バイブコーディングの「動く≠安全」問題——AIにセキュリティ要件を伝えない限り、リスクは静かに積み上がる
バイブコーディングの普及でAI生成コードが急増する中、セキュリティレビューを行う開発者は約1割にとどまるという実態が明らかになった。Developers Summit 2026でKyohei氏が語った「反脆弱」な開発組織への実践と、AIが防御的コードを書かない構造的原因を解説する。
Dapr 1.18「Verifiable Execution」—AIエージェント時代に「実行の証明」が求められる理由
Dapr 1.18がWorkflow History Signing・Propagation・Attestationを導入し、AIエージェントの実行履歴を暗号学的に検証可能にする「Verifiable Execution」を発表。徐聖博が運用視点と発注側への含意を論じる。
Claude Codeを企業配布するなら「3層設計」で考える——Starter KitとManaged Settingsの使い分け
AnthropicのClaude Codeを組織展開する際の公式管理機能とStarter Kitの役割分担を解説した記事を読んだ。プロビジョニング・ポリシー強制・標準環境配布の3層で整理するアプローチは、AIエージェントを業務に乗せようとしている開発会社として非常に参考になる内容だった。
生成AIガバナンスは「作るだけ」では機能しない──OWASPとレッドチーミングで設計する説明責任の仕組み
ある調査では70%の企業が生成AIのセキュリティを最大の課題と回答。しかし本質的なリスクは事故そのものより「説明できないこと」にある。OWASPとレッドチーミングを組み合わせたガバナンス設計の考え方を、PM・現場運用の視点で読み解く。
AWSが発表した「AWS Continuum」——コードだけでなくインフラとビジネスコンテキストまで読む脆弱性推論の意味
AWSが発表したAWS Continuumは、コードスキャンにとどまらずインフラ構成・ネットワークトポロジー・ビジネス上の優先事項まで文脈として取り込み、脆弱性の優先順位付けと緩和策提示を行う新サービス。徐聖博が「作る側」と「発注側」双方の視点から、その設計思想と実運用上の含意を読み解く。
AIエージェントがフィッシングに騙される——OpenClawの検証が示す「自律実行」のリスク
セキュリティ企業Varonisが公開した検証レポートによると、ローカル環境で動作するAIエージェント「OpenClaw」がフィッシング攻撃に悪用される可能性が示された。Gmailの受信トレイ確認・返信ができる状態のエージェントが、Generic・Strictいずれの設定でも認証情報や顧客データを外部に送信してしまったという。AIエージェントの現場導入が進む中、PM・開発者として運用設計を見直す契機として整理する。
ローカルLLM・Claude Code UI刷新・AIエージェント短期開発——週間ITランキングが示す「AI実装フェーズ」の現在地
@ITの2026年5月第4週ランキング上位10本を読み解く。ローカルLLM実用化、Claude Code UI刷新、AIエージェント開発の短期化、Linuxカーネル脆弱性など、AI活用と運用セキュリティが同時に読者の関心を集めている構図を、エンジニア兼経営者の視点で論評する。
長崎市の宿泊予約システム情報漏えい——「本番停止すべきテスト環境」が生んだリスクを現場目線で読む
長崎市が2026年6月3日に発表した宿泊客情報漏えい事案。廃止すべきテスト環境がAI活用システムの高度化に転用され、削除すべき顧客データが残留していたことが判明した。管理体制の不備を認めた今回の事案から、開発・運用両面の課題を整理する。
ゼロデイの攻撃成立は9〜20時間、KEV登録は5日|中小企業が今すぐ捨てるべきパッチ運用の前提
Claude Mythosが脆弱性を自律発見する時代に、CVSSスコア単独でパッチ優先順位を決める運用はもう成立しない。攻撃側と防御側の時間スケールが構造的に非対称になった現実と、中小企業が取れる現実的な対策を整理する。