📢 アップデート版を公開しました（2026/05/01） この記事のあと、3スキル体制に分割 + テストハーネスで検出率100%を達成 しました。最新の使い方は以下の記事をどうぞ。 👉 claude-security-scanを3スキル体制にアップデートしたら月$1未満で検出率100%を達成した話🎯 はじめに こんにちは、Sabakanです。 今回、Claude Code 用のセキュリティ診断スキル claude-security-scan を作って公開しました。 正直、自分でもびっくりするくらい実用的なものができたので、紹介させてください。 リポジトリはこちら → https://github.com/sabakan0123/claude-security-scan こんな気持ち、ありませんか？ 「セキュリティ診断、ちゃんとやりたいけど Burp Suite の使い方よくわからん」

はじめに 前回の記事で /security-scan を作った後、こんな気持ちになりました。 「これ、デプロイ前の静的解析と、デプロイ後の動的テストが混ざってないか？🤔」 そのとおりで、1スキルに詰め込みすぎていました。 今回は 3スキルに分割してOSSとして公開、さらに テストハーネスで精度を客観測定 するところまでやりました。 まず費用対効果だけ見てください 従来手段 claude-security-scan（3スキル）

以下の記事が面白かったので、簡単にまとめました。 ・Game development – Codex | OpenAI Developers 1. ブラウザゲームの作成1-1. はじめにゲーム開発は、Codexがコード生成以上の役割を果たす最も分かりやすい例の1つです。実際のゲーム開発には、通常、コンセプトの記述、レンダリングレイヤー、フロントエンドのシェル開発、バックエンドの状態管理、アセット制作、継続的なビジュアル調整が必要です。 このユースケースでは、Codexはまずゲームの動作内容を明確に記述することから始め、その後「Playwright」を使ってブラウザ上でゲームをテストするという反復的なプロセスで最大限の効果を発揮します。 1-2. スキルとプラグイン・Playwright ブラウザでゲームをプレイし、現在の状態を確認し、実際のビルドに合わせて操作性、タイミング、UIの感触を繰

この連休に「Claude Code」を一気に勉強しようと思っている人向けに、「これを上から順番に見切ったらClaude Codeにめちゃくちゃ詳しくなれる」という記事・動画ガイドを作りました。 14のステップごとに記事・動画を紹介しており、「まず全体像をつかみ、土台を整え、育て方を学び、応用とチーム展開まで広げる」という流れを押さえられるようになっています。 ぜひ「このGWこそはClaude Codeを学ぶぞ」と思っていた方はご活用ください。 連休明けには「Claude Codeが自分の業務環境の真ん中に座っている」という状態になっているはずです。 1. 2026年、もはやClaude Codeはエンジニア以外も全員が使うべきツールになったなぜ非エンジニアこそClaude Codeを使うべきなのかを全体像から解説した記事です。プロジェクトフォルダ／`CLAUDE.md`／Skillsの三層

みなさまこんにちは！エアークローゼットでCTOをしている辻です。 これまで 社内MCP群の全体像、DB Graph MCP、Biz Graph、Sandbox MCP と、社内向けに作っているMCPサーバーを順に紹介してきました。 今回はその運用の中で見えてきた、自作MCPサーバーのトークン消費を減らすTips の話を書きます。 困りごと：MCPは意外とトークンを食う MCPでAIエージェントを拡張するとき、最初に遭遇するのが トークン消費が想定より多い という現実です。 MCPのツール呼び出しは、結局のところ JSON-RPC over HTTP です。AIが送る引数も、ツールが返す結果も、そのままAIの会話コンテキストに乗ります。素直に実装すると、 ファイル丸ごとを引数で送る → 数千行のソースコードがコンテキストに張り付く DBクエリ結果を全件返す → 数千行 × 数十カラムの表がコ

こんにちは！株式会社エーアイセキュリティラボのはるぷと申します。 一般ユーザーがコマンド一発でrootを取れてしまうLinuxカーネルの脆弱性、CopyFail (CVE-2026-31431) が話題になっています。AIによって発見された論理バグで、汚しても問題ないEC2環境を作って実際に検証してみました。 この脆弱性は、 一般ユーザーがroot権限に昇格できる というものです。実行条件がとても簡単なので話題になりました。ざっくり仕組みを言うと、algif_aead・authencesn・splice() システムコールの組み合わせによって、メモリ上のページキャッシュを直接書き換えられてしまう、というものです。 脆弱性の発生原理は元記事の解説に任せ、ここではPoCで何が起きているのか中心に解説します。 TL;DR PoC を動かすと、一般ユーザーから1コマンドで root が取れる ディ

はじめに Claude Code を開発に取り入れるチームが、ここ最近かなり増えてきているのではないでしょうか？ 私はずっと GitHub Copilot を愛用していたのですが、数ヶ月前から Claude Code を使い始めました。 普段は VS Code で開発しているので、その拡張機能を入れた状態でしばらく使っていました。 便利なツールで開発が捗ることは確かなのですが、時々的外れな動作をしたり、処理に時間がかかったりして、「思っていたほど効率が上がらないな」と感じることが多々ありました。 また、X で多くの方が Claude Code を様々な方法で活用しているのを見て、自分は使いこなせていないなと感じていました。 そこで Claude Code の設定まわりを調べ、いくつかのファイル・ディレクトリを整備していった結果、開発体験が劇的に向上しました。 ざっくり言えば、新入社員のオン

はじめに こんにちは。GMO Flatt Security株式会社 セキュリティエンジニア(兼Claude Codeオタク)の石川（@ryusei_ishika）です。 Claude CodeやCursorなどのAIエージェントを活用したバイブコーディングが急速に広まっています。私自身、社内ではClaude Codeのリリース（ほぼ毎日）のたびにそのリリースノートの重要なポイントを解説しているほか、Biz職向けに「バイブコーディング講座」を実施するなど、社内でのAI活用の普及にも取り組んでいます*1。 リリースノートが公開されていると、出勤後すぐに便利な機能を解説する石川 昨今、AIエージェントを日常的に使い込むなかで、従来の開発では起きにくかったセキュリティリスクが顕在化しつつあると感じています。例えば、先日AIエージェント経由で.envの認証情報が漏洩し、外部サービスのアカウントが乗っ

Claude Codeは、便利なチャットではありません。 設定、文脈、検証、自動化、並列化まで設計すると、日々の作業環境そのものになります。 この記事では、手元にあるClaude Code運用メモを土台に、Anthropic公式ドキュメント、Claude Help Center、GitHub Actions、MCP、Hooks、Skills、Subagents、非対話モード、情報収集ワークフローまで整理しました。 この記事は全文無料（期間限定）で閲覧できます。 見出し画像はAIで生成しました。 プロンプトはこの記事に掲載中。 Claude Codeは「会話相手」ではなく「作業環境」ですClaude Codeを使いこなせない原因の多くは、プロンプトの上手さではありません。作業環境として扱えていないことです。 公式ベストプラクティスでも、Claude Codeはファイルを読み、コマンドを実行し

はじめに チームのコードレビューの負担を少しでも減らすために、Claude Code の Skills を使い、backend（Rails）レビュー用の /review-backend を作成しました。 この記事では、/review-backend の使い方と、実際に配置した設定ファイルを紹介します。 暫く使って安定したら、frontend 用にも展開する予定です。 まだ実運用を始めたばかりですが、同じように Claude Code でレビュー負担を減らしたい方の参考になれば幸いです。 環境 Claude Code v2.1.119 Claude Sonnet 4.6 Claude Team Ruby on Rails 7.x Ruby 3.2.1 前提知識 Claude とは Anthropic 社が提供する、ChatGPT や Gemini と同じように対話形式で使える AI アシスタ

はじめに 画像やPDFのテキストをコピーしたいとき、オンラインのOCRサービスに画像を送るのはちょっと抵抗がありませんか？ 特に社外秘の資料や個人情報が写っている場合。 通信ゼロ、ブラウザの中だけで完結するOCR があれば安心して使えるのに — そう思って、Chrome拡張機能を作りました。 以前からいくつかの日本語OCRを試してきて、ブラウザ内でも実用レベルで動くことがわかっていたので、それを誰でも気軽に使える形にしたかったのが動機です。 yomitokuで作る日本語OCR Webアプリ — サーバーサイドで高精度な日本語OCR Tesseract.jsでカスタムモデルのトレーニング — ブラウザOCRの可能性と限界 ブラウザだけで完結する日本語OCR＋透視変換 — NDLOCRをブラウザで動かす Chrome Web Store で「オフラインOCR」と検索してもヒットします。 これま

Claude Code Skills を使って投資分析システムを構築・進化させてきたシリーズです。自然言語で話しかけるだけで、銘柄探索・分析・ポートフォリオ管理・リスク評価が自動実行されます。 シリーズの流れ スクリプトによる 自動化 から始まり、GraphRAG による 学習、高度な分析機能の追加を経て、6つの AI エージェントが自律的に連鎖する マルチエージェントオーケストレーション に到達。さらに Vol.5 では 4つの異なるAIが結論を反証し考え直す DeepThink を実装しました。 記事一覧 Vol.1: 株スクリーニングを自動化した話 テーマ: スクリプトで 自動化 Python × yfinance × Claude Code Skills で、株式スクリーニングからポートフォリオ管理まで投資分析を自動化。4つのスクリーナーエンジンとヘルスチェック機能を実装。 Vol

はじめにLayerXで執行役員／VP of Product をしているnumashiといいます。 これまでキャリアの多くを、新規プロダクトの立ち上げにプレーヤーとして費やしてきました。ゼロからプロダクトを作り、顧客に届け、失敗し、作り直す——その繰り返しの中で、Minimum Viable Product(以下、MVP)という概念は自分にとって単なるフレームワーク以上のものでした。 「何を作るべきか」を問い続けるための、思考の型でした。 今、新規事業をやる中で、改めて生成AIの登場によってMVPの意味が根本から変わりつつあると感じたため、言語化しようと思います。 MVPとは何か新規プロダクトを作る際、MVPは開発の羅針盤でした。 Minimum Viable Product——その本質を説明するとき、Henrik Knibergのイラストがよく引用されます。 「車を作るなら、まずタイヤだけ

各種エージェントの台頭により、サーバレスに動作しローカルファイルとして保存でき、永続化可能な組み込みデータベースのSQLiteやDuckDBへの注目を感じる昨今ですね。これらDBでの全文検索(FTS)の日本語対応ってどんなものなのだろうかと調べると、trigram での検索はできるものの、日本語語彙に特化した検索は標準できないようでした。 Linderaを使うアプローチもあるようですが、今回は Rust で実装されている軽量高速なトークナイザの Vaporetto を組み込んで動く拡張機能を作ってみました。 SQLite + Vaporetto https://github.com/hotchpotch/sqlite-vaporetto DuckDB + Vaporetto https://github.com/hotchpotch/duckdb-vaporetto Vaporetto は

https://dev.classmethod.jp/articles/claude-code-security-basics/

クエリが遅くなった。直そう。ここから問題が始まる プロジェクト管理SaaSを1年ほど運用すると、Issueテーブルが200万行、変更ログテーブルが2000万行を超えてくる。ソフトデリートを採用していれば物理削除されないので、行数は増える一方だ。 最初の兆候はユーザーからの報告だった。「Issue一覧の読み込みが遅くて、フィルターを切り替えるたびに5秒くらい待たされるんですが」。スロークエリログを見ると、フィルター付きのIssue一覧クエリがp95で3秒を超えている。インデックスを追加すれば改善する。スキーマ変更も1つ控えていた。どちらもやること自体は明確だった。 問題は「200万行のテーブルにDDLを打つ」という行為そのものにあった。膨れ上がったテーブルに対するスキーマ変更は、パフォーマンスを改善するための作業が、新たな障害を引き起こす可能性を持っている。治療のための手術が患者を殺しかねな

はじめに Claude Code のプラグインエコシステムが急速に拡大しています。2026 年 4 月時点で、公式マーケットプレイス（claude-plugins-official）には 160 個のプラグインが登録されています。うち 32 個が Anthropic 製、残りはサードパーティ製です。 しかし、数が多すぎて「結局どれを入れればいいの？」と迷う方も多いのではないでしょうか。 この記事では、公式マーケットプレイスの中身を実際に確認した上で、おすすめのプラグインと MCP サーバー系プラグインを紹介します。 プラグインの基本 プラグインとは Claude Code プラグインは、スキル・フック・MCP サーバー・エージェントをパッケージ化して配布する仕組みです。プラグインをインストールするだけで、新しいスラッシュコマンドやツールが使えるようになります。 インストール方法 # 公式マ

皆様、Claude Code使ってますか？ CLIで利用されている方が大多数だと思いますが、VSCodeの拡張も悪くないよ、というお話です。 いつのころからか、左右にパネルが出るような構成になっています。 右側が通常（？）のチャット欄で左が過去のセッション一覧みたいな感じです。 左側にある「New session」をクリックするとメインのコードエディター部分にチャット欄がタブとして表示されます。 連打すると量産できますし タイル状に配置したりできます。 モードとか設定とか、マウスでポチポチ設定できます。 MCPサーバーの設定とかも、グラフィカルでわかりやすい。 プランモードでテトリスを作ってみましょう。 そういえば、Windowsですがいい感じにPowerShellを実行してくれます。 そういえば、別途claudeをインストールもしておらず、VSCode拡張をインストールしただけです。 ツ