朝刊
注目トピック 13
Vercel Breach Tied to Context AI Hack Exposes Limited Customer Credentials npm サプライチェーン
Vercel が4月19日にセキュリティインシデントを公表。発端はサードパーティー AI ツール Context.AI の侵害で、攻撃者が Vercel 従業員の Google Workspace アカウントを乗っ取り、内部システム・GitHub/NPM トークン・従業員情報580件・社内 DB まで到達したという深刻な二次被害。AI ツール導入が組織のセキュリティ境界を拡張する典型例で、SaaS 連携 / OAuth 付与先を棚卸しする絶好の契機。smart-stay-platform-frontend の Vercel デプロイでも該当期間の機密変数ローテ必須。
Changes in the system prompt between Claude Opus 4.6 and 4.7 AI / LLM
Anthropic が公開している Claude のシステムプロンプトを Simon が 4.6 と 4.7 で diff 解析。大きな変化は「Developer Platform → Claude Platform」リブランド、PowerPoint/Chrome/Excel 用エージェントの明示、`tool_search` の先制使用、子どもの安全・摂食障害まわりの強化、絵文字やアスタリスク禁止ポリシーの撤廃など。Claude Code を日常で使うなら、モデル挙動が変わった理由の理解に直結する必読記事。
17-year-old Excel vulnerability actively exploited, flagged by US cyber defence agency セキュリティ / CVE
2009年に公表された Microsoft Office の RCE 欠陥 CVE-2009-0238 が CISA KEV に再追加され、現在アクティブな標的型攻撃で悪用されていることがコミュニティ経由で拡散。フィッシング添付を介した ODF/XLS ファイルのマクロ経由で古い Excel パス解析バグを突く手口。企業のレガシー Office 環境が残っている場合は Microsoft Update 適用状況の再点検必須。
13時間で900万円請求事件の裏側 — AI生成コードが招くAPIキー漏洩を静的解析で止める セキュリティ / CVE
先日話題の Firebase × Gemini で13時間900万円事件を受けた続編解説。Claude Code / Copilot が生成するコードには API キー・接続文字列がベタ書きされやすい傾向があり、trufflehog / gitleaks / semgrep など静的解析を pre-commit に挟んで止める実践例を提示。Claude Code 運用中のプロジェクトは即座に導入を検討すべき。
個人開発者がClaude Codeで気をつけたい3つのセキュリティ事故 セキュリティ / CVE
個人開発で Claude Code を使う際に起きがちなセキュリティ事故 3パターン — .env 誤コミット、MCP サーバ経由でのシークレット漏出、hooks に書いた未検証コマンドの誤実行 — の実例と防止策。先日の masa_ClaudeCodeLab の企業視点記事に対し、個人開発者向けに絞ったコンパクトな補完版として読める。自分の settings.json / hooks を即点検したくなる内容。
I built a container from scratch in Go to understand what Docker actually does under the hood Go
Docker が内部で使う Linux の namespace / cgroups / overlayfs を Go から syscall 経由で叩き、最小コンテナランタイムを実装したハンズオン。145 ups の人気投稿で、Go のシステムコール呼び出し / osusergo / unshare の使い方を学びつつ、Kubernetes 周辺の低レイヤ知識を埋めるのに最適。ランタイムの挙動を理解しておくと debug / 脆弱性対応の速度が段違いになる。
Async React時代の宣言的UI 2: トランジション対応のuseDebouncedフックを作る JS / TS
uhyo 氏による Async React(startTransition / useDeferredValue を前提にしたレンダリングパターン)連載 の第2回。useDebounced を startTransition 前提で書き直し、急速入力時の UI ジャンプを防ぐ実装を解説する。React 19 以降の標準的な UX 実装として押さえておきたい内容で、smart-stay-platform-frontend や portofolio の検索 UI に即応用可能。
サプライチェーン攻撃を監視する、簡素な通信検出フレームワーク npm サプライチェーン
ビルド環境・CI/CD ランナー・開発マシンからの 「予期しない外部通信」 を低コストで検知するフレームワークの提案。Suricata / Zeek + シンプルなアロウリスト運用で、Axios / Solana-web3.js のようなサプライチェーン攻撃を postinstall フックが走った瞬間に捕捉する方針。個人・小規模チームでも導入可能な構成例が書かれており、line_bot / portofolio の CI にも応用できる。
Cloudflare、AIエージェント用のファイルシステム「Cloudflare Artifacts」発表。Git対応バージョン管理とRESTful API対応のファイルシステム インフラ
Cloudflare が AI エージェント向けにバージョン管理付き RESTful ファイルシステム Cloudflare Artifacts を公開。Git 互換のコミット履歴を保ったまま API 経由でエージェントがファイル読み書きでき、セッション跨ぎのコンテキスト保存・生成物の再利用に使える。自前 S3 + メタデータ DB を組んでいたユースケースを一段省略できる形で、portofolio の volatile blog 的な短命資産の保管先にも向きそう。
Claude Token Counter, now with model comparisons AI / LLM
Simon が公開する Claude Token Counter がモデル間比較に対応。同じ入力を 4.6 / 4.7 / Sonnet / Haiku で比較でき、Opus 4.7 は 4.6 より約 1.46倍 トークンを消費する傾向が確認された。プロンプトキャッシュと短文化の重要性が相対的に増しており、Claude Code の $40/日運用チューニングを引き続き意識すべき局面。長文 CLAUDE.md を抱えるプロジェクトは棚卸しのタイミング。
プロンプトの再現性をAIに自動チューニングさせる方法 〜 暗黙知を排除する AI / LLM
mizchi 氏による 「評価 LLM にプロンプトを採点・改善させる」 経験的プロンプトチューニングの実践記事。人間が感覚で書いたプロンプトに対し、別モデルが弱点を指摘・再生成するループを回すことで、再現性が高くかつ誰が書いても同じ品質に収束する状態を目指す。Claude Code の CLAUDE.md / skill.md を継続改善する運用に直接流用できる考え方。
Claude Codeで実現した45の日常タスク自動化 AI / LLM
東大卒筆者が Claude Code + MCP + hooks で日常業務45件を自動化した実録(はてブ474)。メール処理・カレンダー整理・通知要約・日次レポート生成などをテンプレ化し、スキル / サブエージェント / launchd トリガーへの落とし込みパターンを解説。/daily のような自作スキルを増やしていく際に、棚卸しと優先順位付けの参考になる。
YSK: If you use Claude on your company's Enterprise plan, your employer can access every message you've ever sent AI / LLM
企業契約の Claude Enterprise プランでは、incognito チャット含め従業員の全会話履歴を管理者が閲覧可能である点を周知するスレッド(1036 ups)。個人利用と業務利用の境界を混ぜないこと、機密入力の切り分け、個人 Claude Max を併用する運用の根拠として知っておくべき情報。就活・副業タスクを会社 Workspace の Claude で回している場合は特に要注意。
セキュリティ / CVE 5
17-year-old Excel vulnerability actively exploited, flagged by US cyber defence agency
2009年に公表された Microsoft Office の RCE 欠陥 CVE-2009-0238 が CISA KEV に再追加され、現在アクティブな標的型攻撃で悪用されていることがコミュニティ経由で拡散。フィッシング添付を介した ODF/XLS ファイルのマクロ経由で古い Excel パス解析バグを突く手口。企業のレガシー Office 環境が残っている場合は Microsoft Update 適用状況の再点検必須。
13時間で900万円請求事件の裏側 — AI生成コードが招くAPIキー漏洩を静的解析で止める
先日話題の Firebase × Gemini で13時間900万円事件を受けた続編解説。Claude Code / Copilot が生成するコードには API キー・接続文字列がベタ書きされやすい傾向があり、trufflehog / gitleaks / semgrep など静的解析を pre-commit に挟んで止める実践例を提示。Claude Code 運用中のプロジェクトは即座に導入を検討すべき。
個人開発者がClaude Codeで気をつけたい3つのセキュリティ事故
個人開発で Claude Code を使う際に起きがちなセキュリティ事故 3パターン — .env 誤コミット、MCP サーバ経由でのシークレット漏出、hooks に書いた未検証コマンドの誤実行 — の実例と防止策。先日の masa_ClaudeCodeLab の企業視点記事に対し、個人開発者向けに絞ったコンパクトな補完版として読める。自分の settings.json / hooks を即点検したくなる内容。
Mirai Variant Nexcorium Exploits CVE-2024-3721 to Hijack TBK DVRs for DDoS Botnet
Mirai の新亜種「Nexcorium」が TBK 製 DVR の CVE-2024-3721 を悪用し、大規模な DDoS ボットネットを構築中。TBK DVR は監視カメラ用途で店舗・施設に広く設置されておりパッチ適用が進みづらい。自社 / 取引先のカメラシステムが TBK 系を使っているなら即時隔離・FW 書き換えが必要。IoT デバイスを Cloud に繋ぐ smart-stay-platform 周辺も、同種のリスクを想定した NW セグメンテーションが重要。
$13.74M Hack Shuts Down Sanctioned Grinex Exchange After Intelligence Claims
米国制裁下にあった暗号資産取引所 Grinex が13.74M USD のハッキング被害後に突如サービス閉鎖。インテリジェンス機関関与説もあり、国家アクターが制裁回避スキームを狙う傾向が続いている。暗号資産周りの API 連携を検討中のプロジェクトは、カウンターパーティーリスクを KYC / 取引所評判の観点で再評価するきっかけに。
Go 5
I built a container from scratch in Go to understand what Docker actually does under the hood
Docker が内部で使う Linux の namespace / cgroups / overlayfs を Go から syscall 経由で叩き、最小コンテナランタイムを実装したハンズオン。145 ups の人気投稿で、Go のシステムコール呼び出し / osusergo / unshare の使い方を学びつつ、Kubernetes 周辺の低レイヤ知識を埋めるのに最適。ランタイムの挙動を理解しておくと debug / 脆弱性対応の速度が段違いになる。
Go patterns which makes sense to do early
Go プロジェクトを立ち上げた直後に決めておくと後が楽になるパターンを議論しているスレッド。options パターン / errors.Is ベースのセンチネル / context 伝播 / internal/ 配置などの早期導入が推奨されている。smart-stay-platform のような複数マイクロサービス構成を新設する場合、ここで言及されているパターンはリファクタコストを大幅に削減する。
Confused about parallelism vs. concurrency example in Concurrency in Go
Katherine Cox-Buday 「Concurrency in Go」の並行性 / 並列性の例に対して 「CPU コア数との関係が直感と違う」 と質問したスレッドで、GOMAXPROCS / スケジューラの M:N モデル / goroutine がどの OS スレッドに乗るかの実体が議論されている。concurrency を goroutine / channel で書いている人も、裏の挙動を一度整理しておくとデバッグで刺さる誤解を避けられる。
How do y'all write test for TUI?
Bubbletea などで書いた Go TUI の自動テストをどう書くかの議論。golden file での snapshot、teatest ヘルパー、bubbletea のイベント注入を組み合わせるパターンが有力。todo_cli のような Bubbletea ベース TUI を運用中のプロジェクトは、lipgloss の出力テストを入れる際の参考になる。
【基礎】Go by Example — Channels
Go by Example のチャネル章。make でのバッファ有無、unbuffered の同期挙動、送信受信のブロック条件、close / range / select を最小コードで示す定番教材。goroutine 本体を書く前に必ず頭に入れておくべき基礎で、「なぜここで goroutine がデッドロックするのか」 を言語化できるようになる。smart-stay-platform の Pub/Sub 抽象を書く際にも土台になる知識。
JS / TS 2
Async React時代の宣言的UI 2: トランジション対応のuseDebouncedフックを作る
uhyo 氏による Async React(startTransition / useDeferredValue を前提にしたレンダリングパターン)連載 の第2回。useDebounced を startTransition 前提で書き直し、急速入力時の UI ジャンプを防ぐ実装を解説する。React 19 以降の標準的な UX 実装として押さえておきたい内容で、smart-stay-platform-frontend や portofolio の検索 UI に即応用可能。
リポジトリ層は、あえてインターフェース化しない方が良い場合もある
TypeScript のバックエンド / Next.js サーバサイドで 「DDD 的にリポジトリ層は必ずインターフェース化」 と指導されがちだが、モック不要のユースケースでは interface をやめて concrete class 1本で書いた方が変更容易性が上がる場合があるという再考記事。smart-stay-platform-frontend のサーバアクション / line_bot のアダプタ設計にも効く視点。
npm サプライチェーン 2
Vercel Breach Tied to Context AI Hack Exposes Limited Customer Credentials
Vercel が4月19日にセキュリティインシデントを公表。発端はサードパーティー AI ツール Context.AI の侵害で、攻撃者が Vercel 従業員の Google Workspace アカウントを乗っ取り、内部システム・GitHub/NPM トークン・従業員情報580件・社内 DB まで到達したという深刻な二次被害。AI ツール導入が組織のセキュリティ境界を拡張する典型例で、SaaS 連携 / OAuth 付与先を棚卸しする絶好の契機。smart-stay-platform-frontend の Vercel デプロイでも該当期間の機密変数ローテ必須。
サプライチェーン攻撃を監視する、簡素な通信検出フレームワーク
ビルド環境・CI/CD ランナー・開発マシンからの 「予期しない外部通信」 を低コストで検知するフレームワークの提案。Suricata / Zeek + シンプルなアロウリスト運用で、Axios / Solana-web3.js のようなサプライチェーン攻撃を postinstall フックが走った瞬間に捕捉する方針。個人・小規模チームでも導入可能な構成例が書かれており、line_bot / portofolio の CI にも応用できる。
インフラ 3
Cloudflare、AIエージェント用のファイルシステム「Cloudflare Artifacts」発表。Git対応バージョン管理とRESTful API対応のファイルシステム
Cloudflare が AI エージェント向けにバージョン管理付き RESTful ファイルシステム Cloudflare Artifacts を公開。Git 互換のコミット履歴を保ったまま API 経由でエージェントがファイル読み書きでき、セッション跨ぎのコンテキスト保存・生成物の再利用に使える。自前 S3 + メタデータ DB を組んでいたユースケースを一段省略できる形で、portofolio の volatile blog 的な短命資産の保管先にも向きそう。
Cloudflare、AIエージェントがメール送受信を行える「Cloudflare Email Service」パブリックベータ公開
Cloudflare が AI エージェント向けのメール送受信 API Cloudflare Email Service をパブリックベータで提供開始。SendGrid / Resend 相当のトランザクションメールに加え、エージェントが受信メールを直接トリガーにできる流入口を提供する。line_bot 系の通知チャネルを将来メールに広げる場合や、予約システムのリマインド通知に応用できる選択肢。
【基礎】Google Cloud IAM の概念整理
GCP の IAM(Identity and Access Management)の公式オーバービュー。プリンシパル / ロール / 条件付きバインディング / リソース階層 / 組織ポリシーの関係を1枚で整理できる出発点。smart-stay-platform のような複数サービスを Cloud Run / Pub/Sub / Cloud SQL に分散させた構成では、サービスアカウント設計の甘さが最大の脆弱性源になるため、プロジェクト初期に必読。
DB 3
Postgres Weekly #644 — 6502エミュレータ・キュー運用・差分MV
Postgres Weekly #644 の注目トピック。PL/pgSQL で 6502 CPU エミュレータを作った変態実装、ジョブキューとして Postgres を使うときに autovacuum がどう詰まるかの運用解説、マテリアライズドビューの差分(O(delta))更新パッチ提案など、運用寄りネタが濃い号。smart-stay-platform の非同期ジョブを Pub/Sub ではなく Postgres キューに寄せる設計を検討している場合は2番目の記事が特に有用。
社内SQLチューニングコンテストの開催にあたって得られた知見
Forcia が社内で開催した SQL チューニングコンテストの設計と運営ノウハウ。EXPLAIN 読み・インデックス設計・集約の工夫を短時間で競う形式で、チームの DB リテラシーを引き上げるのに有効だった。予約システム / 集計バッチのパフォーマンス改善は個人スキルに依存しがちなので、smart-stay-platform のチーム運用にも移植できる施策。
【基礎】PostgreSQL のルーティン VACUUM
Postgres の VACUUM / autovacuum の公式解説。MVCC で増える不要タプルの回収、freeze による XID wraparound 防止、autovacuum_naptime などのチューニングポイントまで体系的にまとまった一次資料。予約 / 履歴系テーブルは UPDATE・DELETE の嵐になるため、smart-stay-platform の稼働後に必ず直面するチューニング項目として事前に把握しておきたい。
AI / LLM 5
Changes in the system prompt between Claude Opus 4.6 and 4.7
Anthropic が公開している Claude のシステムプロンプトを Simon が 4.6 と 4.7 で diff 解析。大きな変化は「Developer Platform → Claude Platform」リブランド、PowerPoint/Chrome/Excel 用エージェントの明示、`tool_search` の先制使用、子どもの安全・摂食障害まわりの強化、絵文字やアスタリスク禁止ポリシーの撤廃など。Claude Code を日常で使うなら、モデル挙動が変わった理由の理解に直結する必読記事。
Claude Token Counter, now with model comparisons
Simon が公開する Claude Token Counter がモデル間比較に対応。同じ入力を 4.6 / 4.7 / Sonnet / Haiku で比較でき、Opus 4.7 は 4.6 より約 1.46倍 トークンを消費する傾向が確認された。プロンプトキャッシュと短文化の重要性が相対的に増しており、Claude Code の $40/日運用チューニングを引き続き意識すべき局面。長文 CLAUDE.md を抱えるプロジェクトは棚卸しのタイミング。
プロンプトの再現性をAIに自動チューニングさせる方法 〜 暗黙知を排除する
mizchi 氏による 「評価 LLM にプロンプトを採点・改善させる」 経験的プロンプトチューニングの実践記事。人間が感覚で書いたプロンプトに対し、別モデルが弱点を指摘・再生成するループを回すことで、再現性が高くかつ誰が書いても同じ品質に収束する状態を目指す。Claude Code の CLAUDE.md / skill.md を継続改善する運用に直接流用できる考え方。
Claude Codeで実現した45の日常タスク自動化
東大卒筆者が Claude Code + MCP + hooks で日常業務45件を自動化した実録(はてブ474)。メール処理・カレンダー整理・通知要約・日次レポート生成などをテンプレ化し、スキル / サブエージェント / launchd トリガーへの落とし込みパターンを解説。/daily のような自作スキルを増やしていく際に、棚卸しと優先順位付けの参考になる。
YSK: If you use Claude on your company's Enterprise plan, your employer can access every message you've ever sent
企業契約の Claude Enterprise プランでは、incognito チャット含め従業員の全会話履歴を管理者が閲覧可能である点を周知するスレッド(1036 ups)。個人利用と業務利用の境界を混ぜないこと、機密入力の切り分け、個人 Claude Max を併用する運用の根拠として知っておくべき情報。就活・副業タスクを会社 Workspace の Claude で回している場合は特に要注意。