最新記事一覧
オープンソースソフトウェア(OSS)の脆弱性に懸賞金をかけて発見を促し、対応を支援してきた米セキュリティ企業のHackerOneが、新規の報告受け付けを停止している。AIで生成された質の低い脆弱性報告の激増が原因といい、影響は主要OSSプロジェクトに及ぶ。同様の懸賞金プログラムを提供してきたGoogleも対応を強いられるなど、AIの影響が深刻化している現実が浮き彫りになった。
()
「TypeScript」エンジニアの平均年収が952万円となり、「Python」を上回った。INSTANTROOMの調査レポートを基に、TypeScript案件の年収水準や案件構成、働き方の傾向などを整理する。
()
GitHubで史上最速の勢いを見せるAIエージェント基盤「OpenClaw」。LLMが自らコードを書き、システムを操作する「実行レイヤー」の登場は、従来のデータ保護の概念を根本から覆す。情シスは「誰がデータを見るか」ではなく「AIがどう判断し動くか」という未知の壁にどう立ち向かうべきか。
()
AIがソフトウェアを書く時代が、いよいよ本格的に始まりつつある。「GitHub」の公開コミットの約4%が、米AnthropicのAIエージェント「Claude Code」によって書かれていて、2026年末には20%以上に達するという。この変化は、単なる「AIコーディングツール」の普及ではない。PCの使い方そのものが変わり始めている。
()
Aikido SecurityはAxiosの脆弱性「CVE-2026-40175」を分析し、重大とされた攻撃シナリオは「Node.js」の仕様によって成立しにくいと指摘した。ライブラリ自体の不備は認めており、修正版への更新など適切な対応を求めている。
()
オープンソースのJavaScript HTTPクライアント「Axios」に不正なコードが仕込まれたサプライチェーン攻撃。発端となったソーシャルエンジニアリングの手口が明らかになったことで、標的はAxiosにとどまらず、オープンソースエコシステムを狙った攻撃が他にも多発している実態が浮かび上がった。
()
ソフトウェア開発者を狙い、採用プロセスを装って悪意あるコードを実行させるソーシャルエンジニアリング攻撃が進化を続けている。Microsoftは公式ブログでサイバー攻撃の手口と対策について解説した。
()
2026年3月31日、毎週約1億ダウンロードされていた主要HTTPクライアントライブラリ「axios」の主要開発者アカウントが乗っ取られ、同ライブラリの依存関係にマルウェアが仕込まれた悪意のあるバージョンが公開された。影響範囲は大きく、侵害の全体像と対応の指針を示したGMO Flatt Securityのブログ記事が注目を集めた。本稿は同社で記事を執筆した米内貴志氏にインタビュー。記事では書かれなかった執筆者としての思い、相次ぐ「ソフトウェアサプライチェーン攻撃」の教訓を聞いた。
()
コーレは、AIコーディングエージェントを活用してスライド資料を作成・編集するためのオープンソースツール「DexCode」を公開した。開発者はターミナルを離れずに自然言語でスライドを作成できる。
()
レガシーなシステムの移行やモダナイゼーションを自然言語で効率的に実施したい――。この期待に応えるのがAWSの「AWS Transform Custom」だ。同サービスで実際に成果を出した事例を紹介する。
()
開発支援のAIツール「Claude Code」の名前を耳にする機会が増えている。現場が試し始める前に仕組みや扱い方を理解しておきたい場合に備えて、導入手順と活用例、利用時の注意点を紹介する。
()
GitHubは、AI支援開発ツールの「断片化」を解決する統合プラットフォームを紹介した。成功ビルドが84%増加し、「後で修正」の手戻り作業が大幅に減少するなどの成果を確認しているという。
()
Googleは「Antigravity」と「Gemini CLI」の選び方を解説するブログ記事を公開した。IDE型の統合環境を重視するか、CLIベースの自動化を重視するかで選択が分かれるという。
()
米Amazon Web Services(AWS)は、仮想プライベートサーバ(VPS)のAmazon Lightsailで簡単にOpenClawが導入できる、事前設定されたOpenClawインスタンスイメージの提供を開始しました。
()
JAXAは、地球観測データを利用するためのPythonパッケージ「JAXA Earth API for Python」のv.0.1.5を公開した。MCPをサポートし、生成AIツールで地球観測データを表示、分析できるという。
()
Java×Spring AIで始めるAIプログラミングの入門連載。前回までは、Spring AIを使ってMCPサーバを構築し、ファイル検索やリソース提供といった機能を実装する方法を解説してきました。今回は、作成したMCPサーバを「実際に使いこなし、システムとして完成させる」ステップへと進みます。
()
GitHubは「GitHub Copilot SDK」のテクニカルプレビュー版を発表した。計画立案やツール呼び出し、ファイル編集、コマンド実行などが可能なエージェント機能を、あらゆるアプリケーションに組み込むことが可能になるという。
()
Jamf Threat Labsは、北朝鮮に関連するとされる脅威アクターが悪意あるGitリポジトリを送付する手法を分析した結果を公開した。偽の採用プロセスを装って開発者を標的にしているという。
()
Googleは「Google Antigravity」と「Gemini CLI」という2つのAI開発ツールを提供している。両者共にシステム開発や運用、コーディングに利用可能なツールだが、どのような違いがあるのか。
()
2025年、GitHubにおける「最も成長している言語」の座を「TypeScript」が獲得した。なぜこの変化が起きたのか。「Python」すら押しのけてTypeScriptが選ばれた理由は何か。その技術的必然を解説する。
()
Node.jsは、全サポート系統を対象に複数の脆弱性を修正するセキュリティアップデートを公開した。重要度が高いVMモジュールのメモリ初期化不備や権限回避、HTTP/2の停止問題などへの対応が含まれる。利用者は速やかに最新版への更新が求められる。
()
React Routerは、Node.js用パッケージなどに深刻な脆弱性が存在すると報告した。署名なしCookieとの併用時に、指定外のファイルを読み書きされる恐れがある。CVSSスコアは9.1と高く、開発者は最新版への更新が推奨される。
()
技術トレンドの読み違えは、将来の「技術的負債」と「エンジニア採用難」に直結する。数百万サイトの追跡調査で判明した、口先だけの流行ではない「実戦で選ばれているWeb技術」の勝者を公開する。
()
開発者が何げなくたたくコマンドが、組織への侵入経路になる――。GitHubが警告する、npm環境を狙った自己増殖型ワーム「Shai-Hulud」。その狡猾な侵入プロセスと、情シスが講じるべき防衛策とは。
()
Microsoftは、Visual Studio CodeのInsiders版において「JavaScript/TypeScript Modernizer」(プレビュー)を公開した。古いJavaScript/TypeScriptアプリケーションのパッケージ更新やソースコードのモダナイズを支援するという。
()
Next.jsとReactの脆弱性を悪用し、短期間で数万台のサーバを侵害した大規模攻撃キャンペーン「PCPcat」が確認されている。攻撃は無差別に公開アプリを探索し、侵入後は認証情報を窃取して踏み台化する危険なキャンペーンだという。
()
IT人材が低収益な領域に偏り、日本はデジタル国難に直面している。IPA登大遊氏はこの構造を問題視し、GDP1000兆円達成へ向け、労働価値がスケールする領域への人材転換を提言した。
()
AWSは組織固有のレガシーコードの変換やランタイムのアップグレードに対応する「AWS Transform Custom」の一般提供を開始した。
()
AnthropicはAIアプリケーションを外部システムへ接続するための共通仕様「MCP」をLinux Foundation傘下の新組織AAIFへ寄付した。同社の狙いとは。
()
セキュリティSaaSを手掛けるAikido Securityは、npmパッケージを標的とした自己複製型ワーム「Shai Hulud」による2回目の大規模サプライチェーン攻撃を観測したと発表した。
()
セキュリティ研究者は速度測定アプリを装う不正ソフトウェアを発見した。Node.js環境や難読化JavaScriptを展開し、外部から任意の命令を受け付ける仕組みとなっていた。公式配布元からの入手徹底などの対策が求められている。
()
本連載ではローカルLLMの導入方法から活用方法に至るまで、「手元にハイエンドPCがあって、生成AIをローカル環境で動かしてみたい」という初心者の方にも分かりやすく連載で解説する。
()
JavaScriptはWebブラウザに搭載された、ブラウザ自身やWebページの表示を操作するための言語です。「ブラウザ本体を操作する」「Webページを操作する」とはどういうことなのでしょうか? 具体例を挙げながら説明します。
()
Node.jsのパッケージマネジャー「npm」を通じて、18種類の人気npmパッケージに悪意のあるコードが埋め込まれ公開されたという。これらのパッケージは合計で、毎週20億回以上ダウンロードされている。
()
New Relicは2025年8月21日にAI開発者の動向レポートを公開した。8万5000アカウントのデータを分析し、開発現場で利用されている技術の動向やAIモデルの採用状況について示している。
()
気軽に試せるラップトップ環境で、チャットbotを提供するオールインワンの生成AI環境構築から始め、Kubernetesを活用した本格的なGPUクラスタの構築やモデルのファインチューニングまで解説する本連載。今回は「SQLite MCP」「Playwright MCP」を活用し、データやテストコードを生成する一連の流れを解説します。
()
Googleは、同社のLLM「Gemini」をターミナルで利用できるオープンソースのAIエージェント「Gemini CLI」を発表した。
()
クラウドエンジニアの仕事を学ぶ本連載。今回は、クラウド上でのインフラ構築を具体的に解説します。ここで重要なキーワードとなるのが「IaC」。実際に手を動かして設定し、やり方がイメージできるようにしていきます。IaCのメリットとデメリット、注意点についても触れます。
()
AIモデルを外部のデータソースと連携させるプロトコル「MCP」を活用することで、AIアプリケーション開発にどのようなメリットが生まれるのか。その基本的な仕組みから実装例までを解説する。
()
人気過去連載を電子書籍化して無料ダウンロード提供する@IT eBookシリーズ。第138弾では、AzureのWebサーバ「App Service on Linux」に内蔵の「NGINX」をカスタマイズすることで、標準のApp Serviceにはない機能を実現する方法をまとめてみた。
()
IBMのX-ForceはElectronの脆弱性を利用し、WDACを回避する攻撃手法を実証した。シェルコードをWebブラウザプロセス内で実行することでEDR製品の検知を回避できることが分かっている。
()
AWSは、Amazon EC2の新しいコンピューティング最適化インスタンス「C8gd」、汎用インスタンス「M8gd」、メモリ最適化インスタンス「R8gd」の一般提供を開始した。
()
Daggerは、「コンテナ時代のシェル」をうたうオープンソースソフトウェア(OSS)の「Dagger Shell」を公開した。
()
Google Cloudは、自然言語で作りたいアプリケーションの内容を説明すると生成AIが自動的にフルスタックのWebアプリケーションを生成してくれる開発ツール「Firebase Studio」を公開しました。
()
「MCPってよく聞くけど、自分には関係ない?」──そんな人にこそ読んでほしい! Claude Desktopを使えば、“AIが外部サービスとつながる新時代”を誰でも簡単に体験できます。MCPとは何か? なぜ注目されているのか? 気になる課題や今後の進化まで、思いの丈を語りました。未来を切り開くのは、“今”試してみるその一歩かもしれません。
()
Googleは、「OSV-Scanner」の最新版「OSV-Scanner V2.0.0」を公開した。依存関係解析の強化、コンテナイメージのスキャンなどの新機能が追加された。
()
OpenAIは、AIエージェント開発の新しいツール「Responses API」と「Agents SDK」を発表した。
()
北朝鮮の「Lazarus」による世界規模のデータ窃取攻撃に関する最新の調査レポートが公開された。同レポートで判明した「4つの事実」とは。
()