersへの移行を今のうちに検討すべき。smart-stay-platformはCloud Run前提なので直接影響なし。
【基礎】Cloud Run コンテナの概念と実行モデル
Cloud Runのコンテナコントラクト (コンテナがどうリクエストを受け、ライフサイクルがどう動くか) の公式ドキュメント。PORT環境変数で待ち受け、シグナルとcold start、CPUのthrottling、min-instances・concurrencyの効き方が具体的な数字で解説されている。Cloud Runで動かすGoサービスのベンチマーク解釈や、ワーカ起動失敗の切り分けに直結する知識。smart-stay-platformが依存する基盤なので、定期的に読み直して仕様の変化に追従する価値がある。
DB 3
200万行のテーブルにDDLを打つ前に知りたかったこと
Zennで「200万行規模のテーブルにALTER TABLEを投げる前に気にすべきだった事」の振り返り記事が公開。MySQL/PostgreSQL双方で、ロック所要時間・レプリカ遅延・ディスクI/O・オンライン移行ツール (pt-osc, gh-ost) 選定の実地のハマりどころが整理されている。本番のDDLを軽い気持ちで打って長時間ロックを引き起こした経験がない開発者は必読。smart-stay-platformのreservationテーブルなど増え続けるテーブルでも、同じ戦略が将来必要になる。
PostgreSQLでbigserialなのに一意性制約違反が発生した原因
Qiitaで、PostgreSQLのbigserial (SERIAL) 列に手動INSERTで固定IDを差し込むとsequenceが追従せず、後続のdefault付与INSERTが一意制約違反を出す問題の実例と解消手順が公開。解決策はsetval(pg_get_serial_sequence('tbl','id'), MAX(id)) でシーケンスをまとめて進めること。本番データを種データ入れで汚してしまう典型事故で、seeds.sqlを流す運用がある全プロジェクト共通の落とし穴。smart-stay-platformの初期データ投入スクリプトでも要点検。
【基礎】初心者向け: SQL JOINとサブクエリを2時間で身につける
Qiitaに掲載された「SQLの JOIN とサブクエリの感覚を掴む2時間完全講座」。INNER / LEFT / CROSS / SELF JOINの違い、相関サブクエリとEXISTS句、IN vs EXISTSの性能差、ウィンドウ関数への橋渡しまで丁寧にカバー。実行計画 (EXPLAIN) の読み方もセットで扱い、初学者の復習にも管理職の知識棚卸しにも使える。自分用のレビュー観点としても、PRに流れてくる遅いJOINの原因を言語化しやすくなる。
AI / LLM 4
Claude Code製作者本人、現在のキャッシュ障害について公式コメント
Claude Codeの製作者Boris Cherny本人がr/ClaudeCodeに登場し、2026-04-13前後のキャッシュヒット率低下と500エラー多発について技術的な背景を説明。prompt cachingのTTL切れとリージョン切替が重なり、セッション再開時に全文非キャッシュで再送され結果的にOpusクォータを瞬殺している、と。ユーザー視点の対策は「長時間セッションを分割せず1本で走らせ続けること」。私のClaude Code日常運用と直結する情報なので、/loop実行パターンを見直す価値がある。
Claude Codeの設定をGLM-5.1に差し替えたユーザーの体験レポート
あるユーザーがClaude Codeの設定ファイルでbackendをAnthropicからZhipuのGLM-5.1に切り替えて数日使った実体験スレッド。コード補完の精度はClaudeより劣るが、長時間セッションでの安定性とクォータ感覚は圧倒的に良く、週末のhobby開発には十分と評価。公式には未サポートだが、OpenAI互換proxyを挟んで動かす手順が共有されている。Anthropic側が不安定な時期に選択肢としてGLM-5.1を知っておく価値はある。
Kimi K2.6、まもなく公開へ: Moonshot AIが予告
Moonshot AIがKimi K2.6のリリースを予告。先代K2.5から1M contextをさらに拡張し、ツール利用とコーディングの能力を強化、オープンウェイト公開も示唆されている。中国系ではDeepSeek / Qwen / GLMに加えKimiが長文・Agent用途で一角を占める流れ。Anthropic障害を受けて代替探しをしている開発者にとって、ローカル or self-hosted Kimiは現実的な保険になりうる。リリース詳細が出次第、line_botのLLM統合候補として検証予定に追加したい。
2026年4月時点のベストなローカルLLMまとめ (r/LocalLLaMA)
r/LocalLLaMAの定番月次まとめスレッドが2026-04版として公開。用途別 (コーディング・一般会話・日本語・長文要約・Vision) にGemma 4 / Qwen3.5 / Llama 4 / MiniMax M2.7 / GLM-5.1 / Kimi K2.5が比較されている。VRAM 24GB級ではQwen3.5-27B-UD-Q5_K_XLが万能、64GB以上ならMiniMax M2.7が頭一つ抜ける評。Anthropic依存を下げたい場合に自分のRTXマシンで何を回すかの良い意思決定材料。