本記事の検証は環境によって異なる結果になる場合がありますので、本記事の検証結果をそのまま鵜呑みにしないでください。実運用環境と同等の環境で検証されることをお勧めします。 はじめに スローHTTPアタックは、サーバーのリソースを枯渇させ、サービスを停止させるDoS攻撃の一種です。本記事では、Docker環境に構築したWebサーバー、アプリケーションサーバーに対してスローHTTPアタックを行い、サーバーリソースがどのように変化するのかを検証します。また、各サーバーのタイムアウト値などの設定も検証します。 スローHTTPアタックの概要 まずはスローHTTPアタックの仕組みを簡単に説明します。スローHTTPアタックはアプリケーション層（L7）のDoS攻撃です。 良く知られているICMP FloodやSYN Floodは大量のパケットやトラフィックを送りつけてサーバーをパンクさせるL3/L4のDoS

結論から言うと、Cursorユーザーは今すぐバージョン2.5以上にアップデートしてください。 2026年4月28日、AIコーディングツール「Cursor」にCVSS 9.9（NVD評価） の致命的な脆弱性が公開されました。 悪意のあるリポジトリを開いて Cursor の AIエージェントに作業させるだけで、ユーザーが何も承認しなくてもPC上で任意コードが実行されます。 この記事では、CVE-2026-26268 の 実際の攻撃チェーン、サンドボックスがなぜ意味をなさなかったのか、そして AIエージェント時代に開発者が知っておくべきセキュリティモデルの変化を、1次ソースに基づいて詳細解説します。 TL;DR — 30秒で要点把握 項目 内容

皆様、Claude Code使ってますか？ CLIで利用されている方が大多数だと思いますが、VSCodeの拡張も悪くないよ、というお話です。 いつのころからか、左右にパネルが出るような構成になっています。 右側が通常（？）のチャット欄で左が過去のセッション一覧みたいな感じです。 左側にある「New session」をクリックするとメインのコードエディター部分にチャット欄がタブとして表示されます。 連打すると量産できますし タイル状に配置したりできます。 モードとか設定とか、マウスでポチポチ設定できます。 MCPサーバーの設定とかも、グラフィカルでわかりやすい。 プランモードでテトリスを作ってみましょう。 そういえば、Windowsですがいい感じにPowerShellを実行してくれます。 そういえば、別途claudeをインストールもしておらず、VSCode拡張をインストールしただけです。 ツ

3月31日、AnthropicのAIコーディングツール「Claude Code」の全ソースコードが突如としてネット上に流出しました。 原因はなんと、npmパッケージに含まれた .map（sourcemap）ファイル 。 Bunでビルドしたときにデフォルトで生成されるsourcemapに、元々のTypeScriptソースが丸ごと埋め込まれていたのです。 これによりソースマップ経由でソースコードが流出しました。しかし、ヤバいのはここからです。 流出→即バックアップ→DMCA連発 最初に流出を報告したのは Fried_rice 氏。 公開されたZIP（src.zip）には、Claude Codeの全アーキテクチャ、システムプロンプト、ツール群、未公開機能フラグ（KAIROS、BUDDY、ULTRAPLANなど）、Undercover Modeまで完璧に含まれていました。 すぐに realsigr

CLAUDE.mdは長いほど効くわけではありません。むしろ長いほどClaude Codeは従いにくくなります。 100行書いたCLAUDE.mdと、35行に削って残りを.claude/rules/に分離したCLAUDE.md。同じ指示を出しても、後者の方がClaudeの出力品質が明らかに高いのです。 この記事では、なぜそうなるのかを公式仕様に基づいて解説し、「どの行を残し、どの行を移し、どの行を消すか」を1行単位で設計する方法論を紹介します。 CLAUDE.mdの注入メカニズム — なぜ「埋もれる」のか User Messageとして注入される事実 公式ドキュメントにはこう書かれています。 CLAUDE.md adds the contents as a user message following Claude Code's default system prompt. — Claude

本稿では、AIエージェントの出力品質は「構造」で大きく変わるという前提のもと、CLAUDE.mdの次のパラダイムとして注目される「ハーネスエンジニアリング」の概念・構成要素・導入方法を、実運用の経験を交えて解説します。 なぜハーネスが必要になったのか 半年ほど前、筆者はCLAUDE.mdだけでプロジェクトを回していました。 コーディング規約、ディレクトリ構成、技術スタックを書いておけば、AIは概ね期待通りに動きます。 最初のうちは。 問題はプロジェクトが大きくなってから出ました。 品質のばらつき: 同じ「APIエンドポイントを追加して」という指示でも、セッションによってファイル配置やエラーハンドリングの粒度が違う セッション切れの断絶: 昨日の作業の続きを頼むと、前回の設計判断を無視した実装が返ってくる スキル追加の破綻: /deploy /write-test のようなスキルを20個以上

はじめに こんばんは、mirukyです。 ある日突然、AWSから $15,000（約200万円）の請求書 が届いたらどうしますか？ 2026年3月、海外でまさにこの事態が発生しました。個人開発者のS3バケットがDDoS攻撃を受け、3日間で160TBのデータ転送が発生。結果として約200万円の請求が来たのです。AWS側に減額を申し出て一部減額は受けたものの、それでも到底払えない金額が残りました。 怖いのは、この事態は誰にでも起こりうるということです。S3バケットをパブリックに公開している、あるいはCloudFrontの背後に適切な保護を設定していない——それだけで、あなたのAWSアカウントも同じリスクを抱えています。 本記事では、AWS公式ドキュメントと料金体系に基づき、S3/CloudFrontのコスト爆発を防ぐための具体的な防止策をコンパクトにまとめます。 目次 なぜS3のデータ転送で2

はじめに LLMの推論コストを支配する要因のひとつが KVキャッシュ（Key-Value Cache） のメモリ消費である。コンテキスト長が伸びるほどKVキャッシュは線形に膨張し、GPUメモリを圧迫してバッチサイズやスループットを制限する。 2026年3月25日、Google Researchは新しい圧縮アルゴリズム TurboQuant を公式ブログで発表した。KVキャッシュを 3ビットに圧縮しながら精度損失ゼロ を実現し、メモリ使用量を 6倍削減 、NVIDIA H100上で注意機構の計算を 最大8倍高速化 する。論文は ICLR 2026 で発表される。 この記事では、TurboQuantの技術的な仕組みからベンチマーク結果、コミュニティ実装を使った導入方法までを解説する。 この記事で学べること KVキャッシュがLLM推論のボトルネックになる理由 TurboQuantの2段階圧縮アル

はじめに お久しぶりです〜 今回はちょっと毛色の違う記事です。楽天WalletのETH/JPY CFDをGeminiが自動でトレードするボットを作ったので、その話をしたいと思います。 AI駆動開発（AI-DLC）で開発し、インフラはAWS CDKで全部コード管理してます。 ↓こちらから購入できます↓ Geminiがテクニカル指標を読んでEntry/Exitを判断し、楽天WalletのCFDを自動で取引するボットアプリ 値段交渉もあればぜひ、、笑 作ったもの、一言で言うと 「Geminiがテクニカル指標を読んでエントリー・エグジットを判断し、楽天WalletのCFDを自動で取引するボット」 毎分マーケットデータを収集して、条件が揃ったときだけGeminiに判断を投げます。 返ってきたJSON（ENTER_LONG / SHORT / HOLD / EXIT）をパースして、ガードレールを通過し

Rust・Kotlin・Go・TypeScriptで再考するGoFデザインパターン：モダン言語機能が変えた設計の常識 1994年に発表されたGoF（Gang of Four）の23のデザインパターンは、オブジェクト指向プログラミングの設計指針として30年以上にわたり参照されてきました。しかし、Rust・Kotlin・Go・TypeScriptといったモダン言語が持つ代数的データ型、パターンマッチング、ファーストクラス関数、トレイトシステムなどの機能は、GoFパターンの多くを「言語機能に吸収」しています。 本記事では、GoF 23パターンをモダン言語の視点で分類し、「不要になったパターン」「形を変えて生き残るパターン」「今なお有用なパターン」を具体的なコード例とともに整理します。 この記事でわかること GoF 23パターンのうち、モダン言語の機能で不要化・簡素化された具体的なパターンと理由

自動化すべきタスクを見極める3つの基準 まずは「自動化する価値があるかどうか」の判断軸を整理しておきましょう。以下の3つに当てはまるタスクは、自動化の優先度が高いです。 繰り返し頻度が高い（週3回以上やっている） 手順が決まっている（毎回ほぼ同じ操作をしている） 判断がほとんど不要（考えなくてもできる） この3条件が揃ったとき、人間がやっている意味はほぼありません。そこに時間を使うのは、正直もったいないと思います。 自動化すべき日常タスク10選 1. 朝の進捗・作業報告（Slack / チャットツール） 悩み： 毎朝「今日やること」をSlackに書くのが地味に面倒。内容は毎回似たようなものなのに、ゼロから書いている。 なぜ時間がかかるか： 頭の中の作業リストを文章に変換するコストが意外と大きい。朝一番の集中力を消耗しやすい。 プロンプト例： 以下の箇条書きをSlackの朝の作業報告メッセー

はじめに 皆さんは DynamoDB を利用していますか？ 私は実務での利用経験はないのですが個人開発をする場合、無料枠があるおかげで RDS よりもファーストチョイスになっています。 そのなかで GSI や LSIを 使ってはいたのですが、実際の仕組みをあまり理解せずに使用しており、それぞれの制限については理解しているものの、内部的な動作については全く分かっていませんでした。 この前たまたま『データ指向アプリケーションデザイン』読んだ際にデータベース全般の概念として ローカルインデックス と グローバルインデックス の説明がありました。それを読んで DynamoDB の LSI/GSI の違いが一気に腑に落ちたので、備忘録も兼ねて本記事に自分なりの解釈で解説を書こうと思った次第です。 DynamoDB ではローカルインデックスとグローバルインデックスはそれぞれ LSI（Local Sec

このように、API Gatewayが「システム全体の身を守るための共通基盤」であるのに対し、BFFは「特定のユーザー体験を最高にするための個別最適化レイヤー」であるという違いがあります。 1.2 BFFは「APIを作る場所」ではない BFFを設計する上で重要な視点は、BFFは「リソース（データ本体）を生成する場所」ではないということです。BFFは、バックエンドの各サービスが持つデータ構造や命名規則といった「バックエンド側の都合」が、そのままフロントエンドに流れ込まないように食い止める「境界層」として機能します。 そのため、フロントエンドがバックエンドのDB構造を意識せざるを得ない状況を防ぎ、あくまで「ユーザー体験（UI）」に最適化されたインターフェースを提供することが大切です。それがBFFというレイヤーを設ける目的です。 2. なぜ BFF が必要になるのか 「中間にサーバーを置くなんて、

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? なければ自分で作ればいいのよ！ ――――涼宮ハルヒ かのアニメの主人公はこう言っていました。 はじめに 「もっとサクサク動くMarkdownエディタが欲しい！」 エンジニアなら一度はそう思ったことがあるのではないでしょうか。・・・あれ、ないですか？そうですか。まあ、あることにしておいてください。 世の中にはAtomやObsidianのような多機能エディタが色々あり、それは確かに素晴らしいのですが、ちょっとメモを取るだけなのに、起動するたびにPCに負荷をかけているのはスマートじゃないなと思ったりします。 あと、開発に使うVSCodeと文書

はじめに こんにちは、ひるげです。 個人開発でWebアプリを作ったとき、「どこにデプロイすればいいんだろう？」と悩んだ経験、ありませんか？ AWSやGCPは高機能だけどコストが怖い。かといって無料のサービスは制限が気になる... この記事では、個人開発で使えるおすすめのデプロイ先をカテゴリ別に紹介します。実際に僕が開発中のアプリで採用した構成も公開するので、参考にしてみてください。 この記事の対象 本記事は、フロントエンドとバックエンドを分離する構成を前提としています。具体的には、React等のSPAをフロントに、Go/Node.js等のAPIサーバーをバックに置くような構成です。 以下のケースでは、ここまでの構成は不要です。 静的サイトのみ（ブログ、ポートフォリオ等） → GitHub PagesやCloudflare Pagesだけで十分 フルスタックフレームワーク（Rails、Nex

突然ですが、こんな気持ちになったことありませんか？ 「ChatGPTって、なんとなく一般向けのツールっぽいんだよな」 「文章を書いてもらうくらいなら、Copilotで十分じゃない？」「API直接叩いた方がカスタマイズできるし」 エンジニアあるあるだと思います。APIが使えるからこそ、ChatGPTの公式UIをじっくり触ったことがないという方、意外と多いんじゃないでしょうか。 この記事では、そういった「なんとなく使いづらい」と感じる理由を一度整理した上で、知っておくと地味に得する使い道を3つ紹介します。 目次 エンジニアがChatGPTを敬遠する3つの理由 それでも知っておくと得する使い道 ① Advanced Data Analysis ── Jupyterより気軽にデータを触れる ② カスタムGPT ── チーム内のプロンプト資産を共有インフラにできる ③ 画像入力 × デバッグ ──

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?