記事一覧

Claude Code スキルで AI ワークフローを自動化する — Ralph Loop + YAML 宣言的定義の実践 kenfdev さん（@kenfdev）が、Claude Code のスキル機能を活用した AI エージェントのワークフロー自動化について、実践的な技術記事を公開しています。 Claude Code のスキルを中心に、AIエージェントのワークフローを自動化してみた話を書きました。 bash の while ループで claude -p を繰り返す Ralph Loop と、YAML でワークフロー定義を組み合わせて、plan → implement → review → finalize を自律的に回す仕組みです。 TAKTほどの精度には及ばないのですが、それなりに自分のワークフローでは活用できています。 — kenfdev (@kenfdev) 記事の核は「Ralph Loop」と「YAML ワークフロー定義」という 2 つの技術を Claude Code スキルで統合し、plan → implement → review → finalize を自律的に回す仕組みです。 Ralph Loop とは何か 起源 Ralph Loop（正式には Ralph Wiggum Loop）は、Geoffrey Huntley が考案した AI 開発自動化パターンです。名前はシンプソンズのキャラクターに由来しますが、仕組み自体は極めてシンプルです。 基本構造 1 2 3 4 5 6 7 while true; do result=$(claude -p "プロンプト") # 完了判定 if [[ "$result" == *"COMPLETE"* ]]; then break fi done bash の while ループで claude -p（ヘッドレスモード）を繰り返し呼び出す、たったこれだけです。-p フラグは Claude Code を非対話モードで実行し、結果を標準出力に返します。 ...

Claude Code スキルで「穴場市場」を自動発掘 — コードを書かない AI エージェント活用術 「Claude Code はプログラミング支援ツール」——そう思い込んでいませんか？ @koder_dev さんのポスト で紹介された Zenn 記事（s4kura 氏） が話題になっています。Claude Code の スキル機能 を使って「穴場市場を探させる」という、コーディングとは全く異なる使い方です。 「Claude Code にスキル自作させて穴場市場探させるって Zenn の記事めっちゃ面白かった。いや本当自分の周りも自作 skill でプログラミング作って色んな作業やらせてる、無限に応用効くからなー」— @koder_dev Claude Code スキルとは何か 基本概念 Claude Code のスキルは、SKILL.md ファイルに指示を記述することで Claude の機能を拡張する仕組みです。いわば 「プロンプトエンジニアリングのパッケージ化」 です。 スキルなし: 毎回 → 「こういう手順で」「こういう基準で」「こういう形式で」と指示 結果 → 指示漏れ、品質のばらつき スキルあり: 毎回 → /skill-name と入力するだけ 結果 → 事前定義した手順・基準・形式が自動適用 スキルの構造 スキルは SKILL.md を中心としたディレクトリです。 my-skill/ ├── SKILL.md # メイン指示（必須） ├── references/ # 判断基準・リファレンス（任意） ├── templates/ # テンプレート（任意） ├── scripts/ # 実行スクリプト（任意） └── examples/ # サンプル出力（任意） SKILL.md は YAML フロントマターとマークダウンコンテンツの 2 部構成です。 ...

Claude Code スキルの自動最適化 — テキスト勾配で「職人芸プロンプト」を工学に変える 「プロンプトは職人芸」——そんな時代が終わりつつあります。 @yusuke_post さん が発表した X 記事 では、プロンプトエンジニアリングを自動化する研究を応用して Claude Code の Skills を自動最適化する手法が紹介されています。ヒアリングメモから SaaS 導入提案書を生成するスキルを題材に、4 イテレーションで 13.6 点のスコア改善を達成しました。 @kgsi さん も「この取り組みすごい、ナレッジが溜まっている企業や組織ほどこの仕組みで効果が出そう」と反応しています。 全体像：何がどう繋がっているのか この記事で扱う内容を先に俯瞰します。 課題 Claude Code の Skills（SKILL.md）は、タスクの手順を定義する「指示書」です。しかし、良い指示書を書くのは難しく、試行錯誤が属人的になりがちです。 graph LR A["人間が SKILL.md を書く"] --> B["実行"] B --> C["結果がイマイチ"] C --> D["🤔 勘で修正<br/>（= 職人芸）"] D --> B style D fill:#f9c74f,color:#000 解決策：テキスト勾配による自動改善ループ 深層学習がパラメータを自動で最適化するように、SKILL.md を自動で最適化するのがテキスト勾配です。 graph TD A["① SKILL.md（現在の指示書）で実行"] --> B["② 出力を正解データと比較<br/>（人間の過去の成果物）"] B --> C["③ AI が差分を分析し改善点を言語化<br/>= テキスト勾配"] C --> D["④ テキスト勾配に従って<br/>SKILL.md を改訂"] D --> E["⑤ 改訂版で再実行"] E --> B C -.- F["例: 優先度の整理ステップが欠如している"] style C fill:#4ecdc4,color:#000 style F fill:#f0f0f0,color:#555,stroke-dasharray: 5 5 4 回繰り返すだけで 13.6 点のスコア改善を達成。 ...

Claude Code の /simplify と /batch — AI コーディングは「書く」から「整える・並列で移す」へ Tsukasansan 氏のポストが、Claude Code v2.1.63 で追加された 2 つの新スキル /simplify と /batch を紹介しています。この 2 つのスキルは、AI の役割を「コードを書く補助ツール」から「品質を整え、大規模な変更を並列実行する分業チーム」へと変える転換点です。 /simplify — PRに出す前の「仕上げ」を自動化 /batch — 大規模マイグレーションを並列で一気に実行 Claude Code の開発者 Boris Cherny 氏も、この 2 つのスキルについて「毎日使っている」と述べています。 /simplify: 3 つのエージェントによる自動コードレビュー /simplify は、実装完了後に実行する「仕上げ」コマンドです。git diff で最近の変更を検出し、3 つの専門レビューエージェントを並列実行します。 3 つのレビュー観点 エージェント 検出対象 具体例 コード再利用 重複ロジック、既存ユーティリティで置き換え可能なコード 同じバリデーションが 3 箇所にコピペされている コード品質 冗長な状態管理、パラメータの肥大化、リーク抽象化 引数が 8 個ある関数、使われていない変数 効率性 不要な処理、並列化の機会、ホットパス内の重い処理 ループ内での毎回の DB クエリ、不要な再レンダリング 3 つのエージェントが問題を検出するだけでなく、修正まで自動的に適用します。従来のリンターと異なり、高レベルのアーキテクチャ上の問題に対応するのが特徴です。 使い方 1 2 3 4 5 6 7 # 基本: 変更ファイルを自動レビュー・修正 /simplify # 特定の観点にフォーカス /simplify focus on memory efficiency /simplify check for unnecessary dependencies /simplify focus on security patterns in the auth flow 実践的なワークフロー 実装完了後、PR を出す前に /simplify を実行するだけです。 ...

Claude Code の「処理」と「ドメイン知識」をレイヤー分離する設計術 — スキルが複利で効く構造をつくる gura 氏の投稿が、Claude Code を使った PM 業務の知見を共有しています。2 ヶ月間の実運用で最も効いた設計判断は、Skill（処理レイヤー）と CLAUDE.md（ドメイン知識レイヤー）の分離だったとのことです。この考え方は、Claude Code の公式アーキテクチャとも一致する設計パターンです。 問題：なぜ全部入りの設定は破綻するのか Claude Code を使い始めると、多くの人が CLAUDE.md にあらゆる情報を詰め込みます。プロジェクトの規約、処理手順、ドメイン知識、スタイルガイド。しかしこの「全部入り」アプローチには構造的な問題があります。 コンテキスト汚染: CLAUDE.md はセッション開始時に全文がロードされるため、情報量が増えるほどトークンを圧迫します Lost in the Middle: 長大なコンテキストの中間部分が軽視される現象が発生します 再利用不能: プロジェクト固有の知識と汎用的な処理手順が混在し、別プロジェクトへの横展開ができません SO Technologies 開発者ブログの分析によると、全部入り CLAUDE.md はセッション開始時にコンテキストの 40〜50% を占有するケースもあったと報告されています。 2 つのレイヤーを分離する gura 氏が提唱するのは、明確な 2 層構造です。 Skill = 処理レイヤー 「どのフォルダから何を読んで、どう加工して、どこに出すか」を定義する Skill は入力と出力が明確な、小さな処理単位です。 Skill の例 入力 出力 議事録の文字起こし 音声データ テキスト議事録 外部向け議事録変換 内部議事録 フィルタリング済み議事録 Slack 共有 文書 Slack メッセージ レポート生成 各種データ フォーマット済みレポート Skill は どのプロジェクトでも処理の骨格は同じ です。ファイルの場所は .claude/skills/<skill-name>/SKILL.md に配置し、YAML フロントマターで名前と説明を記述します。 ...

Claude Code ベストプラクティス — 成果を安定させる 7 つの鉄則と公式ガイドの設計思想 qiitapoi 氏のポストが、Qiita 記事「Claude Code ベストプラクティス – 成果を安定させる 7 つの鉄則」を紹介しています。この記事は、Claude Code の公式ベストプラクティスを実務者の視点で 7 つのルールに凝縮したもので、「具体的に頼む」「必ず検証する」という基本から、セッション管理やコスト意識まで、日々の運用に直結する指針をまとめています。 本記事では、この 7 つの鉄則を公式ドキュメントの設計思想と照らし合わせながら、なぜそのルールが効くのかを掘り下げます。 公式ベストプラクティスの根本原則: コンテキストウィンドウ Claude Code 公式ベストプラクティスは、冒頭で明確に述べています。 ほとんどのベストプラクティスは 1 つの制約に基づいています。Claude のコンテキストウィンドウはすぐにいっぱいになり、満杯になるにつれてパフォーマンスが低下します。 Claude Code の 200K トークンのコンテキストウィンドウには、すべてのメッセージ、読み取ったファイル、コマンド出力が蓄積されます。コンテキストが埋まるにつれて、初期の指示を「忘れる」、ミスが増えるといった品質低下が起きます。7 つの鉄則のほぼすべてが、この制約への対処法として理解できます。 7 つの鉄則と公式ガイドの対応 nogataka 氏の Qiita 記事が提案する 7 つの鉄則を、公式ドキュメントの推奨事項と対応させて整理します。 鉄則 内容 公式ガイドの対応セクション 1. 具体的に頼む 5W1H で指示を明確にする プロンプトで具体的なコンテキストを提供する 2. 必ず検証する diff、テスト、コストの 3 点確認 Claude に自分の作業を検証する方法を与える 3. CLAUDE.md でルール言語化 プロジェクト固有の規約を明文化する 効果的な CLAUDE.md を書く 4. セッション短く保つ 1 タスク 1 セッション セッションを管理する 5. 計画→実行の 2 段階 5 分ルールで判断 最初に探索し、次に計画し、その後コーディングする 6. コスト意識 /cost で定期確認 コンテキストを積極的に管理する 7. 自動化への次ステップ Hooks, MCP, Agent Teams 自動化とスケール 7 つの鉄則は、公式ガイドの膨大な内容を実務者が日常的に参照できる形に圧縮したものと位置づけられます。 ...

Claude Code 時代の .env 管理 — 「平文で置かない」秘密情報の新しい守り方 @yousukezan 氏のポストが、AI 駆動開発における秘密情報管理の盲点を端的に指摘しています。 Claudeが社内に広がるほど、.envが危ない。Cowork時代に必要なのは「便利さ」より秘密情報の置き場所 引用元の Qiita 記事では、Claude Code や Cowork が「チャットで質問するだけのツール」から「ローカルファイルに直接アクセスする開発エージェント」へ進化したことで、従来の .gitignore だけでは守りきれない脅威が生まれていると論じています。本記事では、この問題の技術的背景と実践的な対策を掘り下げます。 何が変わったのか — 脅威モデルの転換 従来の開発ワークフローでは、.env ファイルの脅威モデルは明確でした。 脅威 対策 Git リポジトリへの混入 .gitignore に記載 本番環境への漏洩 環境変数やシークレットマネージャで注入 他人のマシンへの流出 ローカルに置く前提なので問題なし ところが、Claude Code のような AI エージェントがローカルファイルを直接読み書きする時代になると、第三の脅威が加わります。 新しい脅威 内容 AI エージェントによる読み取り .env がツールの入力コンテキストに載る 意図しないクラウド送信 読み取った内容が LLM の API リクエストに含まれる 組織内の横展開 Cowork で複数人が同じプロジェクトを触る際の露出 IPA「情報セキュリティ 10 大脅威 2026」でも「AI の利用をめぐるサイバーリスク」が初選出で 3 位にランクインしており、この脅威モデルの転換は業界全体の認識となりつつあります。 Claude Code は .env をどう扱うのか 自動読み込み問題 セキュリティ研究者 Dor Munis 氏の調査によると、Claude Code は .env、.env.local などのファイルを自動的に読み込み、API キーやトークンをメモリに展開していることが判明しています。プロキシ認証情報が意図せず読み込まれ、HTTP 407 エラーとプロキシ料金の異常な高騰として問題が顕在化しました。 ...

Claude Cowork 入門ガイド — プロンプトを頑張る時代の終わり、「仕組み化」で AI と働く新しいスタイル 長谷川氏（@taichi_we）が投稿した「Claude Cowork の始め方ガイド」が X 上で大きな反響を呼んでいます。ブックマーク数 14,850、いいね 6,021、閲覧数 300 万超という驚異的な数字です。 プロンプトを頑張る時代は、もう終わりに近い。これから必要なのは、「AIに何を渡せば仕事が進むか」を整えることです。 この記事では、元ポストの内容をベースに、公式ドキュメントや技術解説記事の情報を加えて、Claude Cowork の全体像と実践的な始め方を解説します。 Claude Cowork とは何か Claude Cowork は、Anthropic が提供する 非エンジニア向けの自律型 AI エージェント機能 です。Claude Desktop アプリに統合されており、「Chat」「Code」と並んで「Cowork」タブから利用できます。 もともと Claude Code はエンジニア向けのコマンドラインツールとして提供されていましたが、ファイル整理やスプレッドシート作成など、コーディング以外の用途にも多く使われていることに Anthropic が気づきました。実際、Claude Code でも業務タスクは十分に実行できます。ただし、ターミナル操作は非エンジニアにとってハードルが高いという課題がありました。Cowork は Claude Code と同等の能力を GUI で包み、誰でもアクセスできるようにしたものです。 項目 Claude Chat Claude Code Claude Cowork 対象ユーザー 全般 開発者中心（だが業務タスクも可能） 非エンジニアを含む全職種 インターフェース Web / アプリ ターミナル（CLI） Desktop アプリ（GUI） ファイル操作 アップロード / ダウンロード ローカル直接アクセス ローカル直接アクセス 自律実行 なし あり あり 差別化ポイント 手軽な対話 Bash 実行、Git 操作、MCP、スキル プラグイン、コネクター、スケジュール実行 前提スキル 不要 ターミナル操作に慣れている必要あり 不要 本質的な違いは「何ができるか」ではなく「誰がアクセスしやすいか」です。Claude Code でもレポート作成やファイル整理といった業務タスクは問題なくこなせます。Cowork はその能力を、ターミナルに馴染みのないユーザーにも開放したものと考えるのが正確です。 ...

Claude Opus 4.6 がゼロデイ脆弱性を500件発見 — AI推論がセキュリティ業界を揺るがす @neurostack_0001 氏のポストが、Anthropic の衝撃的な発表を紹介しています。Claude Opus 4.6 が、ファジングやカスタムツールを使わず、コードの推論だけで500件以上のゼロデイ脆弱性を発見したという内容です。 AnthropicがClaude Opus 4.6で「ゼロデイ脆弱性を大規模に発見できる」と発表。500件以上の高重大度脆弱性を検出・検証済み。ファジングやカスタムツール不要で、コードの推論だけで脆弱性を見つけている点が注目。 この発表は、CrowdStrike や Cloudflare の株価を8%以上下落させるほどのインパクトを持ちました。セキュリティ業界に何が起きているのか、技術的な背景から掘り下げます。 ファジングとは何か ファジング（Fuzzing）は、プログラムに対して無効なデータ、予期しないデータ、ランダムなデータを大量に入力し、クラッシュや異常動作を引き起こすことで脆弱性を検出するテスト手法です。1988年にウィスコンシン大学の Barton Miller 教授が考案し、現在ではセキュリティテストの標準手法となっています。 ファジングの種類 ファジングは、テスト対象の内部構造をどの程度把握しているかによって3つに分類されます。 分類 内部構造の把握 特徴 ブラックボックス なし 入出力のみを観察。実装が不明でも実行可能 グレーボックス 部分的 コードカバレッジを計測し、入力生成を最適化 ホワイトボックス 完全 ソースコードを解析し、制約条件を満たす入力を生成 また、入力データの生成方法でも分類できます。 ミューテーションファジング: 既知の有効な入力（シード）に対して、ビット反転やバイトの挿入・削除・置換などの変異を加えてテストケースを生成します。実装が容易で汎用性が高い手法です ジェネレーションファジング: 入力データの構造や文法を定義し、仕様に基づいて有効な形式でありながらも不正な値を含むテストケースを生成します。プロトコルやファイルフォーマットのテストに有効です カバレッジガイドファジング — AFL の登場 2014年に登場した AFL（American Fuzzy Lop）は、ファジングの実用性を大きく向上させました。名前はウサギの品種に由来しています。 AFL の革新は「カバレッジガイド」の概念です。テスト対象プログラムをインストルメント（計測コードの埋め込み）し、各入力がどの実行経路を通ったかを記録します。新しい経路を発見した入力を優先的にミューテーションすることで、コードの未探索領域へ効率的に到達します。 [シード入力] → [ミューテーション] → [実行・カバレッジ計測] ↑ ↓ └── [新しい経路を発見？] ──┘ Yes → キューに追加 No → 破棄 この手法はグレーボックスファジングとも呼ばれ、AFL の後継である AFL++ や Google の libFuzzer など、多くのツールが同様のアプローチを採用しています。 ...

FIDO2 認証（パスキー）の仕組み — パスワードを「構造的に不要にする」技術 サイボウズのバグバウンティで複数年度 1 位の実績を持つセキュリティ研究者 @yousukezan さんのポストで紹介されていた、FIDO2 認証（パスキー）の概要記事を深掘りします。元記事は Nagano さんの Zenn 記事です。 2026 年現在、日本証券業協会がパスキー（FIDO2）の導入を必須化するガイドラインを施行し、楽天証券・SMBC 日興証券などが相次いで導入を進めています。パスキーはもはや「新しい技術」ではなく「必須のインフラ」になりつつあります。 パスワード認証の根本的な問題 パスワード認証には、仕組みそのものに起因する構造的な脆弱性があります。 graph LR USER["ユーザー"] -->|パスワードを送信| SERVER["サーバー"] ATTACKER["攻撃者"] -.->|盗聴・フィッシング| USER style USER fill:#3498db,color:#fff style SERVER fill:#2ecc71,color:#fff style ATTACKER fill:#e74c3c,color:#fff 脅威 内容 フィッシング 偽サイトにパスワードを入力させる リスト型攻撃 漏洩したパスワードを他サービスで試行 中間者攻撃 通信を傍受してパスワードを盗む サーバー侵害 サーバーに保存されたパスワードハッシュの漏洩 これらの問題は「秘密情報（パスワード）をネットワーク経由で送信する」という設計そのものに起因します。ワンタイムパスワード（OTP）でも、この根本構造は変わりません。実際、日本証券業協会は 2025 年 10 月のガイドライン改正で、OTP の利用を非推奨としています。 FIDO2 の設計思想 — 「秘密を送らない」 FIDO2 は発想を根本から変えました。秘密情報をネットワーク上に一切流さない認証方式です。 graph LR subgraph デバイス側 USER2["ユーザー"] -->|生体認証/PIN| AUTH["認証器<br/>（TPM等）"] AUTH -->|秘密鍵で署名| SIGNED["署名データ"] end subgraph サーバー側 SIGNED -->|署名のみ送信| VERIFY["公開鍵で検証"] end style USER2 fill:#3498db,color:#fff style AUTH fill:#f39c12,color:#fff style SIGNED fill:#9b59b6,color:#fff style VERIFY fill:#2ecc71,color:#fff パスワード認証では「秘密そのもの」を送信しますが、FIDO2 では「秘密鍵で作った署名」だけを送信します。秘密鍵はデバイス内の安全な領域（TPM、Secure Enclave 等）に保管され、外部に出ることはありません。 ...