記事一覧

Claude Opus 4.6 がゼロデイ脆弱性を500件発見 — AI推論がセキュリティ業界を揺るがす @neurostack_0001 氏のポストが、Anthropic の衝撃的な発表を紹介しています。Claude Opus 4.6 が、ファジングやカスタムツールを使わず、コードの推論だけで500件以上のゼロデイ脆弱性を発見したという内容です。 AnthropicがClaude Opus 4.6で「ゼロデイ脆弱性を大規模に発見できる」と発表。500件以上の高重大度脆弱性を検出・検証済み。ファジングやカスタムツール不要で、コードの推論だけで脆弱性を見つけている点が注目。 この発表は、CrowdStrike や Cloudflare の株価を8%以上下落させるほどのインパクトを持ちました。セキュリティ業界に何が起きているのか、技術的な背景から掘り下げます。 ファジングとは何か ファジング（Fuzzing）は、プログラムに対して無効なデータ、予期しないデータ、ランダムなデータを大量に入力し、クラッシュや異常動作を引き起こすことで脆弱性を検出するテスト手法です。1988年にウィスコンシン大学の Barton Miller 教授が考案し、現在ではセキュリティテストの標準手法となっています。 ファジングの種類 ファジングは、テスト対象の内部構造をどの程度把握しているかによって3つに分類されます。 分類 内部構造の把握 特徴 ブラックボックス なし 入出力のみを観察。実装が不明でも実行可能 グレーボックス 部分的 コードカバレッジを計測し、入力生成を最適化 ホワイトボックス 完全 ソースコードを解析し、制約条件を満たす入力を生成 また、入力データの生成方法でも分類できます。 ミューテーションファジング: 既知の有効な入力（シード）に対して、ビット反転やバイトの挿入・削除・置換などの変異を加えてテストケースを生成します。実装が容易で汎用性が高い手法です ジェネレーションファジング: 入力データの構造や文法を定義し、仕様に基づいて有効な形式でありながらも不正な値を含むテストケースを生成します。プロトコルやファイルフォーマットのテストに有効です カバレッジガイドファジング — AFL の登場 2014年に登場した AFL（American Fuzzy Lop）は、ファジングの実用性を大きく向上させました。名前はウサギの品種に由来しています。 AFL の革新は「カバレッジガイド」の概念です。テスト対象プログラムをインストルメント（計測コードの埋め込み）し、各入力がどの実行経路を通ったかを記録します。新しい経路を発見した入力を優先的にミューテーションすることで、コードの未探索領域へ効率的に到達します。 [シード入力] → [ミューテーション] → [実行・カバレッジ計測] ↑ ↓ └── [新しい経路を発見？] ──┘ Yes → キューに追加 No → 破棄 この手法はグレーボックスファジングとも呼ばれ、AFL の後継である AFL++ や Google の libFuzzer など、多くのツールが同様のアプローチを採用しています。 ...

FIDO2 認証（パスキー）の仕組み — パスワードを「構造的に不要にする」技術 サイボウズのバグバウンティで複数年度 1 位の実績を持つセキュリティ研究者 @yousukezan さんのポストで紹介されていた、FIDO2 認証（パスキー）の概要記事を深掘りします。元記事は Nagano さんの Zenn 記事です。 2026 年現在、日本証券業協会がパスキー（FIDO2）の導入を必須化するガイドラインを施行し、楽天証券・SMBC 日興証券などが相次いで導入を進めています。パスキーはもはや「新しい技術」ではなく「必須のインフラ」になりつつあります。 パスワード認証の根本的な問題 パスワード認証には、仕組みそのものに起因する構造的な脆弱性があります。 graph LR USER["ユーザー"] -->|パスワードを送信| SERVER["サーバー"] ATTACKER["攻撃者"] -.->|盗聴・フィッシング| USER style USER fill:#3498db,color:#fff style SERVER fill:#2ecc71,color:#fff style ATTACKER fill:#e74c3c,color:#fff 脅威 内容 フィッシング 偽サイトにパスワードを入力させる リスト型攻撃 漏洩したパスワードを他サービスで試行 中間者攻撃 通信を傍受してパスワードを盗む サーバー侵害 サーバーに保存されたパスワードハッシュの漏洩 これらの問題は「秘密情報（パスワード）をネットワーク経由で送信する」という設計そのものに起因します。ワンタイムパスワード（OTP）でも、この根本構造は変わりません。実際、日本証券業協会は 2025 年 10 月のガイドライン改正で、OTP の利用を非推奨としています。 FIDO2 の設計思想 — 「秘密を送らない」 FIDO2 は発想を根本から変えました。秘密情報をネットワーク上に一切流さない認証方式です。 graph LR subgraph デバイス側 USER2["ユーザー"] -->|生体認証/PIN| AUTH["認証器<br/>（TPM等）"] AUTH -->|秘密鍵で署名| SIGNED["署名データ"] end subgraph サーバー側 SIGNED -->|署名のみ送信| VERIFY["公開鍵で検証"] end style USER2 fill:#3498db,color:#fff style AUTH fill:#f39c12,color:#fff style SIGNED fill:#9b59b6,color:#fff style VERIFY fill:#2ecc71,color:#fff パスワード認証では「秘密そのもの」を送信しますが、FIDO2 では「秘密鍵で作った署名」だけを送信します。秘密鍵はデバイス内の安全な領域（TPM、Secure Enclave 等）に保管され、外部に出ることはありません。 ...

NotebookLM に「40 人の天才の思考」をストックする — AI を多角的な思考パートナーに変える方法 「AI に自分の浅い考えしか入力できなくて、薄い回答しか返ってこない」 この問題に対する解決策が SNS で話題になっています。@ai_jitan さん が提案する手法は、孫子、アドラー、ドラッカーなど 40 人の天才の思考法を NotebookLM にストックし、AI を「多角的な思考パートナー」に変えるというものです。 @karasu_ai さん も「40 人の天才の思考をプロンプトとしてストックするって発想がすごい」と反応し、大きな反響を呼びました。 コア・アイデア：入力の質がAI出力の質を決める 問題：「自分の浅い考え」がボトルネック AI に質問するとき、多くの人は自分の知識の範囲内で入力を行います。 ユーザー: 「売上を伸ばすにはどうすればいい？」 AI: 「マーケティングを強化しましょう。SNS広告や...」 汎用的で薄い回答しか返ってきません。入力が浅ければ、出力も浅いのです。 解決策：天才の思考フレームワークを注入する 同じ質問でも、複数の偉人の思考法をコンテキストとして与えると： 孫子（戦略家）: 「敵（競合）を知り己を知れば百戦危うからず。 まず市場と競合の徹底分析から始めよ」 ドラッカー（経営学者）: 「顧客は何に価値を見出しているか？ それを問うことが出発点」 アドラー（心理学者）: 「顧客の劣等感や承認欲求に着目せよ。 人は理想の自分に近づくために消費する」 1 つの課題に対して、戦略・経営・心理という 3 つの異なる角度からアプローチが得られます。これが「多角的な視点での課題解決」の正体です。 NotebookLM を使う理由 NotebookLM の特性 Google が提供する NotebookLM は、アップロードした資料（ソース）をもとに回答を生成する AI ツールです。通常の ChatGPT や Claude との決定的な違いは： ソースに基づいた回答: 学習データ全体ではなく、アップロードした資料に基づいて回答する 引用の透明性: 回答の根拠となるソースを明示する ペルソナカスタマイズ: AI の役割や視点を詳細に設定できる（最大 10,000 文字） なぜ「ストック」が重要か ChatGPT に「孫子になりきって答えて」と毎回指示するのと、NotebookLM に孫子の著作や思考法をソースとしてアップロードしておくのでは、回答の深さが根本的に異なります。 ...

OpenClaw で 13 体の AI チームを組織する — 低スペック PC で営業・SNS 運用を完全自動化 @gagarotai200（ガガロットAI）さんのポストが話題になっています。OpenClaw を使って 13 体の AI エージェントを組織し、営業・SNS 運用・分析・アポ取りまで完全自動化しているリアルな環境を公開した内容です。16 万回以上の閲覧、880 件のブックマークを集めており、実運用例の少ない OpenClaw 界隈で注目を集めました。 『Open Claw』って実際の環境を出してる人マジで少ないのでオラの13体のAI組織で「営業」「SNS運用」「分析」「アポ取り」など完全自動で行わせてる実際のリアルな環境を3日間限定で全て公開した。 OpenClaw とは何か OpenClaw は、PSPDFKit の創業者 Peter Steinberger 氏が 2025 年 11 月に公開したオープンソースの AI エージェントフレームワークです。GitHub スター数は 20 万超に達し、2026 年現在で最も注目されている AI エージェント基盤の一つです。 従来のチャットボットとの最大の違いは、質問に答えるだけでなく、タスクを直接実行できる点にあります。ファイル操作、メール送信、スケジュール管理、コード実行など、PC 上でユーザーが行う作業を AI が代行します。 主な特徴 特徴 内容 動作環境 ローカルマシン（Mac, Linux, Windows WSL2） 通信チャネル Discord, Telegram, Slack, WhatsApp, Signal, iMessage スキルシステム ClawHub（3,000+ のコミュニティスキル） エージェント定義 SOUL.md（自然言語でのパーソナリティ定義） マルチエージェント Multi-Agent Routing でエージェント間を分離 コスト オープンソース（API 従量課金のみ） 13 体 AI チームの構成 ガガロットさんの環境では、MacBook Pro M1 上で 13 体の AI エージェントを階層的に組織しています。 ...

Prompt Request — Pull Request の次の形：コードを書く時代から「意図を書く時代」へ @The_AGI_WAY（ハヤシシュンスケ）氏のポストが話題です。 コードを書く時代から、意図を書く時代へ。GitHub Issue にこう書く。「[auto] ユーザー認証のエラーハンドリングを追加しろ」 引用元は @Shuns_AI 氏が X で公開した長文記事「Prompt Request — Pull Request の次の形」です。AI エージェントが GitHub Issue を読み取り、ブランチ作成から実装・テスト・PR 作成・マージまでを自律的に完了するワークフローを提案しています。92 タスクで 95% の成功率を達成したという実績とともに、「良い Issue を書く能力」こそが開発者の最重要スキルになるという主張が注目を集めました。 「Prompt Request」とは何か 「Prompt Request」は、従来の Pull Request（PR）に代わる新しい開発パラダイムを表す概念です。 項目 Pull Request Prompt Request 開発者の作業 コードを書いて PR を作成する GitHub Issue に意図を書く 実装の担い手 人間の開発者 AI エージェント レビュー 人間がコードレビュー AI がピアレビュー + 人間が最終確認 マージ 人間が判断してマージ 条件を満たせば自動マージ 所要時間 数時間〜数日 5〜15 分 PR がコードの差分を中心とした「成果物の提出」であるのに対し、Prompt Request は「意図の伝達」が起点になります。開発者が書くのはコードではなく、何をしたいかという自然言語の指示です。 ワークフローの全体像 記事で提案されているワークフローは次のとおりです。 ...

Redis Pub/Sub から Streams への移行で帯域 99% 削減 — 同時接続 30 万超チャットの実践記録 Keisuke Nishitani 氏(@Keisuke69)のポストで、LY Corp（旧 LINE）の技術ブログ記事が紹介されていました。同時接続数 30 万超の LINE 公式アカウント（OA）チャットが、メッセージ配信基盤を Redis Cluster の Pub/Sub から Redis Streams へ移行した事例です。ピーク時 1.5 Gbps だったノードあたりの帯域が 11 Mbps まで削減されたという結果は、大規模リアルタイムシステムを運用するエンジニアにとって示唆に富む内容です。 同時接続数30万超のチャットサービスのメッセージ配信基盤をRedis Pub/SubからRedis Streamsにした話 — @Keisuke69 背景 — Redis Cluster Pub/Sub のスケール限界 LINE 公式アカウントのチャット機能（OA チャット）は、ユーザーから送られたメッセージを OA オーナーにリアルタイムで配信する仕組みを持っています。この配信基盤として Redis Cluster の Pub/Sub を使用していました。 問題は Redis Cluster における Pub/Sub の仕様にあります。あるシャードに publish されたメッセージは、クラスター内の全シャードにブロードキャストされます。24 シャード構成であれば、1 メッセージが残り 23 シャードに伝搬するため、アウトバウンドトラフィックはインバウンドの 23 倍になります。 指標 値 クラスター構成 24 シャード / 48 ノード ノードあたり帯域（平常時） 500 Mbps ノードあたり帯域（ピーク時） 1.5 Gbps シャードを増やせばクラスター性能は上がりますが、同時にブロードキャストのトラフィックも増えるというジレンマがあり、スケールアウトが頭打ちになっていました。 ...

SaaS の終焉（SaaSpocalypse）— 自律エージェントが Seat 課金を破壊し、ソフトウェア業界を再編する @shoji_hq 氏が X で共有した、Insight Partners 共同創業者による「SaaS の終焉（Apocalypse）」Podcast の備忘メモが注目を集めています。 AIの津波はまだこれから。本丸は「Autonomous Agents（自律エージェント）」であり、これが今からやってくる。これが浜にぶつかった瞬間、大きな津波になる。 この警告は予言ではなく、すでに現実になりつつあります。2026 年 2 月、ソフトウェアセクターは「SaaSpocalypse」と呼ばれる大暴落を経験し、1 兆ドル超の時価総額が消失しました。本記事では、何が起きているのかを構造的に整理します。 Insight Partners が語った 5 つの構造変化 @shoji_hq 氏のメモは、Podcast の要点を 5 つに整理しています。それぞれを掘り下げます。 1. 自律エージェントが本丸 自律的にタスクを分解し、ツールを選び、実行し、報告する存在。これが世の中の構造を変える。 Insight Partners 自身も「million-Agent problems」という表現を使っています。協調する複数のエージェントが、一晩かけて自律的に作業を完了し、翌朝には成果物が揃っている世界です。Deloitte の予測では、自律型 AI エージェント市場は 2026 年に 85 億ドル、2030 年に 350 億ドルに達するとされています。 重要なのは、これが単なるチャットボットの延長ではない点です。CUA（Computer-Using Agent）は複雑なソフトウェアインターフェースを人間より上手に操作できるレベルに達しており、「デジタル従業員」として機能し始めています。 2. API の応答速度が UI より重要になる 人間は400msで遅延を感じる。エージェントは80msを最適化する。美しいUIより、APIの応答速度が大切。 エージェントが主要なユーザーになると、設計のプライオリティが逆転します。 指標 人間向け設計 エージェント向け設計 遅延の閾値 400ms 80ms 重視する点 UI/UX の美しさ API のレスポンス速度 インターフェース グラフィカル プログラマティック 同時接続 数百〜数千 数万〜数百万 稼働時間 営業時間 24 時間 365 日 Insight Partners の Ryan Hinkle 氏は「ナレッジワーカーが仕事に不可欠とするシステムは AI の大きな恩恵を受ける。ただのファイリングキャビネットは脅威にさらされる」と述べています。 ...

Second Me — AI に「自分の分身」を持つ時代と OpenClaw との本質的な違い 前回の記事で OpenClaw による 13 体 AI チーム構築を紹介しました。OpenClaw では SOUL.md というファイルでエージェントの「人格」を定義しますが、これは本当に「自分の分身」と呼べるのでしょうか。Second Me というプロジェクトは、まったく異なるアプローチで「AI による自分の分身」を実現しようとしています。 SOUL.md の限界 — 「指示書」は「分身」ではない OpenClaw の SOUL.md は Markdown で書かれた設定ファイルです。エージェントの名前、性格、役割、制約を自然言語で記述します。 1 2 3 4 5 6 7 8 9 10 --- name: sales-agent model: claude-sonnet-4-6 --- あなたは営業チームの一員です。丁寧に話してください。 ## 役割 - リード情報の整理と優先順位付け - 提案メールの下書き作成 これは強力な仕組みですが、あくまで外から与える指示書です。「営業エージェントをこう振る舞わせたい」という設計者の意図を反映したものであり、「この人ならどう考えるか」を再現するものではありません。 ...

ハーネスエンジニアリング入門 — AIエージェントの性能はモデルではなく「周辺設計」で決まる 朱雀氏のポストが、Claude Code や Codex の仕組みを理解するうえで「ハーネス」の概念が重要だと紹介しています。2026 年に入り、AI エージェント開発の焦点は「どのモデルを使うか」から「モデルの周囲をどう設計するか」に移りました。この周辺設計を指す言葉がハーネスエンジニアリングです。 Claude CodeやCodexの仕組みを詳しく理解したい人にはこれがおすすめ。「ハーネス」について詳しく解説してくれている。 ハーネスとは何か ハーネスとは、AI モデルを囲む運用インフラのことです。Phil Schmid 氏の解説では、コンピュータに例えて次のように整理しています。 コンピュータ エージェント CPU モデル（推論エンジン） RAM コンテキストウィンドウ（作業メモリ） OS ハーネス（コンテキスト管理、ツール処理、起動シーケンス） アプリケーション エージェント（ユーザー固有のロジック） モデルが CPU なら、ハーネスは OS です。どれだけ高性能な CPU を積んでも、OS が貧弱では実用的なアプリケーションは動きません。 具体的には、ハーネスは以下の要素を管理します。 会話・コンテキスト管理: セッション間の記憶、コンテキストウィンドウの最適化 ツール呼び出し層: MCP/SDK ツールの提供と制御 権限管理: 実行可能な操作の制御 セッション・ファイルシステム状態: 作業ディレクトリ、Git 状態の管理 ループ制御・エラーハンドリング: リトライ、ガードレール、検証 観測性: ログ、メトリクス、テレメトリ モデルではなくハーネスが性能を決める 2026 年に入ってから、ハーネスの重要性を示す数値データが相次いで公開されています。 ハーネス変更だけで性能が 10 倍に ベンチマーク結果によると、ツール形式を変えただけで 15 モデルすべてのスコアが改善しました。最も劇的だったのは Grok Code Fast 1 で、6.7% から 68.3% に跳ね上がり約 10 倍でした。モデルの重みには一切手を加えていません。 同じモデルでもスキャフォールドで倍近い差 Claude Opus 4.5 は、あるスキャフォールドで 42%、別のスキャフォールドで 78% を達成しました。同じモデルでも、ハーネスの設計次第で性能が倍近く変わります。 ...

オープンソース AI は「無料」でも「民主化」でもない — 重みの公開と推論コストの間にある物理法則の壁 @kubotamas 氏が X で共有した、Anthropic CEO Dario Amodei の発言が議論を呼んでいます。 AIのオープンソース化は無料でも民主化でもない。モデルの重みをダウンロードすることは出来ても、実際に推論するのにコストがかかる。AIは従来のオープンソースとは本質的に異なる。重みを手に入れても計算資源がなければ、解釈・改変することはできない。オープン化という約束は物理法則の壁で制限されている この投稿は、@r0ck3t23 氏（Dustin）のツイートを引用しています。Dustin 氏は Amodei の動画インタビューから「オープンソース AI は無料ではなかった。一度もそうだったことはない」とまとめ、1,200 以上のいいねを集めました。 本記事では、この「オープンソース AI の幻想」の構造を掘り下げます。 Amodei の主張 — 「これは Linux ではない」 Dario Amodei はインタビューの中で明確に述べています。 “It’s not free. You have to run it on inference and someone has to make it fast on inference.” （無料ではない。推論を実行する必要があり、誰かがそれを推論で高速にする必要がある） “This is not Linux. You can’t see inside.” （これは Linux ではない。中身は見えない） 従来のオープンソースソフトウェア — Linux、PostgreSQL、React — は、ソースコードを読み、理解し、フォークし、改変できます。ノートパソコン 1 台で動かせます。しかし AI モデルの「重み」は、数百ギガバイトの数値の羅列です。ソースコードのように「読んで理解する」ことはできません。 ...