記事一覧 | hdknr blog

# git-lrc — コミット時に AI が無料でコードレビューしてくれるツール

git-lrc — コミット時に AI が無料でコードレビューしてくれるツールリポジトリ: HexmosTech/git-lrc 紹介ポスト: commte これは何か git-lrc は、git commit のタイミングで自動的に AI コードレビューが走るツール。Git フックとして動作し、コミット前の差分を AI（Google Gemini）に分析させ、バグやセキュリティ問題をブラウザ上の UI でインラインコメントとして表示してくれる。しかも Gemini の無料枠を使うので完全無料。なぜこれが作られたのか AI エージェント時代の新しい問題 Claude Code や Cursor などの AI コーディングエージェントは、コードを高速に生成する。しかし同時に、黙ってロジックを削除したり、挙動を変えたり、バグを混入させることもある — しかもユーザーに何も言わずに。問題に気づくのは、たいてい本番環境にデプロイした後。既存のコードレビューの限界 PR レビュー: チームメンバーの時間を消費する。AI 生成コードの量が増えるとレビューが追いつかない手動チェック: 大量の差分を毎回目視確認するのは非現実的 CI/CD のテスト: テストがカバーしていない箇所の論理変更は検出できない git-lrc のアプローチ「コミット」という全開発者が必ず通るポイントにフックすることで、レビュー漏れをほぼゼロにする。エディタや AI ツールキットが何であっても、Git は共通基盤。コミットは必須操作なので、スタックに関係なくレビューが走る。どう動くのかセットアップ（約1分、1回だけ） 1 2 3 4 5 # インストール（Mac / Linux） curl -fsSL https://hexmos.com/lrc-install.sh | sudo bash # 初期設定（ブラウザで API キーを取得） git lrc setup 必要なのは2つ: ...

# コンテキストエンジニアリング — AI を「使う人」と「使いこなす人」の違い

コンテキストエンジニアリング — AI を「使う人」と「使いこなす人」の違い紹介ポスト: えいと @7_eito_7 「AIを使っている人と、本当にAIを使いこなしている人の違いは何か。結論はコンテキストエンジニアリングができるかどうか。簡単に言えば、指示の出し方ではなくどんな文脈を渡しているか。」はじめに 2025年半ば、Shopify CEO の Tobi Lütke が次のように発言した: 「“プロンプトエンジニアリング"より"コンテキストエンジニアリング"という言葉の方がずっと好きだ。LLM がタスクを解決できるだけの十分な文脈を与える技術 — これこそが核心的スキルだ。」 AI 研究者の Andrej Karpathy もこれに同意し、「コンテキストエンジニアリング」という概念は一気に広まった。2026年現在、プロンプトエンジニアリングの時代は終わり、コンテキストエンジニアリングが AI 活用の新しい標準になりつつある。プロンプトエンジニアリング vs コンテキストエンジニアリング観点プロンプトエンジニアリングコンテキストエンジニアリングスコープ 1つの入力テキストの書き方モデルが見る情報の全体設計焦点指示の言い回し・構造情報の選択・順序・形式・量対象単発の質疑応答複雑な推論、マルチターン、エージェント複雑さ文章レベルシステムレベルのパイプライン例え「質問の仕方を工夫する」「解答に必要な教科書・資料・道具を揃える」プロンプトエンジニアリングはコンテキストエンジニアリングの一部にすぎない。質問の質ではなく、AI に渡す情報の質と構造が結果を決める。なぜプロンプトだけでは不十分なのかよくある問題: RAG で正確な情報を取得し、プロンプトも丁寧に書いた。それでも AI がハルシネーションを起こす。原因はプロンプトでも検索でもなく、コンテキストの構造にある。プロンプトの 3 つの限界情報不足: 質問は完璧でも、判断に必要な背景情報が足りない情報過多: 関連情報を全部詰め込むと、かえって精度が落ちる（ノイズに埋もれる）情報の無秩序: 重要な情報とそうでない情報が区別なく並んでいるコンテキストエンジニアリングは、この 3 つを体系的に解決する。コンテキストエンジニアリングの 4 つの柱 1. 構成（Composition）— 何を渡すかタスクに必要な「材料」を選択する: ...

# 三菱UFJ銀行におけるエンタープライズAI駆動開発のリアル

三菱UFJ銀行におけるエンタープライズAI駆動開発のリアル三菱UFJインフォメーションテクノロジー（MUIT）R&D部尾根田倫太郎氏の講演まとめ出典: SpeakerDeck エンタープライズAI駆動開発とは AI駆動開発とは、AIコーディングエージェントを前提とした開発方式のこと。従来の人海戦術的な開発と異なり、自然言語での指示により複数のソースコードが短時間で自動生成される。三菱UFJ銀行（MUFG）では、この手法を金融システムの内製開発に適用する取り組みを進めている。エンタープライズ特有の条件一般的なAI駆動開発と異なり、銀行システムには以下の制約がある。数十万〜数百万行規模のシステム数十〜数百人規模のチーム Excel方眼紙での設計書作成が標準インターネット非接続環境での開発主要ツールとして Cline または Claude Code を採用している。 Agent Skills — AIへの「教科書」 Agent Skills は、AIコーディングエージェントに教科書として機能するマークダウンファイルとして定義されている。2025年12月に Agentic AI Foundation により標準規格化された。従来は「人への教育」が中心だったが、今後はAIエージェントへの教育へシフトするという発想の転換が示された。 Agent Skills とは何か Agent Skills は、AIエージェントに新しい能力や専門知識を与えるための、フォルダ単位でパッケージ化された手順書・スクリプト・リソースの集合体である。エージェントが必要に応じてスキルを発見・読み込み、タスクをより正確かつ効率的にこなせるようにする仕組み。公式サイト: agentskills.io なぜ Agent Skills が必要か AIエージェントは汎用的な能力は高いが、特定の企業・チーム・ドメイン固有のコンテキストを持っていない。Agent Skills はこのギャップを埋める。対象メリットスキル作成者一度作れば複数のエージェント製品で横断的に利用可能エージェント開発者 Skills 対応するだけでエンドユーザーが機能拡張できる企業・チーム組織の知識をバージョン管理可能なパッケージとして蓄積 SKILL.md の基本構造 Agent Skills の実体は、SKILL.md というマークダウンファイルを含むフォルダ。YAMLフロントマターでメタデータを定義し、本文に手順を記述する。 skill-name/ ├── SKILL.md # 必須: メタデータ + 手順 ├── scripts/ # 任意: 実行可能スクリプト ├── references/ # 任意: 補足ドキュメント └── assets/ # 任意: テンプレート、画像等 SKILL.md の例: ...

Agent Plugins for AWS — AI コーディングエージェントに AWS の専門知識を装着する

Agent Plugins for AWS — AI コーディングエージェントに AWS の専門知識を装着する紹介ポスト: moritalous 公式ブログ: Introducing Agent Plugins for AWS | AWS Developer Tools Blog リポジトリ: awslabs/agent-plugins はじめに 2026年2月、AWS は Agent Plugins for AWS をオープンソースで公開した。Claude Code や Cursor といった AI コーディングエージェントに AWS の専門知識を「スキル」として装着するプラグインライブラリである。これは単なる CLI ラッパーではない。AI エージェントがアーキテクチャ設計 → コスト見積もり → IaC 生成 → デプロイまでを一貫して実行できる「AWS ドメイン能力層」を追加するもの。従来: 開発者が AWS ドキュメントを読み → 設計を考え → CDK/CFn を書き → デプロイ今後: 「deploy to AWS」と言うだけ → AI が全工程を実行（人間は確認・承認のみ） Agent Plugin とは何かプラグインの構成要素 Agent Plugin は4つの部品を1つのパッケージにまとめたもの。 ...

AI は会話が長くなるほど「迷子」になる — Microsoft × Salesforce の研究解説

AI は会話が長くなるほど「迷子」になる — Microsoft × Salesforce の衝撃の研究紹介ポスト: kosuke_agos 論文: LLMs Get Lost In Multi-Turn Conversation Microsoft Research: 公式ページはじめに「AI と長く会話するほど、AI の知能が劣化する」— これは体感ではなく、Microsoft Research と Salesforce Research が 20万件以上の AI 会話を分析して科学的に証明した事実である。論文タイトルは “LLMs Get Lost In Multi-Turn Conversation”（LLM はマルチターン会話で迷子になる）。GPT-4.1、Claude 3.7 Sonnet、Gemini 2.5 Pro を含む 15 モデル全てで、会話が長くなるほど性能が劇的に低下することが明らかになった。衝撃の数字指標数値平均性能低下 39% 不安定性（unreliability）の増大 +112% 精度の変化 90% → 約 51% テストしたモデル数 15（大小問わず全て劣化）最も重要な発見: 高性能モデルも小型モデルも、同じように劣化する。 Claude 3.7 Sonnet、Gemini 2.5 Pro、GPT-4.1 といったトップモデルでも 30〜40% の性能低下が観測された。モデルの「賢さ」では回避できない、構造的な問題であることが判明した。研究チームと手法著者名前所属 Philippe Laban Microsoft Research Hiroaki Hayashi Salesforce Research Yingbo Zhou Salesforce Research Jennifer Neville Microsoft Research テスト対象モデル（15種） OpenAI: GPT-4o-mini, GPT-4o, o3, GPT-4.1 Anthropic: Claude 3 Haiku, Claude 3.7 Sonnet Google: Gemini 2.5 Flash, Gemini 2.5 Pro Meta: Llama 3.1-8B, Llama 3.3-70B, Llama 4 Scout その他: Microsoft Phi-4, AI2 OLMo-2-13B, Deepseek-R1, Cohere Command-A Sharding（シャーディング）— 現実の会話を再現する手法ユーザーは通常、最初から完璧な指示を出さない。 ...

Claude Code に重大な脆弱性 — リポジトリを開くだけで任意コード実行の恐れ

Claude Code に重大な脆弱性 — 「リポジトリを開くだけ」で任意コード実行の恐れセキュリティ企業 Check Point が、Anthropic の AI コーディング支援ツール Claude Code に複数の重大な脆弱性を発見したと報告しました。細工されたリポジトリを開くだけで不正なコマンドが実行される恐れがあり、AI 開発ツールの信頼モデルに一石を投じる内容です。何が起きたのか Claude Code には Hooks（ツール実行前後にシェルコマンドを自動実行する仕組み）、MCP サーバー（外部ツール連携）、環境変数の読み込みといった設定機構があります。これらが悪用されることで、未信頼のディレクトリで Claude Code を起動した際に、任意のシェルコマンド実行や Anthropic API キーの流出が可能となることが判明しました。つまり、攻撃者が悪意ある設定ファイルを仕込んだ Git リポジトリを用意し、開発者がそれを git clone して Claude Code を起動するだけで攻撃が成立します。報告された脆弱性 CVE-2025-59536（CVSS 8.7 / High）— コードインジェクションツールの初期化時に自動実行を許すコードインジェクションの脆弱性です。Hooks や MCP サーバーの設定を悪用し、Claude Code が起動した瞬間に攻撃者のコマンドが実行されます。リモートコード実行（RCE）に直結する、最も深刻な問題です。 CVE-2026-21852（CVSS 5.3 / Medium）— 情報漏えいプロジェクト読み込み時に環境変数の値が外部に漏洩する可能性がある脆弱性です。Anthropic API キーなどの機密情報が窃取されると、攻撃者がそのアカウントで API を不正利用できてしまいます。その他の脆弱性上記 2 件以外にも、同等の深刻度を持つ欠陥が確認されています。なぜ危険なのか — 設定ファイルが攻撃経路になる従来のセキュリティモデルでは「コードを実行しなければ安全」という前提がありました。しかし今回の脆弱性では、設定ファイル自体が攻撃経路となります。設定機構通常の用途悪用方法 Hooks ツール実行前後にシェルコマンドを自動実行悪意あるコマンドを起動時に自動実行 MCP サーバー外部ツールとの連携設定偽サーバーを指定しデータを外部送信環境変数 API キーなどの機密情報管理設定ファイル経由で値を外部に流出開発者が日常的に行う「リポジトリを clone して開発環境を立ち上げる」という行為自体がリスクになるという点で、VS Code の .vscode/ 設定を悪用する攻撃と同種のパターンです。ただし AI ツールはファイルシステムへの広範なアクセス権とシェルコマンドの実行権を持つため、影響はより深刻になりえます。 ...

cmux — AIコーディングエージェント時代のターミナル紹介

cmux — AIコーディングエージェント時代のターミナル cmux とは？ cmux は、AIコーディングエージェントとの並行作業に最適化された macOS ネイティブのターミナルアプリです。Ghostty の描画エンジン (libghostty) をベースに、Swift + AppKit でゼロから構築されています。 Electron ではなくネイティブ実装なので、起動は高速、メモリ消費も少なく、GPU アクセラレーションによる滑らかな描画が特徴です。 “The terminal built for AI coding agents” 公式サイト: https://cmux.dev GitHub: https://github.com/manaflow-ai/cmux (AGPL-3.0) なぜ cmux が必要なのか？ Claude Code、Codex、Gemini CLI、Aider、Goose など、ターミナルベースの AI エージェントを日常的に使う開発者が増えています。しかし従来のターミナルや tmux では、複数のエージェントセッションを並行管理するのが大変でした。「どのタブでどのエージェントが動いてるか分からない」「エージェントが質問してるのに気づかなかった」「開発サーバーの確認のためにブラウザとターミナルを行き来するのが面倒」 cmux はこれらの課題を解決するために設計されています。主な機能 1. 縦タブ（バーティカルタブ）でワークスペースを一覧管理左サイドバーに縦並びのタブが表示され、各ワークスペースの状態が一目で分かります： Git ブランチ名リンク済み PR のステータスと番号作業ディレクトリリッスン中のポート番号最新の通知テキスト Firefox の縦タブに馴染みがある方なら、その便利さは想像がつくはず。タスクごとにワークスペースを作り、Cmd+1〜8 で瞬時に切り替えられます。 2. 通知リング — エージェントが注意を求めたら光る AIエージェントが応答を待っている時、ペインに青い通知リングが表示されます。サイドバーのタブにも未読バッジが付くので、複数エージェントを走らせていても「見逃し」がありません。 Cmd+Shift+U で最新の未読通知にジャンプ Cmd+I で通知パネルを開いて一覧確認 OSC 9/99/777 エスケープシーケンスを自動検知 CLI からも送信可能: cmux notify --title "完了" --body "ビルド成功" 3. インアプリブラウザ — ターミナルの横にブラウザを並べる WebKit ベースのブラウザがアプリ内に統合されています。ターミナルペインの隣にブラウザを分割表示して、開発サーバーのプレビューや PR の確認がワンストップで完結します。 ...

Vibe Coding 2.0 — 「何を作らないか」を知る 18 のルール

Vibe Coding 2.0 — 「何を作らないか」を知る 18 のルール Vibe Coding とは（前提知識） Vibe Coding は、Andrej Karpathy（OpenAI 共同創設者）が 2025 年初頭に提唱した概念で、「コードの細部を手で書く」のではなく、AI に自然言語で指示してコードを生成させ、“ノリ（vibe）“で開発を進めるスタイルを指します。Cursor や Claude Code などの AI コーディングツールの普及とともに広まりました。 MVP とは MVP（Minimum Viable Product / 実用最小限の製品）とは、顧客に価値を提供できる最小限の機能だけを備えた製品のことです。完璧な製品を作り込んでからリリースするのではなく、核となる機能だけを素早く形にして市場に投入し、実際のユーザーからフィードバックを得ながら改善していくアプローチを指します。目的: アイデアが市場に受け入れられるかを、最小のコストと時間で検証する考え方: 「完成品」ではなく「検証のための道具」。100 点を目指すのではなく、60 点で出して学ぶ例: 動画配信サービスなら、レコメンド機能や検索機能を後回しにして、まず「動画を再生できる」だけのアプリをリリースする Vibe Coding 2.0 の文脈では、AI ツールを活用して MVP を高速にシップ（出荷）することが繰り返し強調されています。以下のルール群は、すべて「いかに早く MVP を世に出すか」を軸に設計されています。 Vibe Coding 2.0 とは Harshil Tomar 氏が X で投稿した「Vibe Coding 2.0: 18 Rules to be the Top 1% builder」は、Vibe Coding の「次のフェーズ」を定義したものです。 ...

コードレビューは CLAUDE.md / skills に書け — 同じ指摘を繰り返すな

コードレビューは CLAUDE.md / skills に書け — 同じ指摘を繰り返すな基本情報発表者: 戸塚翔太（Tech Lead / EM、スタートアップ開発責任者）イベント: 「一歩踏み込む Claude Code 活用 LT 会」（Findy 主催、2026年2月22日）スライド: Speaker Deck 問題提起「人間に対してレビューするの、もうやめませんか？」コードレビューにおいて以下のような無駄が繰り返されている: 問題具体例同じ指摘の繰り返し変数名の命名規則、コーディングスタイルへの指摘が毎回発生修正ラリー「指摘修正しました」→ 再レビュー → 再指摘の往復アーキテクチャ的な問題根本的な設計の問題が PR 段階で発覚するこれらはレビュアーの時間を奪い、開発速度のボトルネックになっている。解決策: 使い捨てコメントをナレッジに変える核心のアイデアは「レビューで出た指摘を、PR のコメントとして消費するのではなく、CLAUDE.md や skills に書き込んでナレッジとして蓄積する」こと。従来: レビュー指摘 → PR コメント → 修正 → 忘れられる → また同じ指摘提案: レビュー指摘 → CLAUDE.md / skills に追記 → 以降 Claude が自動で遵守 CLAUDE.md に書くものコーディング規約（命名規則、ディレクトリ構成）アーキテクチャ上のルール（「この層でこの処理はしない」等）プロジェクト固有のパターン skills に書くものレビュー観点をスキルとして定義 Claude Code が PR 作成前にセルフチェックできるようにする自動化の仕組み 2 つの適用方法が紹介されている: ...

# CloudFront → ALB → Django 構成で API レスポンスの URL スキームが http:// になる問題と解決策

CloudFront → ALB → Django 構成で API レスポンスの URL スキームが http:// になる問題と解決策はじめに AWS の CloudFront + ALB + ECS Fargate で Django REST Framework (DRF) の API サーバーを運用していたところ、API レスポンスに含まれる URL が http:// で返されるという問題に遭遇しました。本記事では原因の調査過程と、最終的な解決策を紹介します。構成 Client (HTTPS) ↓ CloudFront (SSL終端, us-east-1) ↓ HTTP ALB (HTTP:80のみ受付, ap-northeast-1) ↓ HTTP ECS Fargate (Gunicorn + Uvicorn, port 9000) ↓ Django REST Framework CloudFront がSSLを終端し、ALB へは HTTP で転送する構成です。問題 DRF の API ルート (/api/rest/) にアクセスすると、レスポンスに含まれる URL がすべて http:// になっていました。 ...