terraform applyをGHAで実行してはいけない理由 こんにちは、SREの@okazu_dmです。 常日頃からGHAでterraform applyをするのはやめろと言い続けているのですが、最近GHAを起点とした攻撃が立て続けに起こっており、改めて文章の形でまとめておいた方がいいなと思ったので記事を書きました。 はじめに 2026年3月ごろから、GHAを攻撃の入り口として悪用する事例が目立っています。 たとえば、以下のAeye Security Labの記事では、PRタイトル、ブランチ名、ファイル名など、外部から与えられる値をGHAの run ステップ内で不適切に展開した場合に、任意コマンド実行やシークレット漏洩につながることが検証されています。 ここで重要なのは、攻撃対象がpublic repositoryに限られないことです。private repositoryであっても、開

はじめに Claude Code のプラグインエコシステムが急速に拡大しています。2026 年 4 月時点で、公式マーケットプレイス（claude-plugins-official）には 160 個のプラグインが登録されています。うち 32 個が Anthropic 製、残りはサードパーティ製です。 しかし、数が多すぎて「結局どれを入れればいいの？」と迷う方も多いのではないでしょうか。 この記事では、公式マーケットプレイスの中身を実際に確認した上で、おすすめのプラグインと MCP サーバー系プラグインを紹介します。 プラグインの基本 プラグインとは Claude Code プラグインは、スキル・フック・MCP サーバー・エージェントをパッケージ化して配布する仕組みです。プラグインをインストールするだけで、新しいスラッシュコマンドやツールが使えるようになります。 インストール方法 # 公式マ

とりにく @tori29umai いじめは楽しいし、差別は無意識にやるし、道徳的尺度で他者の優位に立つのはとても気持ちがいい。 自分はそう言う人間だと知っておいた上で、できる範囲で繕いたい。 自身を無辜と思っていたら、それはできないので。 って話をすると私はそうではない！って反論喰らうのでそうなのかーで終わってる 2026-04-23 22:23:40 とりにく @tori29umai いじめが楽しいっていう言葉の強さに怒られが発生するんだけど、私は学生時代、いじめられる側だった上で、彼らは私に行ったことをいじめと認知していなかった（キモい奴を面白おかしくパージした、むしろ自分たちはキモさの被害者だった位のスタンスだと思う正直）んだろうし、今もそうだろうな、と思っている。私はそれに滅茶苦茶苦しんだし今も苦しんでいる。 だからこそ、それを否定したいから『自分にはそういう本能がある』って事から

社内のチームメンバー(クラウド事業本部コンサルティング部)向けに 「 Claude Code を安全に使おう勉強会 」を開催しました。 Claude Code をセキュアに使う上での、 基本的な考え方や権限/サンドボックス機能の紹介、簡単なデモを実施しました。 DevelopersIO向けに調整したスライドを掲載します。 以下勉強会で連携した設定サンプルです。 Claude Code を安全に使おう勉強会: 補足資料 - Gist スライドの内容:テキスト情報を以降に記載します。参考になれば幸いです。 イントロ 勉強会の目的やアジェンダ、スコープについて話します。 勉強会の目的 Claude Code (に限らず、AIエージェント) はとても便利です。 しかしリスクもあり、暴走もします。 この勉強会では、 Claude Codeが適切な範囲で適切に動けるような、 ガードレールの敷き方 を学

The Go gopher was designed by Renée French. https://gotalk.connpass.com/event/388084/

【Harness Engineering入門】AIエージェントを制御するアプローチの登壇資料となります。 https://findy.connpass.com/event/388471/

1830年頃、わずかな夜の明かりを得るためには、約3時間の労働が必要でした。しかし1992年ごろにはそれが1秒にも満たない労働ですむようになったと言われています。ロウソクから白熱電球、蛍光灯へという技術的発展が、光を劇的に安くしたのです。 そうして光が安くなったとき、人は同じ量の光を単に安く買って終わり――ということにはなりませんでした。 人々は、かつて置こうとも思わなかった場所にまで光を置き、街路、工場、看板といった、社会のあらゆる場所に安くなった光を敷き詰めていきました。そうして、工場は曇りや雨の日にも稼働することができるようになったり、深夜営業や夜の読書といった新しい活動が可能になったのです。 そこで儲けたのは、光を提供した会社だけではなく、それをうまく使った会社でした。 では、ソフトウェアや知能が安くなったとき、私たちはそれをどのように使うのでしょうか。 生成AIによる大きな変化は

Matt Pocockさんが作った「grill-me」というAgent Skillsが、とてもシンプルなのですがとても良いので紹介したいと思います。 たった3行のスキル Agent Skillsってだいたい数十行〜150行くらいあるものが多い印象ですが、なんと grill-me はたったの3行。 この計画のあらゆる側面について、私たちが共通の認識に達するまで、徹底的に私に質問を投げかけてください。 設計のツリーを枝分かれの先まで一つひとつたどり、決定事項間の依存関係を順番に解決していきましょう。 各質問に対し、あなたの推奨する回答も併せて提示してください。 質問は一度に一つずつお願いします。 もしコードベースを探索することで答えが得られる質問であれば、質問する代わりにコードベースを調査してください。 こんな短い記述で何が変わるの？という感じですが、コーディングエージェントの挙動がガラッと変

7つの主要なAPIスタイル——REST、GraphQL、Atom、gRPC、webhook、WebSocket、RabbitMQ——の設計と実装をハンズオンで学ぶ実践ガイド。天気予報サービスの構築を通じて、各スタイルの利点や欠点、アーキテクチャから実装、ネットワークプロトコルまでを体系的に解説します。単なる概念説明ではなく、完全な実装例とともに各APIスタイルの本質を理解できる構成です。GitHub CodespacesやDockerを活用した実行環境が用意されているので、読者は実際に手を動かしながら学べます。 賞賛の声 序文 まえがき 1章　APIの概念 1.1　APIとは 1.2　ネットワークベースのAPI 1.3　API通信での用語 1.3.1　メッセージ 1.3.2　伝送モード 1.3.3　同期形式と非同期形式の通信 1.4　APIの歴史 1.5　APIが必要とされる理由 1.6　

@h13web です。 昨年の秋に、「グローバル展開にむけたアプリと基盤の再構築」という技術ブログを読みました。日本を代表するテック企業であるメルカリが、グローバル展開のための基盤を刷新したという話です。 この中で語られている「Microservicesの課題」については、思うところがありました。実は弁護士ドットコムでも、かつて似たような体験をしています。モノリスをマイクロサービスに分割するプロジェクトがあり、内部設計より疎結合化が優先され、ドメインを横断するコンテキストが各サービスにコピーされ、開発速度はモノリスのときよりもむしろ落ちました。 その体験を思い起こしながら読み進めるうち、うまく言葉にできない違和感のようなものが湧き上がってきました。記事の筆致は丁寧で、反省の言葉もあります。「今後マイクロサービスを初手で選ぶことは、特別な理由のない限りしないほうがいい」。その率直さには好感を

馬鹿な女の不倫話、ぜーんぶ自業自得で無事独身 私は子どもの頃、あまり恋に興味がなく 小中は同じクラスのおませな友人が付き合っただの別れただのの話をしているのを聞いては、 私も高校生くらいになったら好きな人ができるのかなぁとぼんやり考えていた。 しかし高校は女子校へ進学し、習い事も特にしていなかったので、同年代の男性との関わりはゼロ。 漫画やドラマを見てはしゃぐ程度で、そこまで強く「彼氏が欲しい」と思うこともなく、花のJK時代を浪費していた。 そしてようやく大学生になって、同年代の男性と知り合う機会が増えた。 けど別にそこまで恋人が欲しいと言う熱意もなく、むしろ女友達からは「ぜんぜん恋愛する気ないのつまらない！」と言われる始末。 (確かに自分でも、恋多きタイプではないなーと思っていた。) でも大学に入って最初に仲良くしてくれた男友達が告白してくれて、それがなんだかこしょばくて嬉しくて、初めて

Anthropic Claude Codeのnpmパッケージにソースマップが含まれ、1,902ファイル・51万行超のTypeScriptソースが公開状態に。未公開プロジェクト「KAIROS」や107個のフィーチャーフラグなど、内部コードの全貌を解説する。 Anthropicが「うっかり」自社ツールの中身を全公開した Anthropicが提供するAIコーディングツール「Claude Code」の中身が丸見えになった。 ハッキングされたわけではない。Anthropicが自分でnpm（JavaScriptのパッケージ管理システム）にコードを公開するとき、「ソースマップ」という本来含めてはいけないファイルを一緒に入れてしまった。いわば設計図を製品と一緒に箱に入れて出荷してしまったようなものだ。 発見したのはセキュリティ研究者のChaofan Shou氏。対象は @anthropic-ai/clau

sponsored 半年以内の事業化に向けPoC中、データ事業売上「1.1兆円」を目指す 三菱電機×燈が“爆速”で挑むフィジカルAI　工場無人化に向けた“ラストピース”を埋める sponsored 人気開発スタジオHypolygonに聞く、新世代のゲーム開発とは マンションの1室から世界へ、大流行中の「Roblox」で開発する要注目ゲーム「Bugmon」はゲーミングPC1台で作られた!? sponsored AMD Ryzen™ AI Max+ 392搭載、薄型軽量なのにゲームでも優秀 内蔵GPUでデスクトップ並みってあり得るの？ ASUS TUF Gaming A14 FA401EAをレビュー sponsored HP Wolf Connect スマホの「探す」機能、なぜ会社のPCにはないの？　電源オフでも追跡・データ消去できる新たな解決策を知る sponsored 「arrows Al

AI を導入したら、逆に「何が起きてるか分からない」が増えた Claude Code を使い始めて数週間。生産性は確かに上がった。でも、こんな場面が増えた。 「なんか遅いな……」→ 何が遅いのか分からない Bash を 10 回連続で叩いてる → なぜそんなに必要なのか追えない サブエージェントが勝手に動いてる → いつ終わるのか読めない エラーで止まった → どの段階で詰まったのか分からない Web サービスなら、こういう「見えない」は OpenTelemetry（OTel） で解決する。リクエストのトレース、レイテンシの分布、エラー率——全部可視化できる。 じゃあ、AI エージェントにも同じことをやってみよう。 この記事では、Claude Code の実セッションログ（1 日・130 回のツール呼び出し）を OTel トレースに変換し、Jaeger で可視化した全記録を公開する。 準備

コードを書くのをやめた。Claude Codeに月商300万のSaaSの全コードを書かせ、完全ソロ運用しているという話。 私は現在、B2B向けのニッチな自動化APIミドルウェアをSaaSとして完全な個人で運用し、広告費ゼロ・従業員ゼロで毎月およそ300万円ほどのMRR、定額の月次収益を生み出している。しかも実を言うと、この半年間、エディタを開いて人間が手入力する従来のコーディング作業など1秒たりともおこなっていない。ローカルのターミナルからClaude Codeを呼び出し、AIに要件と仕様を突っ込んでシステム全体を保守拡張させているだけだ。 コードを手書きする時代は終わった。ではエンジニアは何をすれば勝てるのか。本当に機能するAIネイティブ時代のSaaS個人開発と、B2Bマーケティングの泥臭い現実を、書き殴っておく。 エディタを捨てろ。Claude CodeとStripeの組み合わせで人間

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? みなさん、ClaudeCodeを使っていますか？ (「バチバチ使いこなしているぜ！」という方は読んでも意味ないので、この記事は閉じてください！) 私はClaudeCodeが好きで、業務はもちろん日常生活でもほぼ毎日使っています。なるべくClaudeCodeに仕事をさせるように、設定やSkillを日々いじくり回しています。 ただ、ClaudeCodeは便利な反面、難しいツールでもあります。難しい理由は「機能の豊富さ」と「爆発的なアップデート速度および頻度」から来ていると思っています。気を抜くとすぐに自分の知らない機能が増えています。私もな

カスタムリンター戦略: エージェント向けルールの設計 Factory.aiの4カテゴリ Factory.aiがオープンソースで公開したeslint-pluginは、エージェント向けリントルールを4カテゴリに分類しています。 Grep-ability(検索容易性): デフォルトエクスポートよりnamed exportを強制。一貫したエラー型と明示的なDTO。エージェントがコードベースをgrepで走査する際の命中精度を高める Glob-ability(配置予測可能性): ファイル構造を予測可能に保つ。エージェントがファイルを確実に配置・発見・リファクタリングできるようにする アーキテクチャ境界: クロスレイヤーのインポートをブロック。ドメイン固有のallowlist/denylistで依存方向を強制 セキュリティ/プライバシー: 平文シークレットのブロック、入力スキーマのバリデーション強制、e

物理が苦手な高校生だけでなく，物理に興味がある中学生や，学び直したい大学生・社会人の役に立てるようなサイトを目指しています！ 各解説記事は物理学科卒の管理人が実際に教壇に立った経験を元に，学習指導要領に準拠して作っています（一部扱う順序を入れ替えている部分あり）。安心してご利用ください。

ラッキーサウンド @LUCKYSOUND 母が死んだときに持ってた株を相続したので株主優待で洗剤とかごま油とかお菓子とかが定期的に家に送られてくるんですが、なんか母から仕送りもらってるような気持ちになるので株はこれからも売らずに持っておこうと思っています。 2026-03-06 01:30:50