朝刊
注目トピック 15
Unauthorized group has gained access to Anthropic's exclusive cyber tool Mythos, report claims セキュリティ / CVE
Bloomberg が Anthropic の新 AI サイバーツール「Mythos」に未承認の第三者集団がアクセスしていると報道し、TechCrunch が詳細を追いかけた。Anthropic の第三者委託業者の従業員経由で認証情報が漏れ、他モデル公開時の URL 命名規則から Mythos のエンドポイントを推測して辿り着いたという手口。集団は Discord で未公開モデルを探す愛好家らで、スクリーンショットと実演を Bloomberg に提供済み。Anthropic は「Claude Mythos Preview への第三者ベンダー環境経由のアクセスについて調査中、自社システムへの影響は確認していない」と声明。Project Glasswing で Apple などごく一部ベンダーに限定配布するはずだった攻撃用 AI が現実に流出しており、MCP や自作エージェント文脈でも「第三者ベンダー経由で認証情報が漏れた場合、エンドポイント命名の規則性が即漏洩の引き金」という教訓は直接自分にも刺さる。
Announcing TypeScript 7.0 Beta JS / TS
Microsoft が 2026-04-21 に TypeScript 7.0 Beta を公開。TypeScript コンパイラを Go で書き直した新実装で、ネイティブコードと共有メモリ並列化により 6.0 比で約 10倍 速いと公式ベンチマーク。型チェックロジックは構造的に 6.0 と同等に保たれ、Bloomberg・Canva・Figma・Google など大規模コードベースで先行検証済み。ベータは `@typescript/native-preview` として配布 (`tsgo` エントリポイント)、安定版は従来通り `typescript` パッケージに載る予定。smart-stay-platform-frontend / line_bot / portofolio いずれも、既存コードの型チェック時間が劇的に短くなる可能性があり、IDE 体験の改善でも即効く。CI での tsc 実行時間がボトルネックのプロジェクトは、プレビュー版で早めに互換性検証を始める価値がある。
The Vercel breach: OAuth attack exposes risk in platform environment variables npm サプライチェーン
Trend Micro が 4/20 Vercel 侵害の詳細分析を公開。起点の Context.AI 侵害 → OAuth スコープの過剰付与 → Google Workspace 管理者権限奪取 → Vercel 内部リソース・顧客側環境変数への到達、という MITRE T1199 (信頼関係悪用) 型攻撃の全経路を時系列化している。影響範囲は Vercel 本体の 580 名の従業員情報と一部顧客 API キー / トークンで、IOC と Google Workspace 監査クエリ例まで添付。Vercel 系デプロイを使うプロジェクトは今日中に `vercel env ls` でサードパーティ由来の変数を棚卸しし、OAuth 連携 SaaS (Context.AI / Linear / Jira など) のスコープを最小化するのが現実的な対応。smart-stay-platform-frontend や portofolio でも、Cloudflare や GitHub の OAuth 付与先を併せて見直すトリガーに。
Anthropic tests how devs react to yanking Claude Code from Pro plan AI / LLM
Anthropic が 2026-04-21〜22 にかけ $20/月の Pro プランから Claude Code を静かに剥がし、Max プラン ($100/月〜) 限定へ変更。Head of Growth の Amol Avasare は「新規 Prosumer 登録の約 2% に対するテスト、既存 Pro/Max 契約者には影響しない」と説明するが、公式サイトのページ同士で記述が矛盾しており、開発者は SNS で事実を知る展開。GitHub Copilot も同時に Opus 4.6 を落として Opus 4.7 を $40 Pro+ 限定にするなど、Claude Code / Copilot / Gemini で揃って「プレミアム AI コーディングが $40+ 前提」へ露骨にシフトしている。自分は Max 契約なので当面影響ないが、依存度の高い道具だけに、Kimi K2.6 や Gemma 4・GoModel など「逃げ道」を常時用意しておくべき段階に入った。
Composer 2.9.6 fixes Perforce Driver Command Injection Vulnerabilities (CVE-2026-40261, CVE-2026-40176) セキュリティ / CVE
PHP の依存管理ツール Composer 2.9.6 / 2.2.27 LTS で Perforce VCS ドライバの 2 件のコマンドインジェクション CVE-2026-40261 / CVE-2026-40176 が修正された。`Perforce::generateP4Command()` の接続パラメータ (port/user/client) および `syncCodeBase()` のソース参照のエスケープ不足で、悪意ある composer.json・パッケージメタデータから任意コマンド実行に至る。Perforce を使っていない環境でも影響を受けるため、CI/CD で Composer を走らせている全プロジェクトが対象。緊急で 2.9.6 / 2.2.27 への更新と、`preferred-install: dist` への切替が推奨される。Packagist 側は 4/10 から Perforce 由来メタデータ公開を予防的に停止している。
Unsecured Perforce Servers Expose Sensitive Data From Major Orgs セキュリティ / CVE
研究者による調査で、認証なしで任意ファイル読み取りが可能な未セキュア設定の Perforce P4 サーバが 1,500 台以上インターネット公開されていることが判明。大企業のソースコードツリー・ビルド成果物・内部ドキュメントまで抜ける状態で、Composer の Perforce ドライバ欠陥と組み合わさると踏み台化も現実的。ゲーム業界・組込・制御系でレガシーな Perforce を運用している組織は即時 ACL と VPN 境界の見直しが必要。GitHub へ移行済みの個人プロジェクトでは縁遠いが、「VCS そのものを公開境界に置くと終わる」という教訓は SSH 公開や Gitea 自前運用でも再利用できる。
Choosing a Go Logging Library in 2026 Go
Go のロギングライブラリを 2026 年時点でどう選ぶか (slog / zap / zerolog / logr) を比較したスレッドで、68 ups と活発に議論中。slog が標準に組み込まれたことで zap・zerolog に対する「速度差」優位が相対化し、エコシステム統合・構造化フィールド伝搬・context バインディングの容易さで差が出る構図が整理されている。smart-stay-platform の各マイクロサービスは slog 移行候補で、OpenTelemetry との接続を想定するなら slog + slog-otel のラインが最短。ロガー差し替えは早期ほどコストが低い項目なので、今のうちに方針を決めて統一すると後で効く。
Show HN: GoModel – an open-source AI gateway in Go Go
Show HN で公開された GoModel は、Claude / OpenAI / Gemini などの LLM プロバイダを統一ゲートウェイ越しに扱える OSS AI Gateway の Go 実装。163 ポイントと伸び、Cloudflare AI Gateway の OSS 代替として注目されている。ルーティング・リトライ・レート制限・Prompt キャッシュをサービス境界に置けるため、個人開発で複数プロバイダをテストする時のコスト/信頼性制御や、自社環境に閉じ込めて監査ログを残すユースケースに刺さる。line_bot や smart-stay-platform で LLM 連携を足す時、自分で 0 から書かずにこれを挟む選択肢を持っておくと設計が楽になる。
Vercel、Webブラウザ上のターミナルエミュレータ「wterm」をオープンソースで公開。WebAssembly製でWebページに埋め込み可能 JS / TS
Vercel が WebAssembly 製のブラウザ内ターミナルエミュレータ wterm を OSS 公開。xterm.js 系の既存ライブラリより描画が速く、<script> タグで 1 行貼付けるだけで任意 Web ページに本格ターミナルを埋め込める。v0 / AI コーディングプロダクトの前提コンポーネントで、ドキュメント・オンボーディング・デモサイトで「コマンドを実際に試させる UX」を成立させる足回り。portofolio のブログで技術記事にライブターミナルを埋めたり、line_bot の管理画面で CLI デモを見せたい時に使える。Server Components / RSC とも親和性が高い設計で、WebContainer との組み合わせで「ブラウザ完結 IDE」を自前で作る難易度がさらに下がる。
Moving past bots vs. humans インフラ
Cloudflare が「bot か人か」の二分法を捨てる提案ポスト。匿名性を保ったまま振る舞いだけを証明する Privacy Pass 系の新プリミティブ (Anonymous Rate-Limit Credentials / Anonymous Credit Tokens)、HTTP Message Signatures を用いた Web Bot Authentication、issuer の分散化を核とする新しいアクセス制御モデルを示す。AI エージェント時代、正規な bot (OpenAI / Google / Claude) が巡回することを前提に「攻撃か・過剰クロールか・広告不正か」を文脈で判定する設計思想への転換。Cloudflare 配下で動く portofolio の Bot Management 設定を見直す契機で、自サービスを提供する側なら次の認可設計を先取りする価値が高い。
Orchestrating AI Code Review at scale インフラ
Cloudflare が社内で運用する OpenCode ベースの AI コードレビュー基盤を詳細公開。セキュリティ・性能・コード品質・ドキュメント・リリース管理・コンプライアンスなど最大 7 種のレビュアーエージェントを協調させ、30 日間で 131,246 レビュー / 48,095 MR を処理 (中央値 $0.98、P99 $4.45、3 分 39 秒)。プロンプト注入対策のサニタイズ、リスク階層別のモデル選択、85.7% のプロンプトキャッシュヒット率で 5 桁のトークン節約など、実戦的な設計が全部書かれている。Claude Code + Compound Engineering の自作レビュー工程をチーム展開する時の参考アーキテクチャとして必読で、smart-stay-platform に導入検討する場合もここを下敷きにすれば早い。
GoのSQLファーストORM「bun」が最高すぎたのでGORM・entとベンチマーク比較してみた DB
Go の SQL ファースト ORM 「bun」を GORM / ent とベンチマーク比較した Zenn 記事。N+1 を起こしやすいシナリオ、バルクインサート、JSON カラム、トランザクションネストなどで測定し、bun が全カテゴリで優位という結果。API としても「SQL を書けるなら嬉しい」層向けの粒度で、sqlc とは補完関係にある。smart-stay-platform は現状 sqlc + 生 SQL だが、管理画面や少し動的なクエリが必要な箇所で bun を部分採用する設計は現実的。ent の GraphQL 連携との比較軸も書かれており、ORM 選定を迫られた時に刺さる一次ソースになる。
Gemma 4 Vision AI / LLM
Google が Gemma 4 の Vision 対応版を公開し、r/LocalLLaMA で Apr 21 時点 237 ups と一気に伸びた。画像認識 + テキスト生成を同時にこなせるオープンウェイトで、ローカル GPU / Apple Silicon でも量子化版が動くためプライバシー要件の厳しい業務用途で候補に上がる。別スレでは Android 内蔵の Gemma 4 e4b モデルが抽出され Unsloth 版より上回る謎ベンチも出ている (172 ups)。Claude Code の料金シフトと合わせ、ローカルマルチモーダルを一度真面目に評価するタイミングで、line_bot の画像解析や smart-stay-platform の部屋写真タグ付けなど、機密境界の内側で効かせられるユースケースは意外に広い。
Claude Code ユーザーのためのプロンプトキャッシュ入門 AI / LLM
Claude Code のプロンプトキャッシュ挙動を日本語で整理した Zenn 記事 (oga_aiichiro 氏、4/21)。プリフィル vs デコードの仕組み、Claude Code が自動的にキャッシュする対象 (system prompt / tools / CLAUDE.md / 会話履歴)、キャッシュヒット時は通常料金の 10%・ミス時は再構築が 12.5倍 というコスト構造、TTL が Pro は 5 分・Max は 1 時間という差を明示。キャッシュ切れ前に軽量 keepalive を送る、長時間離席する前にセッションを閉じる、途中でモデル切替や CLAUDE.md 編集をしないなど実務的な節約手順まで踏み込んでいる。Pro 剥奪のニュースと合わせ、Max ユーザーでも消費を平常時で半分以下にできる可能性があるレシピ。
いい CLAUDE.md なのか、Claude Code と計測・分析してみた AI / LLM
Progate のエンジニアが自社フロントエンドリポジトリの CLAUDE.md を 329 行 → 131 行 (60% 削減) に整理し、`claude -p ... --output-format json --max-turns 20` で実行時間・トークン・コストを測って Before/After を比較した実験記事 (4/21)。コード探索系質問は定量評価が利き、短い CLAUDE.md でも品質維持しつつ平均コストが $0.234 → $0.207 に低下。逆にエラー診断系質問は分散が大きく定性評価向き、という実務的な切り分けも示される。自分の CLAUDE.md / skill.md を継続改善する時、どの問いで計測するかの型を丸ごと借用できる。
セキュリティ / CVE 5
Unauthorized group has gained access to Anthropic's exclusive cyber tool Mythos, report claims
Bloomberg が Anthropic の新 AI サイバーツール「Mythos」に未承認の第三者集団がアクセスしていると報道し、TechCrunch が詳細を追いかけた。Anthropic の第三者委託業者の従業員経由で認証情報が漏れ、他モデル公開時の URL 命名規則から Mythos のエンドポイントを推測して辿り着いたという手口。集団は Discord で未公開モデルを探す愛好家らで、スクリーンショットと実演を Bloomberg に提供済み。Anthropic は「Claude Mythos Preview への第三者ベンダー環境経由のアクセスについて調査中、自社システムへの影響は確認していない」と声明。Project Glasswing で Apple などごく一部ベンダーに限定配布するはずだった攻撃用 AI が現実に流出しており、MCP や自作エージェント文脈でも「第三者ベンダー経由で認証情報が漏れた場合、エンドポイント命名の規則性が即漏洩の引き金」という教訓は直接自分にも刺さる。
Composer 2.9.6 fixes Perforce Driver Command Injection Vulnerabilities (CVE-2026-40261, CVE-2026-40176)
PHP の依存管理ツール Composer 2.9.6 / 2.2.27 LTS で Perforce VCS ドライバの 2 件のコマンドインジェクション CVE-2026-40261 / CVE-2026-40176 が修正された。`Perforce::generateP4Command()` の接続パラメータ (port/user/client) および `syncCodeBase()` のソース参照のエスケープ不足で、悪意ある composer.json・パッケージメタデータから任意コマンド実行に至る。Perforce を使っていない環境でも影響を受けるため、CI/CD で Composer を走らせている全プロジェクトが対象。緊急で 2.9.6 / 2.2.27 への更新と、`preferred-install: dist` への切替が推奨される。Packagist 側は 4/10 から Perforce 由来メタデータ公開を予防的に停止している。
Unsecured Perforce Servers Expose Sensitive Data From Major Orgs
研究者による調査で、認証なしで任意ファイル読み取りが可能な未セキュア設定の Perforce P4 サーバが 1,500 台以上インターネット公開されていることが判明。大企業のソースコードツリー・ビルド成果物・内部ドキュメントまで抜ける状態で、Composer の Perforce ドライバ欠陥と組み合わさると踏み台化も現実的。ゲーム業界・組込・制御系でレガシーな Perforce を運用している組織は即時 ACL と VPN 境界の見直しが必要。GitHub へ移行済みの個人プロジェクトでは縁遠いが、「VCS そのものを公開境界に置くと終わる」という教訓は SSH 公開や Gitea 自前運用でも再利用できる。
Two new critical Spinnaker vulns allow RCE and production access
Netflix 発の CI/CD プラットフォーム Spinnaker に、未認証 RCE と本番環境への不正アクセスを許す Critical 脆弱性 2 件が公開された。SaaS / 大企業の多段デプロイで採用例が多く、攻撃が通れば本番クラスタへの任意デプロイ権限まで握られる影響度。自組織が Spinnaker を運用している or 運用中のプロジェクトに触れる立場なら、即時パッチ適用と管理画面への IP 制限・OAuth スコープ縮小の棚卸しが必要。smart-stay-platform は GitHub Actions + 手動デプロイなので直接影響はないが、将来的に複数環境ローリングデプロイを組む際の「CD プラットフォーム選定」で Spinnaker 採用時のセキュリティ運用コストを想起しておく材料。
Early version of EU's age verification app is apparently hackable in less than two minutes
EU が試験展開中の統一年齢認証アプリの初期バージョンが、2 分未満で突破可能と研究者が実演報告。署名検証の甘さ・年齢クレームの改ざん耐性不足・ローカルストレージでの鍵管理欠陥が重なり、アダルトコンテンツ規制回避などに悪用可能な状態。EU 域で SaaS を展開する場合、これを ID 基盤に組み込む前に現実的な成熟度評価が必須。認証・KYC を「政府発行アプリ」に寄せる設計は当面リスクが高く、就活中に海外系企業の ID フローをレビューする文脈でも耐脆弱性の観点で見ておきたい話題。
Go 5
Choosing a Go Logging Library in 2026
Go のロギングライブラリを 2026 年時点でどう選ぶか (slog / zap / zerolog / logr) を比較したスレッドで、68 ups と活発に議論中。slog が標準に組み込まれたことで zap・zerolog に対する「速度差」優位が相対化し、エコシステム統合・構造化フィールド伝搬・context バインディングの容易さで差が出る構図が整理されている。smart-stay-platform の各マイクロサービスは slog 移行候補で、OpenTelemetry との接続を想定するなら slog + slog-otel のラインが最短。ロガー差し替えは早期ほどコストが低い項目なので、今のうちに方針を決めて統一すると後で効く。
Show HN: GoModel – an open-source AI gateway in Go
Show HN で公開された GoModel は、Claude / OpenAI / Gemini などの LLM プロバイダを統一ゲートウェイ越しに扱える OSS AI Gateway の Go 実装。163 ポイントと伸び、Cloudflare AI Gateway の OSS 代替として注目されている。ルーティング・リトライ・レート制限・Prompt キャッシュをサービス境界に置けるため、個人開発で複数プロバイダをテストする時のコスト/信頼性制御や、自社環境に閉じ込めて監査ログを残すユースケースに刺さる。line_bot や smart-stay-platform で LLM 連携を足す時、自分で 0 から書かずにこれを挟む選択肢を持っておくと設計が楽になる。
tmplx - Reactive hypermedia framework in Go & HTML
Go と HTML だけでリアクティブ UI を作る新フレームワーク tmplx が公開。HTMX の哲学を継承しつつ、サーバサイドコンポーネント・部分更新・フォーム状態管理を Go のテンプレート体系に統合している。React + Next.js のような SPA 設計が要らないユースケース (管理画面・社内ツール・LP) で、フロントエンド層を大きく削減できる選択肢。portofolio のブログ管理 UI や smart-stay-platform の運用者向け管理画面を Go で完結させたい時の有力候補。
Practical example of pointers in Go: Search engine for IMDb
Go のポインタ / 値渡し / スライスの参照挙動を、IMDb のデータを検索する小さな検索エンジンを題材に整理した実例記事。初学者が「いつポインタを取るべきか」を誤る典型ケース (構造体の巨大化、スライスへの追加でレシーバが変わる問題など) を実測しつつ説明している。普段ポインタの有無を感覚で決めている層にとって、意思決定を言語化する教材として便利。チームメンバーに Go のレビューコメントを書く時のリファレンスにも使える。
Effective Go — Interfaces
Effective Go のインターフェース章。Go における「インターフェースは使う側が定義する (accept interfaces, return structs)」の思想、空インターフェース・埋め込み・型アサーションの使い分け、io.Reader/Writer のような小さいインターフェースが広く合成される美学を解説する。smart-stay-platform のマイクロサービス境界や todo_cli のストレージ抽象で、interface を先に切りすぎる失敗を避ける羅針盤として機能する。TypeScript のリポジトリ I/F 論争とも通底する設計観として読んでおきたい。
JS / TS 2
Announcing TypeScript 7.0 Beta
Microsoft が 2026-04-21 に TypeScript 7.0 Beta を公開。TypeScript コンパイラを Go で書き直した新実装で、ネイティブコードと共有メモリ並列化により 6.0 比で約 10倍 速いと公式ベンチマーク。型チェックロジックは構造的に 6.0 と同等に保たれ、Bloomberg・Canva・Figma・Google など大規模コードベースで先行検証済み。ベータは `@typescript/native-preview` として配布 (`tsgo` エントリポイント)、安定版は従来通り `typescript` パッケージに載る予定。smart-stay-platform-frontend / line_bot / portofolio いずれも、既存コードの型チェック時間が劇的に短くなる可能性があり、IDE 体験の改善でも即効く。CI での tsc 実行時間がボトルネックのプロジェクトは、プレビュー版で早めに互換性検証を始める価値がある。
Vercel、Webブラウザ上のターミナルエミュレータ「wterm」をオープンソースで公開。WebAssembly製でWebページに埋め込み可能
Vercel が WebAssembly 製のブラウザ内ターミナルエミュレータ wterm を OSS 公開。xterm.js 系の既存ライブラリより描画が速く、<script> タグで 1 行貼付けるだけで任意 Web ページに本格ターミナルを埋め込める。v0 / AI コーディングプロダクトの前提コンポーネントで、ドキュメント・オンボーディング・デモサイトで「コマンドを実際に試させる UX」を成立させる足回り。portofolio のブログで技術記事にライブターミナルを埋めたり、line_bot の管理画面で CLI デモを見せたい時に使える。Server Components / RSC とも親和性が高い設計で、WebContainer との組み合わせで「ブラウザ完結 IDE」を自前で作る難易度がさらに下がる。
npm サプライチェーン 2
The Vercel breach: OAuth attack exposes risk in platform environment variables
Trend Micro が 4/20 Vercel 侵害の詳細分析を公開。起点の Context.AI 侵害 → OAuth スコープの過剰付与 → Google Workspace 管理者権限奪取 → Vercel 内部リソース・顧客側環境変数への到達、という MITRE T1199 (信頼関係悪用) 型攻撃の全経路を時系列化している。影響範囲は Vercel 本体の 580 名の従業員情報と一部顧客 API キー / トークンで、IOC と Google Workspace 監査クエリ例まで添付。Vercel 系デプロイを使うプロジェクトは今日中に `vercel env ls` でサードパーティ由来の変数を棚卸しし、OAuth 連携 SaaS (Context.AI / Linear / Jira など) のスコープを最小化するのが現実的な対応。smart-stay-platform-frontend や portofolio でも、Cloudflare や GitHub の OAuth 付与先を併せて見直すトリガーに。
Introducing Reports: An Extensible Reporting Framework for Socket Data
Socket が 4/21 に分析画面を一新した Reports 機能を公開。Top 25 CWE / Top 10 OWASP / ライセンス分布 / スコア分布 / Firewall イベント推移などを組織単位・リポジトリ単位で可視化し、各チャートを PNG 出力できる。社内レビュー / 経営報告 / SOC レポートで毎回手作業で作っていたグラフを流用できる形で、継続的サプライチェーン監視のオペレーションコストを下げる系の機能強化。line_bot / smart-stay-platform-frontend を Socket で監視している個人 / 小規模チームでも、無料枠でレポート配布が楽になる。
インフラ 3
Moving past bots vs. humans
Cloudflare が「bot か人か」の二分法を捨てる提案ポスト。匿名性を保ったまま振る舞いだけを証明する Privacy Pass 系の新プリミティブ (Anonymous Rate-Limit Credentials / Anonymous Credit Tokens)、HTTP Message Signatures を用いた Web Bot Authentication、issuer の分散化を核とする新しいアクセス制御モデルを示す。AI エージェント時代、正規な bot (OpenAI / Google / Claude) が巡回することを前提に「攻撃か・過剰クロールか・広告不正か」を文脈で判定する設計思想への転換。Cloudflare 配下で動く portofolio の Bot Management 設定を見直す契機で、自サービスを提供する側なら次の認可設計を先取りする価値が高い。
Orchestrating AI Code Review at scale
Cloudflare が社内で運用する OpenCode ベースの AI コードレビュー基盤を詳細公開。セキュリティ・性能・コード品質・ドキュメント・リリース管理・コンプライアンスなど最大 7 種のレビュアーエージェントを協調させ、30 日間で 131,246 レビュー / 48,095 MR を処理 (中央値 $0.98、P99 $4.45、3 分 39 秒)。プロンプト注入対策のサニタイズ、リスク階層別のモデル選択、85.7% のプロンプトキャッシュヒット率で 5 桁のトークン節約など、実戦的な設計が全部書かれている。Claude Code + Compound Engineering の自作レビュー工程をチーム展開する時の参考アーキテクチャとして必読で、smart-stay-platform に導入検討する場合もここを下敷きにすれば早い。
Cloud Run: Using secrets
Cloud Run と Secret Manager の統合方法を解説する公式基礎ガイド。環境変数としてマウントする方式とファイルとしてマウントする方式の違い、特定バージョン固定・最新参照の使い分け、サービスアカウントへの `secretmanager.secretAccessor` 付与、ローリング更新時の挙動までカバー。Firebase × Gemini の 900 万円請求事案のように、API キーがソースに直書きされる事故を構造的に封じるには、この基本を押さえた上で `.env.example` だけを Git に置く運用が前提になる。smart-stay-platform の各マイクロサービスを将来 Cloud Run に寄せる時、最初に敷く設定として刷り込んでおきたい。
DB 3
GoのSQLファーストORM「bun」が最高すぎたのでGORM・entとベンチマーク比較してみた
Go の SQL ファースト ORM 「bun」を GORM / ent とベンチマーク比較した Zenn 記事。N+1 を起こしやすいシナリオ、バルクインサート、JSON カラム、トランザクションネストなどで測定し、bun が全カテゴリで優位という結果。API としても「SQL を書けるなら嬉しい」層向けの粒度で、sqlc とは補完関係にある。smart-stay-platform は現状 sqlc + 生 SQL だが、管理画面や少し動的なクエリが必要な箇所で bun を部分採用する設計は現実的。ent の GraphQL 連携との比較軸も書かれており、ORM 選定を迫られた時に刺さる一次ソースになる。
膨れたテーブルに触れない:「打たない判断」とストラングラーパターン
本番で肥大化した単一テーブルに ALTER TABLE を打たず、新テーブルへ段階的に書き込みを移し replay → 切替 → 旧削除とつなぐストラングラーパターンの実践記事。ダウンタイムとロック時間を最小化する DDL 戦略として定石になっており、長期運用フェーズの Postgres / MySQL どちらでも有用。smart-stay-platform の予約テーブルは将来爆発的に膨らむことが想定されるので、「その時触らずに逃げる」選択肢を事前に頭に入れておくだけで設計判断が変わる。MVCC 起因の bloat と合わせ、大きな変更を段階的に行うための実務的な指針を得られる。
Using EXPLAIN
PostgreSQL の EXPLAIN / EXPLAIN ANALYZE / EXPLAIN (ANALYZE, BUFFERS) の読み方を公式ドキュメントで整理するページ。Seq Scan / Index Scan / Bitmap / Hash Join / Merge Join など各ノードの意味、rows 推定と実測の乖離の読み取り、planner が選ぶコスト計算の直感、BUFFERS を付けた時のキャッシュ vs ディスクの比率まで体系的。Slow Query を改善する場面で「まずは EXPLAIN」の型を身に付けると、sqlc で書いた SQL のチューニングが勘ではなく定量で回せるようになる。smart-stay-platform の予約検索や履歴集計など、普段触らない経路を本番投入前に一度計画読みしておきたい。
AI / LLM 4
Anthropic tests how devs react to yanking Claude Code from Pro plan
Anthropic が 2026-04-21〜22 にかけ $20/月の Pro プランから Claude Code を静かに剥がし、Max プラン ($100/月〜) 限定へ変更。Head of Growth の Amol Avasare は「新規 Prosumer 登録の約 2% に対するテスト、既存 Pro/Max 契約者には影響しない」と説明するが、公式サイトのページ同士で記述が矛盾しており、開発者は SNS で事実を知る展開。GitHub Copilot も同時に Opus 4.6 を落として Opus 4.7 を $40 Pro+ 限定にするなど、Claude Code / Copilot / Gemini で揃って「プレミアム AI コーディングが $40+ 前提」へ露骨にシフトしている。自分は Max 契約なので当面影響ないが、依存度の高い道具だけに、Kimi K2.6 や Gemma 4・GoModel など「逃げ道」を常時用意しておくべき段階に入った。
Gemma 4 Vision
Google が Gemma 4 の Vision 対応版を公開し、r/LocalLLaMA で Apr 21 時点 237 ups と一気に伸びた。画像認識 + テキスト生成を同時にこなせるオープンウェイトで、ローカル GPU / Apple Silicon でも量子化版が動くためプライバシー要件の厳しい業務用途で候補に上がる。別スレでは Android 内蔵の Gemma 4 e4b モデルが抽出され Unsloth 版より上回る謎ベンチも出ている (172 ups)。Claude Code の料金シフトと合わせ、ローカルマルチモーダルを一度真面目に評価するタイミングで、line_bot の画像解析や smart-stay-platform の部屋写真タグ付けなど、機密境界の内側で効かせられるユースケースは意外に広い。
Claude Code ユーザーのためのプロンプトキャッシュ入門
Claude Code のプロンプトキャッシュ挙動を日本語で整理した Zenn 記事 (oga_aiichiro 氏、4/21)。プリフィル vs デコードの仕組み、Claude Code が自動的にキャッシュする対象 (system prompt / tools / CLAUDE.md / 会話履歴)、キャッシュヒット時は通常料金の 10%・ミス時は再構築が 12.5倍 というコスト構造、TTL が Pro は 5 分・Max は 1 時間という差を明示。キャッシュ切れ前に軽量 keepalive を送る、長時間離席する前にセッションを閉じる、途中でモデル切替や CLAUDE.md 編集をしないなど実務的な節約手順まで踏み込んでいる。Pro 剥奪のニュースと合わせ、Max ユーザーでも消費を平常時で半分以下にできる可能性があるレシピ。
いい CLAUDE.md なのか、Claude Code と計測・分析してみた
Progate のエンジニアが自社フロントエンドリポジトリの CLAUDE.md を 329 行 → 131 行 (60% 削減) に整理し、`claude -p ... --output-format json --max-turns 20` で実行時間・トークン・コストを測って Before/After を比較した実験記事 (4/21)。コード探索系質問は定量評価が利き、短い CLAUDE.md でも品質維持しつつ平均コストが $0.234 → $0.207 に低下。逆にエラー診断系質問は分散が大きく定性評価向き、という実務的な切り分けも示される。自分の CLAUDE.md / skill.md を継続改善する時、どの問いで計測するかの型を丸ごと借用できる。