GitHub Actions スクリプトインジェクション完全解説 — ${{ }} を run に書いた瞬間、攻撃が始まる @koki_develop 氏のポストで紹介された Zenn 記事が話題になっています。 書きました。GitHub Actions 触る人は全員知っておいてほしい 【GitHub Actions】スクリプトインジェクションの実践例（koki 氏）は、GitHub Actions ワークフローにおけるスクリプトインジェクションの仕組みを具体的なコード例で解説した記事です。「プライベートリポジトリなら大丈夫？」という疑問にも明確に「安全ではない」と回答しています。 2025 年には GhostAction キャンペーンで 3,325 件のシークレットが窃取され、tj-actions/changed-files のサプライチェーン攻撃では 23,000 以上のリポジトリが影響を受けました。スクリプトインジェクションは理論上の脅威ではなく、現在進行形のリスクです。 スクリプトインジェクションとは何か GitHub Actions の ${{ }} 式は、シェルがコマンドを解析する前にテンプレートエンジンによって展開されます。この順序が脆弱性の根本原因です。 通常の期待: ${{ github.event.pull_request.title }} → 文字列として処理される 実際の動作: ${{ github.event.pull_request.title }} → 値がそのままシェルスクリプトに埋め込まれる → シェルがコマンドとして解釈する つまり、PR タイトルやブランチ名など攻撃者が制御可能な値が、そのままシェルコマンドの一部になります。 攻撃の実践例 攻撃 1: PR タイトルによるインジェクション 脆弱なワークフロー: 1 2 3 4 5 6 7 8 on: pull_request: jobs: example: runs-on: ubuntu-latest steps: - run: echo "PR title is ${{ github.event.pull_request.title }}" 攻撃者が PR タイトルを "; echo INJECTED" に設定すると: ...

GitNexus × ゼロサーバーコード知能 — ナレッジグラフで「影響範囲」を可視化する新しいコードリーディング @sukh_saroy 氏が X で紹介した、コードベース全体を知識グラフに変換するツールが注目を集めています。 GitNexus: A zero-server code intelligence engine that transforms your codebase into a navigable knowledge graph. GitNexus は、コードベースをナレッジグラフに変換し、関数の呼び出し関係・継承・インポートの依存を構造的に把握できるコード知能エンジンです。サーバー不要で完全にローカル実行でき、Claude Code や Cursor などの AI コーディングツールと MCP（Model Context Protocol）で連携します。 本記事では、GitNexus の仕組み、従来のコード検索との違い、そして AI エージェント時代に「コードの影響範囲を知る」ことがなぜ重要かを解説します。 従来のコード検索の限界 grep/ripgrep では見えないもの エンジニアがコードベースを理解する方法は、長い間「テキスト検索」が中心でした。 従来のコード理解の方法: grep / ripgrep: ├── 文字列の一致を検索 ├── ファイル横断で高速 └── 限界: 「この関数を変更したら何が壊れるか」は分からない IDE の「参照を検索」: ├── シンボルの参照箇所を表示 ├── 型情報を活用 └── 限界: 間接的な依存（A→B→C）は追いきれない 手動でコードを読む: ├── 最も確実だが最も遅い └── 限界: 大規模コードベースでは現実的でない これらの方法に共通する問題は、コードの「関係性」が見えないことです。「この関数を呼んでいる場所」は分かっても、「この関数を変更したときの影響が最終的にどこまで波及するか」は分かりません。 AI コーディングツールの盲点 Claude Code や Cursor などの AI コーディングツールは、コードベースを理解する能力が飛躍的に向上しました。しかし、根本的な制約があります。 ...

Google Antigravity × Claude Code × Gemini × Nano Banana — AI時代の開発環境レイアウト設計 KAWAI さん（@kawai_design）が、Google Antigravity 上で Claude Code を主役にした開発環境のレイアウトを公開し、大きな反響を呼んでいます。 ターミナル1本で仕事するのに憧れていましたが…今は「Google Antigravity」上で「Claude Code」を主役にしつつ、ファイル確認やサブで「Gemini」や「Nano Banana」を使うなどの環境が良さそうです。ターミナルだとディレクトリ構造とかファイルの中身を確認するのが大変。 https://x.com/kawai_design/status/2029194729850835141 420 いいね・22 RT を集めたこのポストが示すのは、「ターミナル原理主義」でも「IDE 至上主義」でもない、AI ツールを組み合わせた実用的なワークスペース設計です。 KAWAI さんのレイアウト構成 公開された画像から、4つのペインで構成されたレイアウトが確認できます。 ┌──────────────────┬───────────────────────┬──────────────┐ │ │ │ │ │ フォルダと │ ファイルの中身を確認 │ Antigravity │ │ ファイルを確認 │ （エディタ領域） │ 用チャット │ │ │ │ (Agent) │ │ エクスプローラー │ │ │ │ ├───────────────────────┤ Gemini / │ │ │ │ Claude │ │ │ Claude Code用 │ Opus 4.6 │ │ │ ターミナル │ │ │ │ │ │ └──────────────────┴───────────────────────┴──────────────┘ 領域 役割 ツール 左サイドバー ディレクトリ構造の確認 Antigravity エクスプローラー 中央上 ファイル内容の閲覧・編集 Antigravity エディタ 中央下 Claude Code の実行 ターミナル（CLI） 右サイドバー AI チャット（質問・指示） Antigravity Agent パネル Claude Code はターミナルで CLI として実行し、Antigravity の Agent パネルで Gemini や他のモデルを補助的に使う構成です。 ...

Google Workspace CLI（gws）— Drive・Gmail・Calendar を 1 コマンドで操作する AI エージェント対応ツール @dify_base のポストが話題になっています。 Google がついに「Workspace を操作できる CLI」を公開。名前は「gws」。Drive、Gmail、Calendar、Sheets、Docs / Chat / Admin 対応。AI エージェント対応で 100 以上の Skill 付き。 Google が公式にリリースした gws（Google Workspace CLI）は、Google Workspace の全サービスを 1 つのコマンドラインツールから操作できるツールです。最大の特徴は Discovery Service による動的 API 構築と、100 以上の AI エージェントスキルの同梱です。Claude Code や Gemini CLI から MCP 経由で Google Workspace を操作する未来が、公式ツールとして実現しました。 gws とは何か — Discovery Service で動的に構築される CLI 従来の CLI ツールはコマンドをハードコードして出荷します。API が追加されればツールのアップデートが必要です。gws はこのアプローチを根本から変えています。 従来の CLI: 開発者がコマンドを定義 → ビルド → リリース → ユーザーがアップデート gws: 起動時に Discovery Service を読み取り → コマンドツリーを動的構築 → Google が API を追加すれば gws が自動的に対応 Google Discovery Service は Google の全 API のスキーマ（リソース・メソッド・パラメータ）を機械可読な形式で公開しています。gws はこれを実行時に読み取り、2 フェーズでコマンドを構築します。 ...

Goose 完全ガイド — Block が作った無料オープンソース AI エージェントの全貌 Block（旧 Square）が開発するオープンソース AI エージェント Goose は、GitHub で 32,400 スターを獲得し、Linux Foundation の Agentic AI Foundation（AAIF）の創設プロジェクトに選ばれた、エージェント AI 時代の基盤ソフトウェアです。 Claude Code costs up to $200 a month. Goose does the same thing for free. VentureBeat の見出しが示すように、Goose は無料・ローカル実行・モデル非依存という特徴で、商用 AI コーディングツールの対抗馬として注目されています。Block 内部では従業員 12,000 人の 60% が毎週 Goose を使用し、開発時間 50〜75% 削減を報告しています。 Goose とは何か Goose は「ローカルで動く、拡張可能な、オープンソースの AI エージェント」です。単なるコード補完ではなく、プロジェクトの構築・コード実行・デバッグ・ワークフローの統合を自律的に行います。 基本情報 項目 内容 開発元 Block, Inc.（旧 Square / Jack Dorsey 創業） 公開日 2025年1月28日 ライセンス Apache 2.0 言語構成 Rust 57.4%、TypeScript 34.9% GitHub Stars 32,400+ コントリビューター 409 人 リリース 121 回以上（最新 v1.27.0） インターフェース CLI + デスクトップアプリ 対応 OS macOS / Linux / Windows 費用 無料（LLM API 費用は別途） なぜ Block が作ったのか Goose は Block のエンジニアがソフトウェア開発を効率化するために内部ツールとして開発したことに端を発します。Jack Dorsey はオープンソースの推進者として知られ、Goose は Block の新設オープンソースオフィスから公開された最初のプロジェクトです。 ...

MIT CISR「AI時代のビジネスモデル」4象限フレームワーク — 2,378社12年調査が示す「成果志向 × 自律AI」への進化 @MITSloan（MIT Sloan School of Management）のポストが、MIT CISR（Center for Information Systems Research）が開発した「AI時代のビジネスモデルフレームワーク」を紹介しています。2013年から2025年にかけて2,378社を調査した研究に基づき、AI時代のビジネスモデルが「成果志向」と「自律AI」の方向に進化していく道筋を4象限で示しています。 With the rapid adoption of AI technologies, @MIT_CISR created a business model framework for the AI era that shows businesses evolving to become increasingly outcome oriented and enabled by autonomous AI. MIT CISR とは — IT 経営研究の世界的権威 MIT CISR は、MIT スローン経営大学院内に設置された情報システム研究センターです。1974年の設立以来、企業の IT 活用と経営戦略の関係を研究してきました。主任研究員の Peter Weill 氏と Stephanie Woerner 氏は、デジタルビジネスモデルの分類フレームワークで世界的に知られています。 日本語訳書籍『デジタル・ビジネスモデル — 次世代企業になるための6つの問い』（日本経済新聞出版、野村総合研究所訳）は、日本企業の DX 戦略にも大きな影響を与えてきました。 ...

NotebookLM 2026 年完全ガイド — 9 つの Studio 機能とハルシネーションを構造的に防ぐ設計 えーたん(@ai_jitan) 氏が「NotebookLM の全機能を、本気で全部書く。【2026 年完全版】」という note 記事を公開し、大きな反響を呼んでいます。 保存必須！！ってか NotebookLM 使ってない人、マジで損してる。1 日の時間増えますよ。営業マンとかもまじで — @Via00Via 渾身の一撃。全 X 民は完全必読で保存必須 — @shintaro2575 元記事: NotebookLM の全機能を、本気で全部書く。【2026 年完全版】（note） 2026 年現在、NotebookLM は単なる「AI チャットツール」ではありません。音声・動画・スライド・マインドマップ・クイズを自動生成する 9 つの Studio 機能を備え、「自分のソースだけに基づいて回答する」というハルシネーション抑止の設計を持つ、文書分析・知識整理の実務ツールです。 NotebookLM とは Google が提供する AI ツールで、自分がアップロードしたドキュメントだけを情報源として使うのが最大の特徴です。ChatGPT や Claude が学習データ全体から回答を生成するのに対し、NotebookLM はアップロードされたソース外の情報を出力しません。 基盤技術 項目 内容 基盤モデル Gemini 2.5 Flash（2025 年 5 月移行） 動作原理 ソースグラウンディング（実質的に RAG） 最大ソース数 50 件/ノートブック（Pro 版は 300 件） 対応形式 PDF、Google ドキュメント、スライド、URL、テキスト、音声、YouTube Google のエンジニアは「RAG（Retrieval-Augmented Generation）」という用語を意図的に避け、「ソースグラウンディング」と呼んでいます。動作原理は以下の通りです。 1. アップロードしたドキュメントをベクトル空間にインデックス化 2. 質問に対して最も関連性の高いチャンクを検索・取得 3. Gemini が該当チャンクを参照して回答を生成 4. レスポンスに各ソースへのインライン引用を付与 ソース外の情報を出力しない設計のため、ハルシネーションリスクが構造的に低く抑えられます。これが法務・医療・内部資料分析など、信頼性が重要な業務で選ばれる理由です。 ...

Obsidian × Claude Code で「AIセカンドブレイン」を構築する — コンテキストがプロンプトに勝つ時代 Noah Vincent さん（@noahvnct）が、Obsidian と Claude Code を組み合わせた「AI セカンドブレイン」の構築方法を公開し、大きな反響を集めています。 Steal My AI Second Brain Setup With Obsidian + Claude Code (For Free) https://x.com/noahvnct/status/2029222820257935369 645 いいね・76 RT・1,741 ブックマークを集めたこのポストが紹介するのは、Obsidian の Vault（保管庫）に Claude Code を住まわせ、あなたの知識・プロジェクト・好みを全て理解した AI パートナーを作る方法です。Noah さんの主張の核心は「Context beats prompts. Always.（コンテキストはプロンプトに常に勝つ）」という一文に集約されています。 セカンドブレインとは何か 「セカンドブレイン」は、Tiago Forte が提唱した個人知識管理の概念です。本、記事、動画、ポッドキャストから得た知識を外部の仕組みに保存し、必要なときに取り出せるようにするシステムです。 従来のセカンドブレインの課題 多くの人がノートアプリに情報を溜め込みますが、実際にはほとんど活用できていません。 従来のセカンドブレイン: インプット（本・記事・動画） → ノートを取る → フォルダに保存 → 忘れる → 検索しても見つからない → 同じ情報を再度インプット 問題は「保存」と「活用」の間にあるギャップです。ノートは増え続けるが、必要なときに必要な情報を引き出す仕組みがない。Noah さんはこの問題を「誰も解決していなかった問題」と呼んでいます。 AI セカンドブレインの解決策 Claude Code を Obsidian Vault の中で動かすことで、このギャップが埋まります。 ...

OpenClaw × Scrapling — AIエージェントが「検出不能なスクレイピング」を手にした日 RoundtableSpace（@roundtablespace）が、OpenClaw の新しいスクレイピング能力を紹介するポストを投稿し、大きな反響を集めています。 OpenClaw can now scrape any website without getting blocked - zero bot detection, bypasses Cloudflare natively, 774x faster than BeautifulSoup. No selector maintenance. No workarounds. Just data. THIS IS AN UNFAIR ADVANTAGE AND IT’S FULLY OPEN SOURCE. https://x.com/RoundtableSpace/status/2029191380212257159 5,059 いいね・424 RT・8,120 ブックマークを集めたこのポストが紹介しているのは、OpenClaw と Scrapling というオープンソース Python ライブラリの組み合わせです。AIエージェントが Cloudflare の防御を突破し、検出されずにあらゆるウェブサイトからデータを取得できるという主張は、技術コミュニティで論争を引き起こしています。 Scrapling とは何か Scrapling は、GitHub で 22,400 スターを獲得しているオープンソースの Python スクレイピングフレームワークです。開発者は Karim Shoair（D4Vinci）で、「適応型ウェブスクレイピング」を謳っています。 3つの Fetcher Scrapling の中核は、用途別に設計された3つの Fetcher です。 ...

OpenClaw 22,000字解説のファクトチェック — 「AIエージェントの民主化」煽りと技術的実態の分離 @unikoukokun 氏が X で投稿した、OpenClaw に関する約 22,000 字の長文解説が話題になっています。 OpenClawがなぜ凄いか。ClaudeCodeで充分じゃね？という人向け 「AIエージェントの民主化」「1人で1,000人分の生産性」「100席の椅子取りゲーム」—強烈な表現で OpenClaw の導入を訴える記事です。技術的な情報と煽り的な主張が混在しているため、本記事ではファクトチェックを行い、正確な情報と誇張を分離します。 元記事の概要 ユニコ氏の記事は、OpenClaw を以下の観点から解説しています。 元記事の主要な主張: 1. OpenClaw は「AIエージェントの民主化」: ローカル実行の分散型 AI エージェント Manus（中央集権型）との構造的な違い 2. 3 つの技術的優位性: 外部サービス連携（23+ プラットフォーム） セッション横断型メモリー（Memory MD） ブラウザユース（Browser Use） 3. ビジネスへのインパクト: フリーランスの武器、中小企業の DX ツール 1 人で 1,000 人分の生産性 4. Claude Code との使い分け: 「作る」時は Claude Code、「使う・動かす」時は OpenClaw 全体で約 22,000 字、13 セクション以上の大作です。技術解説としての価値がある一方、煽り的な表現も多く含まれています。 ファクトチェック: 7 つの主要な主張を検証 主張 1: GitHub スター数 247,000 超、フォーク数 47,700 超 判定 概ね正しい（記事時点の数値） 記事の数値は 2026 年 2 月下旬時点のものとして妥当です。2026 年 3 月時点ではスター数 263,000 超、フォーク数 50,400 超にまで成長しており、React を抜いて GitHub の最もスターの多いソフトウェアプロジェクトとなっています。 ...