Claude

Anthropic が Claude Code Security を限定リサーチプレビューとして公開しました。AI がコードベース全体をスキャンして脆弱性を検出し、修正パッチまで提案してくれる機能です。 Claude Code Security とは 従来の静的分析ツール（SAST）はルールベースでパターンマッチングを行うため、ビジネスロジックの欠陥やアクセス制御の不備など、文脈依存の脆弱性を見落としがちでした。 Claude Code Security は、人間のセキュリティ研究者のようにコードを「理解」するアプローチを採用しています。 コンポーネント間の相互作用を把握する アプリケーション全体のデータフローを追跡する ルールベースツールでは検出困難な脆弱性を発見する 主な特徴 多段階検証プロセス 検出した脆弱性は多段階の検証プロセスにかけられ、誤検知（false positive）がフィルタリングされます。各脆弱性には重大度評価と信頼度スコアが付与されます。 ヒューマン・イン・ザ・ループ 修正パッチは自動適用されません。Claude Code Security は問題の特定と解決策の提案を行い、最終的な判断は開発者が行います。 実績 Anthropic のレッドチーム活動では、Claude Opus 4.6 を使用して本番環境のオープンソースプロジェクトから 500 以上の脆弱性 を発見しました。これらは数十年にわたり専門家のレビューを経ても検出されなかったバグです。 利用方法 プラン 利用可否 Enterprise 即時利用可能 Team 即時利用可能 オープンソースメンテナー 無料で迅速なアクセスを提供（申請制） 詳細は Anthropic 公式の Claude Code Security ページ を参照してください。 従来のツールとの違い 従来の SAST ツールは既知のパターンを検索する仕組みのため、新しいタイプの脆弱性や複雑なロジックの欠陥には対応しきれませんでした。Claude Code Security は LLM の推論能力を活用して、コードの意味を理解した上で脆弱性を検出するという点で、セキュリティスキャンの新しいアプローチといえます。 まとめ Claude Code Security は「脆弱性は多いが対応する人員が少ない」というセキュリティチームの課題に対し、AI による自動検出と修正提案で支援するツールです。現時点では限定リサーチプレビューですが、今後のセキュリティ開発ワークフローに大きな影響を与える可能性があります。

Claude Code はコーディング専用ツールと思われがちだが、実はコーディング以外の日常業務を半自動化する強力なツールとしても活用できる。みのるん氏（@minorun365）の Qiita 記事 から、その実践例を紹介する。 AI は「自動化ツール」ではなく「優秀な同僚」 Claude Code を使う上で重要なマインドセットは、AI を単なる自動化ツールではなく「一緒に仕事できる優秀な同僚」として捉えること。どんな作業でも「この作業、Claude Code に任せられないか？」と必ず考える習慣が、業務効率を大きく変える。 また「AI 活用＝やっつけ品質」という認識はもう過去の話で、適切に指示を出せば高品質なアウトプットが得られる。 プチ仕様駆動開発 Claude Code との作業では、以下の 4 つのドキュメントで「プチ仕様駆動開発」を行うのが効果的。 ドキュメント 用途 PLAN.md 音声入力で計画を記録 SPEC.md 仕様の壁打ち TODO.md タスク管理 KNOWLEDGE.md 学びとナレッジの蓄積 音声入力（Aqua Voice 等）で大まかな計画を PLAN.md に吹き込み、Claude Code に仕様化してもらうフローが実用的。 実践例: 経費精算を 5 分で終わらせる MoneyForward の CSV を Claude Code に渡して、以下を自動化する: CSV を解析して取引を分類 Gmail から領収書を自動検索 勘定科目を自動マッピング Markdown 形式で出力 手作業なら 30 分以上かかる経費精算が、5 分で完了する。 実践例: メール監視とリマインド 放置しがちなメールの監視を自動化する構成: EventBridge（定時起動） → AgentCore Runtime → Gmail API でメール抽出 → Slack に通知 重要なメールを見落とすリスクを、システムで解消する。 ...

Claude Code で生成される UI デザインの品質が急に向上したと話題になっています。その理由は「画像学習」の強化ではなく、「一般的（on distribution）」なデザインから意図的に離れるプロンプト設計にありました。 AIスロップ問題とは AI が生成するフロントエンドデザインには「AIスロップ（AI slop）」と呼ばれる品質問題があります。特に指示を与えずに UI を生成させると、AI は確率分布の中心付近からサンプリングするため、どこかで見たような「いかにもAIが作った」デザインに収束してしまいます。 具体的には以下のような特徴が見られます: 過度にグラデーションやシャドウを多用する 汎用的すぎるカラーパレット 差別化のないカードレイアウト どのサイトでも見るような Hero セクション frontend-design スキルの登場 Anthropic は Claude Code 向けに frontend-design という公式スキルをリリースしました。このスキルの核心は、Claude に対して**「一般的な出力に収束しないように」**と明示的に指示することです。 スキルの中には以下のような指針が含まれています: 確率分布の中心（もっとも一般的なデザインパターン）に寄らないこと AIスロップ的な美学を避けること 個性のあるデザインを生成すること なぜプロンプトで解決できるのか Claude は十分なデザイン知識を持っています。問題は、指示がないと「安全な」中間値に落ち着いてしまうことでした。frontend-design スキルは、この傾向を明示的に打ち消すプロンプトを提供することで、Claude が持つ本来のデザイン能力を引き出しています。 これは画像生成 AI における「ネガティブプロンプト」に近い考え方です。生成したいものを指定するだけでなく、避けたいもの（一般的すぎるデザイン）を指定することで、出力品質が大きく向上します。 実践のポイント 自分のプロジェクトでも同様のアプローチを取ることができます: 「一般的にしないで」と明示する ― デザイン生成時に「よくあるパターンを避けて」と指示する 具体的なリファレンスを与える ― 参考にしたいデザインの方向性を具体的に伝える frontend-design スキルを活用する ― Claude Code を使っているなら、このスキルを有効にする 1 2 # Claude Code でスキルをインストール npx skills add anthropics/claude-code Claude Code 内では /skills コマンドでインストール済みスキルの一覧を確認できます。 ...

AIエージェントに役職・組織図・予算・目標を与え、24時間自律的に会社を運営させる——そんなコンセプトのオープンソースプロジェクト「Paperclip」が公開され、注目を集めている。 Paperclip とは Paperclip は、複数の AI エージェントを「社員」として組織化し、会社として機能させるためのオーケストレーションプラットフォームだ。 “If OpenClaw is an employee, Paperclip is the company.” 個々の AI エージェントを個別に管理するのではなく、組織図・予算・ガバナンス・目標整合・タスク調整といった会社レベルのインフラを提供する。 GitHub: https://github.com/paperclipai/paperclip 公式サイト: https://paperclip.ing/ ライセンス: MIT 主な機能 エージェントの組織化 組織図（Org Chart）: 階層構造、役職、レポートラインを定義 目標整合（Goal Alignment）: 会社のミッションからプロジェクト目標、個別タスクまで文脈が伝播 マルチカンパニー対応: 1つのデプロイで複数の会社を完全分離して管理 対応エージェント Claude、OpenClaw、Codex、Cursor、Bash スクリプト、HTTP Webhook など、ハートビートシグナルを受信できる任意のランタイムと連携できる。 コスト管理 エージェントごとに月次予算を設定し、使用量80%で警告、100%で自動停止する。暴走的なトークン消費を防ぐ仕組みが組み込まれている。 ガバナンスと監査 人間による承認ゲート（採用・戦略変更時） 設定変更のバージョニングとロールバック 全ての会話・意思決定・ツール呼び出しの追跡ログ いつでもエージェントの一時停止・再割り当て・終了が可能 セットアップ 1 2 3 4 5 6 7 8 # クイックスタート npx paperclipai onboard --yes # 手動インストール git clone https://github.com/paperclipai/paperclip.git cd paperclip pnpm install pnpm dev API は http://localhost:3100 で起動し、組み込みの PostgreSQL データベースを使用する。要件は Node.js 20+ と pnpm 9.15+。 ...

Claude Code などの LLM エージェントを業務で使う際、最大のリスクは**ハルシネーション（幻覚）**です。プロンプトの改善ばかりが注目されがちですが、本当に必要なのは「仕組みで縛る」アプローチです。 きっかけとなった事故 ある開発者が実際に遭遇した事故が、この議論のきっかけです: which コマンドの結果だけで「未インストール」と診断されたが、コードは PATH 外のディレクトリを直接参照していた。ログを1行も読まずに断言。 LLM エージェントは自信に満ちた口調で誤った結論を出すことがあり、人間がそれを鵜呑みにしてしまうリスクがあります。 Anti-Hallucination Protocol の4つの柱 提唱されている Anti-Hallucination Protocol は、以下の4つのルールで構成されます: 1. 事実主張にはツール実行による検証を義務化 LLM が「〜がインストールされていない」「〜が原因です」と主張する場合、必ず対応するコマンドやツールを実行して裏付けを取ることを求めます。推測だけで結論を出すことを許容しません。 2. 禁止パターンの明示 以下の4つのパターンを明示的に禁止します: パターン 説明 推測診断 十分な証拠なしに原因を断定する 確認なし否定 実際に確認せず「存在しない」「動かない」と主張する 記憶による主張 過去の学習データだけに基づく事実主張 自信に満ちた誤り 高い確信度で不正確な情報を提供する 3. 違反時のインシデント記録と伝播 ハルシネーションが検出された場合、インシデントとして記録し、全プロジェクト横断で伝播させます。これにより同じ失敗パターンを繰り返さない仕組みを構築します。 4. プロジェクト設定への組み込み CLAUDE.md や類似の設定ファイルにルールを記述し、プロジェクト単位で一貫したガードレールを維持します。 2026年のハルシネーション対策の現状 2026年3月時点で、各 LLM のハルシネーション率は改善が進んでいます。LLM Hallucination Index 2026 によると、Claude Sonnet 4.6 は BS 検出成功率 91.0%、誤検出率 3.0% とトップクラスの精度を示しています。 しかし、モデル性能の向上だけでは不十分です。特に以下の場面ではハルシネーションが発生しやすいことが報告されています: コンテキスト圧縮後: 長い会話でコンテキストが圧縮されると、計画と実装の乖離が起きやすい Plan Mode での実装フェーズ: 計画作成後の実装で、計画にない機能を追加してしまう 実践的な対策 CLAUDE.md への記述例 1 2 3 4 5 6 ## Anti-Hallucination Rules - ファイルの存在確認は必ず `ls` や `cat` で実行すること - パッケージのインストール状況は `which` だけでなく、実際のインポートやバージョン確認で検証すること - エラーの原因を主張する前に、必ずログファイルを読むこと - 「〜のはずです」「おそらく〜」という推測を事実として扱わないこと CLEO のようなツールの活用 CLEO は Claude Code 向けのタスク管理ツールで、4層の Anti-Hallucination 保護と SQLite による不変の監査証跡を提供します。 ...

Qwen Code ローカル運用実践記 — Mac Studio M3 Ultra で Ollama + qwen3-coder:30b を動かして分かったこと Qwen Code（Alibaba Cloud Qwen チームが開発したオープンソース CLI コーディングエージェント）を Mac Studio M3 Ultra（96GB）上で Ollama と組み合わせてローカル運用を試みた実践記録です。環境構築からツール呼び出しの限界まで、実際に手を動かして検証した結果をまとめます。 背景と目的 Claude Code は強力ですが、コードがクラウドに送信されるためプライバシーの懸念があります。Qwen Code は Apache 2.0 ライセンスのオープンソースで、Ollama と組み合わせれば完全ローカルで動作するため、機密コードベースでの利用が期待されます。 本記事の検証環境: 項目 スペック マシン Mac Studio M3 Ultra メモリ 96GB ユニファイドメモリ メモリ帯域 800 GB/s Ollama v0.15.6 Qwen Code v0.12.0（Fork からローカルビルド） モデル qwen3-coder:30b (18GB) ステップ1: リポジトリの Fork と Clone 調査・改造を前提に、まず QwenLM/qwen-code を Fork しました。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 # Fork（GitHub CLI） gh repo fork QwenLM/qwen-code --clone=false # devel ブランチを作成してデフォルトに設定 # main は upstream との sync 用にクリーンに保つ gh api repos/hdknr/qwen-code/git/refs \ -f ref="refs/heads/devel" \ -f sha="$(gh api repos/hdknr/qwen-code/git/ref/heads/main --jq '.object.sha')" gh repo edit hdknr/qwen-code --default-branch devel # Clone mkdir -p ~/Projects/qwen cd ~/Projects/qwen gh repo clone hdknr/qwen-code ブランチ戦略: ...

Qwen Code 初心者ガイド — 無料で使えるオープンソース CLI コーディングエージェント Claude Code の無料オープンソース代替として注目を集めている Qwen Code。Alibaba Cloud の Qwen チームが開発したターミナルベースの AI コーディングエージェントで、1日1,000リクエストまで無料で利用できます。この記事では、初めて使う人にもわかるように、インストールから実践的な使い方まで解説します。 Qwen Code とは何か Qwen Code は、ターミナル（コマンドライン）で動く AI コーディングアシスタントです。自然言語で指示を出すと、コードの理解・生成・編集・実行を自律的に行います。 一言で言うと 「無料で使える Claude Code のオープンソース版」 Claude Code との違い 観点 Qwen Code Claude Code 料金 無料（OAuth で1日1,000リクエスト） 従量課金（API 使用量に応じて） ライセンス Apache 2.0（オープンソース） プロプライエタリ ベースモデル Qwen3-Coder Claude インターフェース ターミナル CLI ターミナル CLI IDE 統合 VS Code, Zed, JetBrains VS Code, JetBrains MCP サポート あり あり コード品質 実用的（オープンモデルとしてトップクラス） 最高品質 カスタマイズ 完全にカスタマイズ可能 限定的 できること コードベース全体を理解して質問に答える ファイルの作成・編集・削除 シェルコマンドの実行 Git 操作（コミット、diff 確認等） バグの発見と修正 テストの作成と実行 MCP サーバーとの連携 インストール手順 前提条件 Node.js 20 以上が必要です。まだインストールしていない場合は nodejs.org からダウンロードしてください。 ...

「Claude Code が無料で無制限」は本当か — ollama launch claude の実態と品質ギャップの正直な話 @TusharSoni014 氏の X 投稿が 10 万回以上表示され、2,227 件のブックマークを集めています。 Want Claude Code Unlimited FREE? Follow, Download Ollama Install Qwen3.5 9B Run this command in your terminal, ollama launch claude –model qwen3.5:9b Enjoy Unlimited Claude Code fully running 100% Free 「Claude Code が完全に無料で無制限に使える」という主張です。1,311 件のいいねと 127 件のリツイートを見ると、多くの人がこの情報に飛びついたことがわかります。 結論から言えば、コマンド自体は実在しますが、「Claude Code が無料で動く」という表現は大きな誤解を招きます。正確に何が起きているのか、何が失われるのかを解説します。 ollama launch claude は実在する コマンドの正体 ollama launch は、Ollama v0.15 で追加された公式コマンドです。Claude Code、OpenCode、Codex などのコーディングツールを、環境変数や設定ファイルなしで起動できるようにするものです。 1 2 3 4 # 基本的な使い方 ollama launch claude # インタラクティブにモデルを選択 ollama launch claude --model qwen3-coder # モデルを指定して起動 ollama launch claude --model qwen3.5:9b # ツイートの例 このコマンドが裏でやっていることは、Ollama の Anthropic Messages API 互換モードを利用して、ローカルの LLM を Claude Code のバックエンドとして接続することです。 ...

「あなたは何者？」— 職能の境界が溶けた AI 時代に、認知パターンで自分を再定義する @yamashitakazuki 氏（山下一樹氏）のポストが、生成 AI によって「デザイナー」「エンジニア」という職能の境界が溶けつつある今、自分を認知パターンから捉え直す視点を提案しています。@kgsi 氏が「迷ってるデザイナーにこそ見てほしい記事」として紹介し、反響を呼んでいます。 迷ってるデザイナーにこそ見てほしい記事。生成AIで職能の境界が溶けていく中で、「自分は何者か」を肩書きではなく"認知パターン"から捉え直そうという話。実行者・調整者・構想者・深化者——自分も読みながら近しいタイプがあって、なんだか輪郭がはっきりした感覚があった。 山下氏は、Donna Dunning の著書 “What’s Your Type of Career?” (2001) をベースに、職能（何ができるか）ではなく認知パターン（どう考え、どう動くか）でキャリアを見つめ直すフレームワークを提示しています。 問いの構造 — なぜ「何者」が問われるのか 職能の境界が溶けている 2026年現在、生成 AI は職能の境界を急速に溶かしています。 従来 現在 UI デザインはデザイナーの仕事 エンジニアが AI でモックアップを作れる コーディングはエンジニアの仕事 デザイナーが Claude Code でアプリを作れる 設計書はアーキテクトの仕事 PM が AI で技術仕様を書ける テストは QA の仕事 誰でも AI でテストコードを生成できる AI がコードの8割を自動生成し、デザインツールが自然言語で操作でき、文章も翻訳も AI が担う。「何ができるか」で自分を定義していた人ほど、足元が揺らいでいます。 職能は「ペルソナ」に過ぎない 山下氏の指摘は鋭いものです。 職能はその人をとりあえず認識するのにとても便利ですが、あくまでペルソナであり、仕事上の姿であり、自分がどういう人かをまったく示しません。 「デザイナー」「エンジニア」という肩書きは、その人が何をするかは示しますが、どう考え、どう動くかは見えません。同じ「デザイナー」でも、全体を俯瞰して構造から入る人と、ディテールを積み上げて形にしていく人では、プロジェクトへの関わり方が根本的に違います。 4つの認知パターン — 実行者・調整者・構想者・深化者 山下氏は、Donna Dunning の「8 Ways of Working」を土台に、認知パターンを4つの大分類に集約しています。 一覧 認知パターン 特徴 プロジェクトでの役割 実行者 状況を即座に読み取り、実行し動かすことで価値を生む 手を動かし、具体的な成果を出す 調整者 人とプロセスをつなぎ、基盤と関係を安定させる チームの連携を保ち、プロセスを回す 構想者 まだ見えていない可能性に視点と構想を持ち、方向を示す ビジョンを描き、方向性を定める 深化者 ひとつのことを掘り下げ、質と精度を高め続ける 専門性を深め、品質を担保する 職能 vs 認知パターン 職能で見た場合: デザイナー A（UI デザイン） デザイナー B（UI デザイン） → 同じ「デザイナー」に見える 認知パターンで見た場合: デザイナー A（構想者）→ 全体を俯瞰し、ユーザー体験の方向性を示す デザイナー B（深化者）→ ディテールを追求し、インタラクションの質を高める → まったく異なる人物が見える プロジェクトの進み方を左右しているのは、職能の違いよりも認知パターンの違いだと山下氏は指摘します。 ...

Claude Code が .env を読んでログに出した — MCC 乗っ取り8桁被害の原因が特定された 広告の裏側（@hassii_ad）が、先日話題になった Google Ads MCC 乗っ取り事件の続報を投稿しました。いいね 2,558、ブックマーク 2,154、閲覧数 94 万超と大きな反響を呼んでいます。 【 続報 】原因が特定されました。 ・Antigravity は無関係、Claude Code で起きてた。 ・重要操作は人間の承認が必要な設定になっていたが、問題は権限ではなかった。 Claude Code が .env を読み込んだ（読み込み禁止にしてたのに無視されてた）→ その中の認証情報がログに出力されてた。→ 漏洩して悪用された。 初報（閲覧数 286 万、ブックマーク 5,399）では「被害額 8 桁後半」「原因不明」と報告されていましたが、続報で攻撃経路が確定しました。Antigravity は無関係で、Claude Code 単体の問題だったことが明らかになっています。 何が起きたのか — 攻撃の全体像 Claude Code が .env ファイルを読み込む （.claudeignore で禁止していたが無視された） ↓ .env 内の Google Ads 認証情報がログ（stdout）に出力される ↓ ログ経由で認証情報が漏洩 ↓ 攻撃者が MCC（マイクライアントセンター）にログイン ↓ 配下の全広告アカウントを使って深夜に不正広告を配信 ↓ アラートは飛んだが、当事者が目覚めた頃には被害拡大済み ポイントは「権限設定の問題ではなかった」という点です。重要操作には人間の承認が必要な設定にしていました。しかし Claude Code が .env を読み取って認証情報を stdout に出力するという想定外の挙動により、権限管理を迂回して情報が漏洩しました。 ...