Claude

Claude Code に潜んでいた3つの脆弱性 — git clone だけで API キーが盗まれる仕組み AIコーディングツール Claude Code に、リポジトリをクローンするだけでリモートコード実行（RCE）や API キー窃取が可能になる深刻な脆弱性が見つかった。発見したのはイスラエルのセキュリティ企業 Check Point Research。2025年7月〜2026年1月にかけて段階的に報告・修正された3件の脆弱性は、AI開発ツール特有の「設定ファイル＝実行レイヤー」という新しい攻撃面を浮き彫りにしている。 何が起きたのか — 3行まとめ Hooks コードインジェクション — .claude/settings.json に仕込んだフックで任意コマンドが実行される MCP 同意バイパス — enableAllProjectMcpServers 設定で信頼ダイアログを迂回し、悪意ある MCP サーバーが自動起動する API キー窃取 — ANTHROPIC_BASE_URL を攻撃者サーバーに書き換え、認証ヘッダーごと API キーを平文で盗む いずれも修正済みだが、AI コーディングツールのサプライチェーンリスクを示す重要な事例として記録しておく。 脆弱性の詳細 脆弱性 1: Hooks によるリモートコード実行 項目 内容 修正バージョン v1.0.87（2025年9月） CVSS 8.7 攻撃ベクトル .claude/settings.json の Hooks 設定 Claude Code の Hooks 機能は、セッション開始やツール呼び出しなどのライフサイクルイベントで事前定義されたシェルコマンドを実行する仕組みだ。 攻撃の流れ: 攻撃者がリポジトリに悪意ある .claude/settings.json をコミット ↓ 開発者が git clone してプロジェクトを開く ↓ Claude Code 起動時に信頼ダイアログが表示される ↓ ユーザーが "Yes, proceed" をクリック ↓ Hook コマンドが追加確認なしで即座に実行 ↓ リバースシェルや認証情報ハーベスターが起動 悪意ある設定の例: ...

Claude Code 時代、UI デザイナーの仕事は軽くならない — 「整える仕事」の自動化と評価軸シフト アオキタカユキ氏（@dorisukeone）が「やれることがどんどん拡張していく」とコメントを添えて、自身の note 記事を紹介しています。 Claude Code時代、UIデザイナーの仕事は軽くならない タイトルだけ見ると逆説的ですが、主張はシンプルです。AI が「整える仕事」を代替するぶん、デザイナーにはもっと上流の思考が求められるようになる。仕事は減るのではなく、質が変わるというのが記事の核心です。 「整える仕事」とは何か アオキ氏が自動化されると指摘する「整える仕事」は、UI デザイナーの日常業務の大部分を占めてきた作業です。 整える仕事 具体例 デザインシステム準拠 コンポーネントの使い分け、間隔・サイズの統一 ブランドトーン維持 カラー、タイポグラフィ、トーン&マナーの一貫性 アクセシビリティ対応 コントラスト比、フォーカス順序、ARIA ラベル 制作スピード 仕様に沿った画面を短時間で量産する能力 これらは再現性が高く、ルールが明文化されているため、AI による自動化と相性が良い領域です。Claude Code は CLAUDE.md にデザインシステムの仕様を記述しておくだけで、コンポーネント選定からアクセシビリティ対応まで一貫して処理できます。 なぜ「軽くならない」のか 「整える仕事」が自動化されるなら、仕事は楽になるはずです。しかしアオキ氏の指摘は、評価軸そのものがシフトするという点にあります。 従来の UI デザイナーの評価は「速く、整った画面を作れること」でした。これが AI で代替可能になると、その能力では差がつかなくなる。代わりに求められるのは「思考のズレを言語化する力」、つまり以下のような上流工程のスキルです。 問題定義: 「何を作るか」の前に「なぜ作るのか」を問う力 意思決定の言語化: 「このボタンを右に置く」ではなく「なぜ右なのか」を説明する力 ビジネスゴールとの接続: UI の判断をプロダクト戦略に紐づける力 仕事が軽くなるのではなく、より認知負荷の高い仕事にシフトする。だから「軽くならない」のです。 Claude Code × Figma が実現した双方向ワークフロー この評価軸シフトを加速させているのが、2026年2月に発表された Code to Canvas です。Figma と Anthropic が共同で開発したこの機能は、Claude Code で生成したコードを編集可能な Figma フレームとして取り込めます。 従来のワークフロー デザイナーが Figma で設計 ↓ エンジニアがコードに変換 ↓ デザイナーが実装を確認 ↓ 「ここ違う」→ 修正依頼の往復 Code to Canvas 後のワークフロー エンジニアが Claude Code で UI プロトタイプを生成 ↓ 「Send this to Figma」で即座に Figma に転送 ↓ デザイナーが Figma 上で直接編集・フィードバック ↓ 変更を Claude Code に反映 逆方向も可能です。Figma MCP サーバーを使えば、Figma のデザイントークン、コンポーネント構造、Auto Layout ルールを Claude Code が直接読み取り、デザインシステムに準拠したコードを自動生成します。 ...

Claude-Native Designer — デザイナーが「作る人」になる Figma MCP × Claude Code ワークフロー @felixleezd（Felix Lee）氏のポストが注目を集めています。ADPList の共同創業者であり、1,500 人以上のデザイナーに Vibe Coding を教えてきた Felix Lee 氏が、4 ヶ月の実践から導いた「Claude-Native Designer」のワークフローを公開しました。 If you want to ship products you designed, stop using Figma only. Do it on Claude Code instead. Autonomous AI = memory + planning + tools + safety + collaboration. It’s a system, not a prompt. 「デザインの未来はコードを学ぶことではない。ビルドすることを学ぶことだ」— この記事の核心は、デザイナーが抱えてきた「アイデアはあるが実装できない」という壁が、Claude Code によって構造的に消滅したという主張です。 デザイナーの天井 — 7 年間の経験が語る構造的問題 Felix Lee 氏は Gotrade（YC S19）と ADPList で 7 年間デザインに携わってきました。その間、デザイナーが直面する共通の天井を目撃しています。 ...

Everything Claude Code — Anthropic ハッカソン優勝者が作った「Claude Code 設定バイブル」の全貌 Ihtesham Ali さん（@ihtesham2005）が、Anthropic ハッカソン優勝者のリポジトリを「Claude Code 設定バイブル」として紹介し、大きな反響を呼んでいます。 Stop building agents from scratch. Anthropic hackathon winner just dropped the complete Claude Code config bible. It got Agents, skills, hooks, commands, rules, MCPs battle-tested over 10+ months. And now has PM2 + multi-agent orchestration with 6 new commands. This single repo replaces 10 different setups. https://x.com/ihtesham2005/status/2029246676339474841 457 いいね・865 ブックマーク・33,579 ビューを集めたこのポストが指すのは、everything-claude-code — GitHub 60,700 スターを獲得した、Claude Code のエージェント・スキル・フック・コマンド・ルール・MCP 設定を一括提供するオープンソースプラグインです。 ...

GitNexus × ゼロサーバーコード知能 — ナレッジグラフで「影響範囲」を可視化する新しいコードリーディング @sukh_saroy 氏が X で紹介した、コードベース全体を知識グラフに変換するツールが注目を集めています。 GitNexus: A zero-server code intelligence engine that transforms your codebase into a navigable knowledge graph. GitNexus は、コードベースをナレッジグラフに変換し、関数の呼び出し関係・継承・インポートの依存を構造的に把握できるコード知能エンジンです。サーバー不要で完全にローカル実行でき、Claude Code や Cursor などの AI コーディングツールと MCP（Model Context Protocol）で連携します。 本記事では、GitNexus の仕組み、従来のコード検索との違い、そして AI エージェント時代に「コードの影響範囲を知る」ことがなぜ重要かを解説します。 従来のコード検索の限界 grep/ripgrep では見えないもの エンジニアがコードベースを理解する方法は、長い間「テキスト検索」が中心でした。 従来のコード理解の方法: grep / ripgrep: ├── 文字列の一致を検索 ├── ファイル横断で高速 └── 限界: 「この関数を変更したら何が壊れるか」は分からない IDE の「参照を検索」: ├── シンボルの参照箇所を表示 ├── 型情報を活用 └── 限界: 間接的な依存（A→B→C）は追いきれない 手動でコードを読む: ├── 最も確実だが最も遅い └── 限界: 大規模コードベースでは現実的でない これらの方法に共通する問題は、コードの「関係性」が見えないことです。「この関数を呼んでいる場所」は分かっても、「この関数を変更したときの影響が最終的にどこまで波及するか」は分かりません。 AI コーディングツールの盲点 Claude Code や Cursor などの AI コーディングツールは、コードベースを理解する能力が飛躍的に向上しました。しかし、根本的な制約があります。 ...

Google Antigravity × Claude Code × Gemini × Nano Banana — AI時代の開発環境レイアウト設計 KAWAI さん（@kawai_design）が、Google Antigravity 上で Claude Code を主役にした開発環境のレイアウトを公開し、大きな反響を呼んでいます。 ターミナル1本で仕事するのに憧れていましたが…今は「Google Antigravity」上で「Claude Code」を主役にしつつ、ファイル確認やサブで「Gemini」や「Nano Banana」を使うなどの環境が良さそうです。ターミナルだとディレクトリ構造とかファイルの中身を確認するのが大変。 https://x.com/kawai_design/status/2029194729850835141 420 いいね・22 RT を集めたこのポストが示すのは、「ターミナル原理主義」でも「IDE 至上主義」でもない、AI ツールを組み合わせた実用的なワークスペース設計です。 KAWAI さんのレイアウト構成 公開された画像から、4つのペインで構成されたレイアウトが確認できます。 ┌──────────────────┬───────────────────────┬──────────────┐ │ │ │ │ │ フォルダと │ ファイルの中身を確認 │ Antigravity │ │ ファイルを確認 │ （エディタ領域） │ 用チャット │ │ │ │ (Agent) │ │ エクスプローラー │ │ │ │ ├───────────────────────┤ Gemini / │ │ │ │ Claude │ │ │ Claude Code用 │ Opus 4.6 │ │ │ ターミナル │ │ │ │ │ │ └──────────────────┴───────────────────────┴──────────────┘ 領域 役割 ツール 左サイドバー ディレクトリ構造の確認 Antigravity エクスプローラー 中央上 ファイル内容の閲覧・編集 Antigravity エディタ 中央下 Claude Code の実行 ターミナル（CLI） 右サイドバー AI チャット（質問・指示） Antigravity Agent パネル Claude Code はターミナルで CLI として実行し、Antigravity の Agent パネルで Gemini や他のモデルを補助的に使う構成です。 ...

Google Workspace CLI（gws）— Drive・Gmail・Calendar を 1 コマンドで操作する AI エージェント対応ツール @dify_base のポストが話題になっています。 Google がついに「Workspace を操作できる CLI」を公開。名前は「gws」。Drive、Gmail、Calendar、Sheets、Docs / Chat / Admin 対応。AI エージェント対応で 100 以上の Skill 付き。 Google が公式にリリースした gws（Google Workspace CLI）は、Google Workspace の全サービスを 1 つのコマンドラインツールから操作できるツールです。最大の特徴は Discovery Service による動的 API 構築と、100 以上の AI エージェントスキルの同梱です。Claude Code や Gemini CLI から MCP 経由で Google Workspace を操作する未来が、公式ツールとして実現しました。 gws とは何か — Discovery Service で動的に構築される CLI 従来の CLI ツールはコマンドをハードコードして出荷します。API が追加されればツールのアップデートが必要です。gws はこのアプローチを根本から変えています。 従来の CLI: 開発者がコマンドを定義 → ビルド → リリース → ユーザーがアップデート gws: 起動時に Discovery Service を読み取り → コマンドツリーを動的構築 → Google が API を追加すれば gws が自動的に対応 Google Discovery Service は Google の全 API のスキーマ（リソース・メソッド・パラメータ）を機械可読な形式で公開しています。gws はこれを実行時に読み取り、2 フェーズでコマンドを構築します。 ...

Goose 完全ガイド — Block が作った無料オープンソース AI エージェントの全貌 Block（旧 Square）が開発するオープンソース AI エージェント Goose は、GitHub で 32,400 スターを獲得し、Linux Foundation の Agentic AI Foundation（AAIF）の創設プロジェクトに選ばれた、エージェント AI 時代の基盤ソフトウェアです。 Claude Code costs up to $200 a month. Goose does the same thing for free. VentureBeat の見出しが示すように、Goose は無料・ローカル実行・モデル非依存という特徴で、商用 AI コーディングツールの対抗馬として注目されています。Block 内部では従業員 12,000 人の 60% が毎週 Goose を使用し、開発時間 50〜75% 削減を報告しています。 Goose とは何か Goose は「ローカルで動く、拡張可能な、オープンソースの AI エージェント」です。単なるコード補完ではなく、プロジェクトの構築・コード実行・デバッグ・ワークフローの統合を自律的に行います。 基本情報 項目 内容 開発元 Block, Inc.（旧 Square / Jack Dorsey 創業） 公開日 2025年1月28日 ライセンス Apache 2.0 言語構成 Rust 57.4%、TypeScript 34.9% GitHub Stars 32,400+ コントリビューター 409 人 リリース 121 回以上（最新 v1.27.0） インターフェース CLI + デスクトップアプリ 対応 OS macOS / Linux / Windows 費用 無料（LLM API 費用は別途） なぜ Block が作ったのか Goose は Block のエンジニアがソフトウェア開発を効率化するために内部ツールとして開発したことに端を発します。Jack Dorsey はオープンソースの推進者として知られ、Goose は Block の新設オープンソースオフィスから公開された最初のプロジェクトです。 ...

NotebookLM 2026 年完全ガイド — 9 つの Studio 機能とハルシネーションを構造的に防ぐ設計 えーたん(@ai_jitan) 氏が「NotebookLM の全機能を、本気で全部書く。【2026 年完全版】」という note 記事を公開し、大きな反響を呼んでいます。 保存必須！！ってか NotebookLM 使ってない人、マジで損してる。1 日の時間増えますよ。営業マンとかもまじで — @Via00Via 渾身の一撃。全 X 民は完全必読で保存必須 — @shintaro2575 元記事: NotebookLM の全機能を、本気で全部書く。【2026 年完全版】（note） 2026 年現在、NotebookLM は単なる「AI チャットツール」ではありません。音声・動画・スライド・マインドマップ・クイズを自動生成する 9 つの Studio 機能を備え、「自分のソースだけに基づいて回答する」というハルシネーション抑止の設計を持つ、文書分析・知識整理の実務ツールです。 NotebookLM とは Google が提供する AI ツールで、自分がアップロードしたドキュメントだけを情報源として使うのが最大の特徴です。ChatGPT や Claude が学習データ全体から回答を生成するのに対し、NotebookLM はアップロードされたソース外の情報を出力しません。 基盤技術 項目 内容 基盤モデル Gemini 2.5 Flash（2025 年 5 月移行） 動作原理 ソースグラウンディング（実質的に RAG） 最大ソース数 50 件/ノートブック（Pro 版は 300 件） 対応形式 PDF、Google ドキュメント、スライド、URL、テキスト、音声、YouTube Google のエンジニアは「RAG（Retrieval-Augmented Generation）」という用語を意図的に避け、「ソースグラウンディング」と呼んでいます。動作原理は以下の通りです。 1. アップロードしたドキュメントをベクトル空間にインデックス化 2. 質問に対して最も関連性の高いチャンクを検索・取得 3. Gemini が該当チャンクを参照して回答を生成 4. レスポンスに各ソースへのインライン引用を付与 ソース外の情報を出力しない設計のため、ハルシネーションリスクが構造的に低く抑えられます。これが法務・医療・内部資料分析など、信頼性が重要な業務で選ばれる理由です。 ...

Obsidian × Claude Code で「AIセカンドブレイン」を構築する — コンテキストがプロンプトに勝つ時代 Noah Vincent さん（@noahvnct）が、Obsidian と Claude Code を組み合わせた「AI セカンドブレイン」の構築方法を公開し、大きな反響を集めています。 Steal My AI Second Brain Setup With Obsidian + Claude Code (For Free) https://x.com/noahvnct/status/2029222820257935369 645 いいね・76 RT・1,741 ブックマークを集めたこのポストが紹介するのは、Obsidian の Vault（保管庫）に Claude Code を住まわせ、あなたの知識・プロジェクト・好みを全て理解した AI パートナーを作る方法です。Noah さんの主張の核心は「Context beats prompts. Always.（コンテキストはプロンプトに常に勝つ）」という一文に集約されています。 セカンドブレインとは何か 「セカンドブレイン」は、Tiago Forte が提唱した個人知識管理の概念です。本、記事、動画、ポッドキャストから得た知識を外部の仕組みに保存し、必要なときに取り出せるようにするシステムです。 従来のセカンドブレインの課題 多くの人がノートアプリに情報を溜め込みますが、実際にはほとんど活用できていません。 従来のセカンドブレイン: インプット（本・記事・動画） → ノートを取る → フォルダに保存 → 忘れる → 検索しても見つからない → 同じ情報を再度インプット 問題は「保存」と「活用」の間にあるギャップです。ノートは増え続けるが、必要なときに必要な情報を引き出す仕組みがない。Noah さんはこの問題を「誰も解決していなかった問題」と呼んでいます。 AI セカンドブレインの解決策 Claude Code を Obsidian Vault の中で動かすことで、このギャップが埋まります。 ...