対象 .env に API キーを入れてそのまま開発している セキュリティーを意識して、Vibe Coding を行いたい方 はじめに 　~.env なぜ 危ない？~ 🧑‍💻: 「Hey men! .env 読むな！」 🤖: 「わかりました。 .env を読み込みます」 ※AGENT.mdやCLUADE.md で設定していても、読み込む可能性があります。 .envを読み込まれるとなにが問題なの？ AIに.env を読まれると機密情報が学習されそう、と思い浮かびますが (もちろん、AIエージェントの設定で学習されるリスクもあります..) 実際問題になるのは、学習よりも前の段階で 機密情報(.env)がAIとその周辺ツールの処理に乗ることです。 具体的に何が起きるのか .env を AI が読める状態にしていると、以下のようなリスクがあります。 1. 生成コードへの埋め込み 「この AP

実際の画面とは異なるサンプルイメージです チームのSlackにAI社員を3人常駐させています。 社員5人で、2週間動かしました。 誤解を招きそうだからちゃんと書いておきます。 2週間です。半年でも1年でもなく、2週間。 それでも書きたくなるくらいのことが起きたので、この記事を書いています。 SIerの大規模開発で扱う資料は毎週溜まります。 仕様書の背景、顧客の痛点、過去の判断の残り香。 新しく参画したメンバーは、これを数週間かけて読み込むのがいつもの景色です。 そこに、このAI社員3人が入りました。 すると、2年目のメンバーが参画1週間でSKILLを直し、2週間で設計根本に疑問を出してきた。 正直、びびりました。 自己紹介・大規模現場の話を軽く 私はNTTデータグループ 技術革新統括本部のITアーキテクト（課長代理）で、大規模システムのモダナイゼーションに携わっています。 全社の高難度案件

はじめに 画像やPDFのテキストをコピーしたいとき、オンラインのOCRサービスに画像を送るのはちょっと抵抗がありませんか？ 特に社外秘の資料や個人情報が写っている場合。 通信ゼロ、ブラウザの中だけで完結するOCR があれば安心して使えるのに — そう思って、Chrome拡張機能を作りました。 以前からいくつかの日本語OCRを試してきて、ブラウザ内でも実用レベルで動くことがわかっていたので、それを誰でも気軽に使える形にしたかったのが動機です。 yomitokuで作る日本語OCR Webアプリ — サーバーサイドで高精度な日本語OCR Tesseract.jsでカスタムモデルのトレーニング — ブラウザOCRの可能性と限界 ブラウザだけで完結する日本語OCR＋透視変換 — NDLOCRをブラウザで動かす Chrome Web Store で「オフラインOCR」と検索してもヒットします。 これま

渋谷修太 | 起業と新潟と高専とアルビ @shibushuta 大学で授業をしていて、今年から明らかに学生の理解度の質が下がっているのを感じます。理由は、みんなAIを使って出力しているから。 例えば、AIを使ってプレゼン資料を作ったりしてるんですよね。すると、いざプレゼンとなったときに、資料に書いてある漢字が読めなかったりします。さらには、質問した時に自分の資料に書いてあることの意味すら分かっていなかったりします。 以前であれば、確かに資料の質は劣るかもしれないけれど、自分で入力した内容なので漢字が読めないとか意味を理解していないとかは流石になかったです。 AIがつくったものだと、「自分が作成したものを自分で理解できていないので、説明ができない」ということが起こるんですね。こんなことは今までなかったので、衝撃的でした。 AI時代になり、今まで想像できなかったようなことが教育現場で起きていま

えび子@🇨🇦さかな家の伝説 @SACANA_family 日本式お弁当いじめ遂にきたー😭 🇨🇦来てから約２年、毎日４人分のお弁当作ってるのですが、ついに日本の可愛いお弁当を「気持ち悪い」とか「変なの」とか小学校で言われるように…次女は教室でお弁当を開くのが怖いのか毎日食べずに残してくるように😢 あるあるとして聞いていたもののウチもか… pic.x.com/69CaVR8Vs4 2026-04-27 08:59:23 えび子@🇨🇦さかな家の伝説 @SACANA_family 小さくて可愛いお弁当箱にキャラクターのふりかけ、絶対羨ましいのもあると思うけど言われた方は辛いよね。 サンドイッチも断面映えとるしね！🤣 パンやナゲットをBENTGOに入れる日も近いのかな… 長男は「俺の弁当coolだろ」くらいに言ってそうだし、次男は保育園で韓国の先生が理解ありそう🤨 2026-04

イベントループの設計 これらを1つのイベントループでどう協調させるかが最初の課題です。 最初に考えたのは、すべてのデータ取得をtokioのタスクとして非同期に走らせるアプローチです。しかし、ポートスキャンやプロセス一覧の取得はコマンド実行やシステムコール経由であり、非同期化してもほとんどメリットがありません。むしろ、同期的な処理と非同期処理を混在させたイベントループのほうが、実装がシンプルになりました。 let tick_rate = Duration::from_millis(config.general.refresh_rate_ms); let mut last_tick = Instant::now(); loop { // まず現在の状態を描画する terminal.draw(|f| ui::draw(f, &app))?; // 次のtickまで待ちつつ、上限は50msで区切る

https://dev.classmethod.jp/articles/claude-code-security-basics/

はじめに Claude Code のプラグインエコシステムが急速に拡大しています。2026 年 4 月時点で、公式マーケットプレイス（claude-plugins-official）には 160 個のプラグインが登録されています。うち 32 個が Anthropic 製、残りはサードパーティ製です。 しかし、数が多すぎて「結局どれを入れればいいの？」と迷う方も多いのではないでしょうか。 この記事では、公式マーケットプレイスの中身を実際に確認した上で、おすすめのプラグインと MCP サーバー系プラグインを紹介します。 プラグインの基本 プラグインとは Claude Code プラグインは、スキル・フック・MCP サーバー・エージェントをパッケージ化して配布する仕組みです。プラグインをインストールするだけで、新しいスラッシュコマンドやツールが使えるようになります。 インストール方法 # 公式マ

はじめに 最近、AI エージェント（GitHub Copilot / Claude Code / Cursor / OpenCode / Codex …）に渡す「指示書」の種類が一気に増えました。 GitHub Copilot → .github/instructions/*.md, .github/prompts/*.md Claude Code → .claude/commands/*.md, .claude/agents/*.md Cursor → .cursor/rules/*.mdc これに加えて MCP サーバー / hooks / skills … チーム内でこれらを 「どこから集めて、どこに配っていますか？」 絵にすると、複数の取得元 × 複数のハーネス という多対多の配線を、各チーム／各リポが自前で組んでいるイメージです。 個々のツールが便利になっても、チーム全体としてこ

はじめに vulnerable-app に ZAP の full scan を回すと、High finding が並びます。XSS、SQL Injection、Path Traversal。alert 名を眺めて、ふと気づく。これは「危険です」の一覧ではない。handler への差し戻し指示書だ。 OWASP ZAP を実行すると、HTML、Markdown、JSON のレポートが出ます。そこには Cross Site Scripting (Reflected)、SQL Injection、Path Traversal のような名前が並びます。ただ、alert 名だけを見ても修正は始まりません。必要なのは、finding を実際の handler、SQL、HTML 出力、ヘッダ設定に戻すことです。 OWASP ZAP は OSS の web 脆弱性スキャナで、HTTP リクエストを投げて挙

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

はじめに miseとは 上記公式ドキュメントのHomeで強調されている通りですが、 Dev Tools asdfのような開発ツール管理 Environments direnvのような環境変数管理 Tasks makeのようなタスクランナー の3つの機能をコンセプトに挙げているCLIツールです。 zenn記事での実践例だと、以下が参考になります。 経緯 私は業務・個人開発共にmiseを愛用しているのですが、開発環境をIaCのように静的なmiseの設定ファイルで記述するのはプロジェクト（リポジトリ）単位がほとんどでした。 マシンに対してグローバルに適用するdotfiles管理での設定ファイル記述はmise Dev Tools機能の活用に留めていましたが、今回その他の機能も活用してdotfiles管理をmiseに集約したので記事として残します。 成果物 以下、dotfilesリポジトリです 今回

GeminiのGemを利用して、社内GoogleDriveの資料より、問い合わせの回答を行うチャットボット作成しましたので記載します。 概要 社内でGoogleDriveの共有ドライブを利用していますが、ファイルの数やフォルダの階層が多くなっていくと、必要な資料・情報を探したいとき、時間がかかることがあるかもしれません。例えば、以下のようなケースがあると考えています。 GoogleDriveの上部に表示されている検索機能より検索することも可能ですが、こちらは主にキーワード検索のため、文章で質問したいケースが出てくるかもしれません。（自分が覚えているキーワードと、実際のファイル名やファイルの文書内のキーワードが一致せずに、探すのが難しくなるケースがあるかもしれません） GoogleDriveのWeb画面で、右上のGeminiのマークをクリックすると、サイドバーにGeminiが表示されてドライ

GitHub Quick Review (ghqr) is a powerful command-line interface (CLI) tool that analyzes GitHub enterprises, organizations, and repositories to ensure compliance with GitHub best practices and security recommendations. Its main objective is to offer users a comprehensive assessment of their GitHub resources, allowing them to easily identify security gaps, misconfigured settings, and areas for impr

Togetter編集部 X（旧Twitter）に日々流れる情報の中から、編集部がさまざまなポストを選び出し、わかりやすい形でお届けすることを大切にしています。新たな視点や世間の反応を添えることで、読者の皆様にとって安心・安全で価値あるコンテンツとすることを目指しています。詳しくは編集方針をご覧ください。 あわせて読みたい

AIエージェント向けのスキル（Agent Skills）、みなさんはどう管理していますか？ 2026/04/16、GitHub公式CLIのghに、スキルをパッケージ管理する新しいサブコマンドgh skillが追加されました。GitHubのリポジトリに公開されているスキルをgh経由でインストール・アップデート・公開できます。私はこれまでnpx skillsでスキルをインストール・管理してきましたが、gh skillの方が安全面でよさそうなので乗り換えることにしました。 本記事では、メリットや実際の動作を紹介します。 3行まとめ gh skill install スキルでスキルをインストールできる gh skill publish スキルで自作スキルを仕様に沿って公開できる 改ざん検知・バージョン固定・由来情報の埋め込みなど、サプライチェーン対策が組み込み済み 環境準備 GitHub CLI

むかしむかし、東京で本物のモチを試したことがあります。私の彼女が客室乗務員で、東京行きのフライトがあり、そのときに本物のモチを私に持ってきてくれました。 ヨーロッパのレストランで売られているものはそれじゃない、フェイク・モチで、本物とは似ても似つかないんです。ヨーロッパでは誰も本物の作り方を知らないのが残念です。いつかまた試す機会があるといいな。 あなたはモチを試したことありますか？ Roman of Spades ⚓️ @Roman_of_Spades Когда-то очень давно я попробовал настоящие Моччи из Токио, моя подруга работает стюардессой и у нее был рейс в Токио, тогда она мне привезла настоящие Моччи. Хочу замети