プログラミング雑記 2026年3月9日

Posted at 2026-03-08

本日も、ネットに流れるトピックから個人的に興味を引かれたものを拾っていきます。

この記事への感想等コメントで頂けるとありがたいです。

プログラミング

Go言語

Go言語の新バージョン1.26.1と1.25.8がリリースされました。5つのセキュリティ脆弱性が修正されています。主な内容は以下の通りです：

X.509証明書の脆弱性：メールアドレス制約の不正な適用と、不正な形式の証明書によるパニック問題を修正
XSS脆弱性：HTMLメタタグのcontent属性内のURLがエスケープされていなかった問題を修正
URLパース脆弱性：IPv6リテラルの検証が不十分で無効なURLが受け入れられていた問題を修正
ファイルアクセス脆弱性：Unixプラットフォームでディレクトリ列挙時にシンボリックリンクを通じてRoot外のファイル情報がアクセス可能だった問題を修正

詳細はリリースノートを参照し、公式サイトからダウンロード可能です。

MSによるビルド。

Wantedlyエンジニアの原将己氏が発見したGo言語の脆弱性（CVE-2026-25679）に関する報告記事です。

内容：Go標準ライブラリのnet/url.Parseが、https://example.com[::1]/のような不正なURLを誤って受け入れていたバグ。ホスト部分のパース処理で、IPv6用の開き括弧の位置チェックが不十分だったため、ガベージ文字を無視して別のURLとして解析してしまいました。

経緯：PostgreSQLのURLパーサー実装中に発見。セキュリティ脆弱性と判断し、Goのセキュリティポリシーに従ってメール報告→再送後に対応→1月末にCVEアサイン→3月5日にGo 1.26.1と1.25.8のパッチリリースで修正されました。

主な学び：セキュリティポリシー遵守の重要性、名の知れたOSSでも脆弱性が存在する可能性、そして地道なコード読み込みの価値。

本記事はGo言語のConnect RPCライブラリにおけるInterceptor機能の入門ガイドです。Interceptorはリクエスト/レスポンスに共通処理を挟む仕組みで、HTTPミドルウェアのConnect版です。認証・認可やロギングなどを各ハンドラに記述する冗長性とセキュリティリスクを解消します。UnaryInterceptorFuncを実装して登録し、複数登録時はネストされた構造で合成されます。値伝播は同一プロセス内ではcontext.Contextで、異なるサーバー間ではHTTPヘッダを活用します。

TypeScript

TypeScript 6.0のRelease Candidateが発表されました。JavaScript版コンパイラの最終版となり、TypeScript 7.0は完全にGo言語で書き直されます。新機能として、Temporal APIのサポート、RegExp.escapeの追加、Map/WeakMapの「upsert」メソッドが含まれます。デフォルト設定が大幅に変更され、strict=true、module=esnext、types=[]などになります。baseUrl、AMD/UMD、outFileなどが廃止され、ES5対応も終了します。7.0への移行に向けた重要な過渡期リリースです。

Python

CPython 36年間のソースコード成長について、開発者が1,392コミットのデータセットを集計した分析記事です。cloc（行数カウントツール）やGitの詳細分析を用いて、CPythonのコードベースがどのように拡大してきたかをグラフで可視化しました。今後、分析スクリプトをリポジトリに公開予定で、データセットの使用を歓迎しています。

Java

JetBrains公式ブログの2026年3月版「Java Annotated Monthly」では、Javaエコシステムの最新動向をまとめています。IntelliJ IDEAのドキュメンタリー公開、Project Leydenによる起動時間の高速化、Project BabylonのGPU活用、Chicoryを通じたWebAssembly実行などの革新が紹介されています。加えて、TamboUIなどのターミナルUIフレームワークの台頭、Kotlinの進化、AI統合ツール、各地のJavaカンファレンス情報も掲載。3月中旬に開催されるJavaOne、JavaLandなどの重要なイベントの情報も含まれています。

GitHub

GitHub Security Labは、AIを搭載したオープンソースの「Taskflow Agent」を使用して、コードの脆弱性スキャンを自動化しています。このフレームワークはYAMLファイルで定義されたタスクのセットで、LLMに複数のステップで脆弱性を検出させます。

主な特徴：プロセスは3段階に分かれており、まず脅威モデリングで入力ポイントを特定し、次に潜在的な脆弱性を提案し、最後に厳格なガイドラインに従って監査します。40以上のリポジトリをスキャンした結果、139個の脆弱性が検出され、そのうち21%が実際に報告可能なレベルと判定されました。

成功事例：Outline、WooCommerce、Rocket.Chatなど複数のプロジェクトで権限昇格やパスワード認証バイパスなどの重大な脆弱性を発見しました。LLMは特にロジックバグや権限管理の脆弱性の検出に優れており、誤検知率は比較的低いことが確認されています。

GitHubは2026年3月5日、プルリクエストのマージ状態を素早く確認できる機能をパブリックプレビューで公開しました。この新機能により、プルリクエストページの最上部にマージ状態が表示され、ファイル変更ページを含むどこからでもマージの準備状況を確認できます。ブロッカーや承認待ちを素早く特定し、マージに向けた対応が可能になります。

Azure DevOps

Azure DevOps Sprint 270のリリースで、セキュリティと利便性の向上が実現されました。主な変更は以下の通りです：

セキュリティ強化：グローバルPAT（個人アクセストークン）が廃止予定。3月15日から作成・再生成がブロックされ、12月1日に完全廃止。組織単位PATまたはOAuth への移行が推奨されます。

プルリクエスト管理の改善：PR自動完了がデフォルト設定で有効化可能に。コミットメッセージへのPR IDプレフィックスも設定で制御できるようになりました。

その他の機能追加：GitHub Advanced Securityのシークレット保護バイパスが監査ログに記録、Kanbanボードにタイトルのみ表示モード追加、Test Plansの探索セッションへのアクセスが簡素化されました。

ツール

本記事は、miseツールを使ってSECRETを安全に管理する方法を説明しています。.envファイルへの依存を避けるため、**SOPS（Mozilla開発のシークレット管理ツール）とAge（暗号化ツール）**を組み合わせています。

設定ファイルの値のみを暗号化し、キー名は平文のままにする仕組みで、GitHubへの安全なアップロードが可能です。Ageキーペアの生成後、.sops.yamlで暗号化ルールを設定し、mise.tomlから自動復号化します。複数人でのシークレット共有も公開キーの追加で実現できます。

論文・その他

生成AI・Coding Agentの進化により、ソフトウェア開発に大きなパラダイムシフトが起きています。コーディングは今後AI に自動化されますが、ソフトウェアエンジニアの仕事がなくなるわけではありません。AIへの要件伝達、設計指示、安全な動作環境の構築には高度な専門性が必須。今後の焦点は「企画・設計」「要件定義」「品質保証」「オーケストレーション」など、より抽象度が高い領域へシフト。コード生成コストが低下しても、ビジネス価値を実現するソフトウェアの価値は変わらないという点が重要です。

エージェンティックコーディング・仕様駆動開発

本記事は、400社以上の顧客との経験に基づいたCOBOLモダナイゼーションの成功要因を説明しています。

主要なポイント：

COBOLモダナイゼーションは「リバースエンジニアリング」（既存システムの理解）と「フォワードエンジニアリング」（新規構築）の2段階に分かれます。成功には以下が必須です：

完全なコンテキスト：単一プログラムではなく、依存関係を含むシステム全体をAIに提供する
プラットフォーム固有の処理：コンパイラやランタイムによる動作差異を決定論的に解決する
トレーサビリティ：規制当局の監査に対応できるよう、出力を元のコードに追跡可能に結びつける

AWS Transformは、決定論的分析で基礎を構築し、AIをアクセラレーターとして活用。複数アプリケーションの最適なモダナイゼーション経路を選択することで、プロジェクト成功率を大幅に向上させます。

GitHub Copilot CLIは2026年2月にGAされたコマンドラインツールです。本記事では、openapi-zod-clientをZod V4に対応させる実例を通じ、GitHub Copilot CLIの基本機能を紹介しています。

主な機能として、/initでプロジェクト分析から自動でカスタム命令ファイルを生成、/delegateで非同期にタスク委任、/planで事前計画、/reviewでコード内容を検証できます。また/researchでGitHub検索、/fleetで並列タスク実行に対応します。著者はClaude CodeやGemini CLIとの比較で、特にGitHubの強みを活かしたresearch機能が優れていると評価し、補助ツールとしての運用を推奨しています。

OpenAIが発表した「Symphony」は、複数のAIコーディングエージェントを自動管理するチケット駆動ツール。Linearのプロジェクトボードを監視し、チケットごとにエージェントを自動割り当て、プルリクエスト生成まで自律実行する。これまで個人が試行錯誤していた「ワークスペース隔離」「タスク管理」「監視・リトライ」「人間レビュー」を仕様書として標準化。WORKFLOW.mdでプロンプトをバージョン管理でき、チーム全体で共有可能。Elixir/OTPがリファレンス実装だが、他言語での再実装もサポート。動作には充実したCI/CD・テスト環境（Harness Engineering）が前提となる。

AIが生成したコードをレビューすべきか議論する時代は終わり、レビュー不要なプロセスを確立する段階に入ったという主張の記事です。

理由は3つ：①コードレビュワーを育成する方法がなく人材不足に、②AIの生成量が膨大で人間では対応不可、③レビューしない組織がレビューする組織を淘汰する。

対策として、①高品質なコンテキスト開発、②良好なツール環境、③コードレビューではなく要件適合性など高層レイヤーでの評価が必要。いち早く実現する組織が競争優位を得ると結論づけています。

感想:

このような意見が最近多いのですが、これって結局未来に問題を先送りしているだけのような気がするんですよね。

AI

Microsoft

2月のMicrosoft Foundryは複数の重要な機能リリースと改善があった。Anthropicの高機能モデル「Claude Opus 4.6」と「Claude Sonnet 4.6」が利用可能になり、両者とも100万トークンのコンテキスト窓を備え、適応的思考機能を搭載している。OpenAIの新しいGPT-Realtime-1.5やGPT-Audio-1.5は音声処理が大幅に改善された。xAIのGrok 4.0が一般提供化され、高速版のGrok 4.1も公開。Microsoft Agent Framework 1.0.0 RC版がリリースされ、Azure Functionsでのエージェント実装やHITLパターンが実装される。REST API v1は一般提供化され、全SDKがこれを基盤としている。さらに、Foundry LocalはソブリンクラウドでのLLM実行をサポートするなど、プラットフォームの機能が拡張されている。

Microsoftが「GPT-5.4 Thinking」をMicrosoft 365 CopilotおよびCopilot Studioに統合することを発表しました。このモデルは、複雑なタスクに対して深い思考を実現し、推論・コーディング・エージェンティックワークフローの能力を組み合わせています。Work IQにより、Copilotが仕事に関する文脈を理解して、より質の高い出力をもたらします。今日から利用開始できます。

OpenAIのGPT-5.4がMicrosoft Foundryで利用可能になりました。このモデルは本番環境での信頼性と実行精度を重視し、複雑なワークフローや自動化シナリオに対応します。推論能力の強化、コンピュータ利用機能、高精度なツール呼び出しが特徴です。エンタープライズグレードのセキュリティ制御を備え、$2.50/百万入力トークンで提供されます。

Google

LiteRTスタック進化が完成し、本番利用が開始。GPU性能が1.4倍高速化、NPU加速に対応。Gemmaなど人気モデルのクロスプラットフォーム展開をサポート。PyTorch/JAXの統合サポートも追加。複数演算子がint8/int16x8などの低精度型に対応し、効率が向上。セキュリティ修正や依存関係の更新を優先する開発方針を採用。

SpeciesNetはGoogleが開発したオープンソースのAIモデルで、カメラトラップ撮影された約2,500種類の動物を自動認識します。1年前の公開以降、世界中の研究機関が活用。タンザニアのSnapshot Serengetiプロジェクトは1,100万枚の写真を数日で分析、コロンビアとオーストラリアでは固有種の監視に利用され、アイダホではカメラ画像の仕分けを大幅に加速させています。生態変化の追跡や絶滅危惧種保護に貢献し、野生動物保全を推進しています。

Anthropic

AnthropicがMozillaと協力し、AI（Claude Opus 4.6）を使用してFirefoxのセキュリティ脆弱性を調査した取り組みについての記事です。2週間でClaudeが22個の脆弱性を発見し、このうち14個がFirefoxの高度な重大度の脆弱性として認定されました。FirefoxのJavaScriptエンジンを中心に約6,000個のC++ファイルをスキャンし、112件の報告を提出しました。ただし脆弱性の発見は得意ですが、それらを実際に悪用するエクスプロイト開発能力は限定的であることが確認されました。Anthropicはタスク検証ツールの使用とセキュリティ報告のベストプラクティスを提示し、将来のAIサイバーセキュリティ能力の向上に備えるため、開発者がソフトウェアをより安全にすることを促しています。

Anthropicは米国国防総省から「供給チェーンリスク」に指定されたと通知されました。同社は「この措置は法的根拠がない」として、司法の場で異議を唱える方針です。

指定の適用範囲は限定的で、国防総省との直接契約に関連する場合に限定されます。Anthropicは国防総省との生産的な協議を続けており、完全自動兵器システムと大規模国内監視という2つの領域での懸念を表明しています。

CEOダリオ・アモデイ氏は、内部文書の流出について謝罪し、現在の最優先事項は「戦地の兵士と国家安全保障専門家が重要なツールを失わないようにすること」と述べています。Anthropicは名目的費用で国防総省にモデルを提供し、技術支援を継続する方針です。

GitHub Copilot

GitHub Copilotユーザー向けに、Figma MCPサーバーの新機能が2026年3月6日にリリースされました。VS Code内でFigmaのデザインコンテキストをコードに取り込んだり、レンダリングされたUIをFigmaの編集可能なフレームとして送信したりできます。これにより、デザイン→コード生成→Figmaでの反復→コードベースへの更新という統合されたワークフローが実現します。GitHub Copilot購読者なら誰でも利用可能で、すべてのFigmaプランに対応しています。

VS Code 2月版は、エージェント機能を長時間実行タスク向けに拡張しました。主な改善点は以下の通りです：

エージェント制御：ライフサイクルイベント時のフック実行、会話ブランチ機能、自動承認オプション、実行中の進路修正が可能に。

拡張機能：プラグインによるスキル追加、ブラウザツール操作、チャットからのカスタマイズ生成機能。

コンテキスト管理：複数ツール間でのメモリ共有、プラン永続化、自動コンテキスト圧縮、大規模出力のディスク保存が実装されました。

また、Copilot CLIの統合やターミナル画像表示、チャットアクセシビリティの向上も追加されています。

GitHubの2026年3月5日のアップデートです。Enterprise AI Controlsのエージェント管理機能に新しいセッションフィルタが追加されました。これまでのエージェント名と組織による検索に加えて、ステータス（キュー中、進行中、完了など）、リポジトリ、ユーザーでのフィルタリングが可能になりました。エンタープライズ全体のエージェント活動をより効率的に発見・管理できるようになります。

OpenAIの最新のエージェント型コーディングモデル「GPT-5.4」がGitHub Copilotで一般利用可能になりました。強化された論理推論と複雑な多段階のタスク実行能力が特徴です。Copilot Pro、Pro+、Business、Enterpriseユーザーが利用でき、Visual Studio Code、Visual Studio、JetBrains、Xcode、Eclipseなど複数のIDEで利用可能です。チャット、編集、エージェント機能など全モードに対応しており、Enterprise/Businessプランの管理者は設定で有効化する必要があります。

本

本書は、AIエージェントの仕組みを「作る」ための実践ガイドです。TypeScriptとLLM APIを用いて、「Nano Code」という自動化エージェントを段階的に実装。ファイル操作やコマンド実行などの「手足」となるツール、LLM通信の抽象化レイヤー、そしてエージェントの思考ロジックを構築し、最終的にGitHub Issueからプルリクエスト作成までを自動化する一連のシステムを学びます。

論文・その他

Claude Codeに膨大なスキルを追加しても、単に渡すだけではエージェントの性能は向上しません。むしろ20万個のスキルを提供した場合、スコアはわずか17.2点に低下しました。正解のスキルを明示しても、組み合わせ方の設計がなければ効果不十分です。重要なのは「どのスキルを使うか」と「どう組み合わせるか」の両方であり、スキルの体系的分類と段階的実行設計が不可欠です。「AgentSkillOS」という解決策では、スキルを自動分類し、タスクに応じて最適なスキルを選別・整序して工程図を作成します。闇雲にスキルを増やすより、厳選と整理が重要です。

MCPツール記述の品質に関する研究です。856のMCPツールを調査した結果、97%に何らかの欠陥が見つかりました。

主な問題点：

制限事項の未記載（89.8%）
使用方法が不明確（89.3%）
パラメータ説明の不足（84.3%）
PayPalやGoogle等の大企業製ツールも同様に品質が低い

ジレンマ： 説明を詳しくするとAIの性能向上につながる一方、処理コストが増加し、逆に性能が低下することもあります。

対策： 論文附録のルーブリック基準を用いて、6項目を1～5点で採点し自動診断することで、ツール説明の品質を客観的に評価・改善できます。

クラウド

Azure

Azure Data Studio は2026年2月28日にサポート終了となります。Microsoftは開発者にVisual Studio Codeへの移行を推奨しており、これによってSQL開発ツールをVisual Studio Codeに統合し、継続的なサポートと新機能を提供するとしています。移行後も既存のファイルとデータベースプロジェクトにはアクセス可能ですが、セキュリティアップデートは提供されません。複数の代替ツールが利用可能です。

OS

Windows

Microsoftは、Windows 11のプレビュービルド26220.7961をベータチャネルでリリースしました。新機能には、管理者権限保護の再有効化や、ファイルエクスプローラーでの音声入力機能が含まれます。改善点としては、ドラッグトレイのピークビュー改善、ファイルエクスプローラーのホワイトフラッシュ削除、ファイルのアンブロック信頼性向上などがあります。機能は段階的にロールアウトされ、フィードバック収集後に全員へ展開されます。

Windows Insider Program Teamが、2026年3月6日にWindows 11 Insider Preview Build 28020.1685をCanary Channelにリリースしました。今回のアップデートでは、Windowsアップデートファイルと古いファイルの削除の信頼性向上（設定＞システム＞ストレージ）、ファイルエクスプローラーでの音声入力機能（Windows キー+H）によるファイル名変更が可能になりました。Canary Channelのビルドは不安定な可能性があり、ドキュメント完備度が限定的です。新機能の多くは制御機能ロールアウト技術でテストされます。

macOS

LogitechがmacOS向けのマウス用ユーティリティ「Logi Option+ v2.0」のHotfixをリリースしました。このアップデートは、MX Master 4をMacに接続した状態でシステムスリープから復帰した際に、マウスのバックエンド接続ができなくなる不具合を修正したものです。該当する問題を経験している利用者はアップデートが推奨されています。

Mac用ユーティリティ「Screen Mugnum」がリリースされました。このアプリはスクリーンショットの撮影・編集に加え、AI（AppleのVisionフレームワーク）を使用してオンデバイスで被写体抽出、テキスト認識（OCR）、顔のぼかし、QRコード検出を行えます。データは完全にデバイス内で処理されるため、プライバシーが保護されます。ペンツールや図形編集機能も備えており、Mac App Storeで無料公開されています。

Linux

Ubuntu 26.04（resolute）の開発進行状況について、以下の内容が報告されました。Snapshot 4がリリースされバグが含まれていましたが、本リリースには影響なし。sudo-rsでパスワード入力時に「*」をエコーバックする仕様に変更され、ユーザーの混乱が軽減されます。汎用OIDCブローカーへの対応により、複数の認証プロバイダーが利用可能に。カリフォルニア州AB1043法への対応が検討中で、2027年7月までに年齢確認UIの実装が必須。加えて、セキュアブートの認証局失効対応やシステム再起動戦略についても議論されています。

ハードウェア

Mac

Appleが発表した新型「MacBook Neo」に搭載されているA18 Proチップのベンチマーク結果が報告された。CPUのマルチコアスコアは約8,714ptで、2020年発売のM1チップより約5%上回る程度。GPUスコアも約31,191ptとM1相当のパフォーマンス。A18 Proは5コアGPU搭載で、iPhone 16 Proの6コアより少ない。MacBook Neoは既存のApple Silicon搭載Mac利用者向けでなく、初めてMacを購入する学生やファミリー向けのエントリーモデルと位置付けられている。

MacBook Neoに搭載されたA18 ProチップのAI処理性能（Neural Engine）が注目されています。Geekbench AIベンチマーク測定では、A18 ProのスコアがApple M3チップを約29%上回りました。一方、CPU/GPUパフォーマンスではM1相当と控えめですが、AI処理能力ではApple M4に近い性能を発揮。A18 Proは第2世代3nmプロセスで製造され、Neural Engineは毎秒35兆回の演算能力とシステムメモリ帯域幅が17%増加。Apple Intelligenceなどのオンデバイスアプリに最適化された設計となっています。

感想:
CPUの性能はそんなに悪くなさそうなので、惜しむべきはやはりメモリサイズ。

業界動向・時事

AI企業アンソロピックのCEOアモデイ氏は、米国防総省から「サプライチェーン上のリスク」に正式指定されたと発表しました。アンソロピックは完全自律型兵器と大規模市民監視での使用を禁止するよう求めており、あらゆる用途利用を希望する国防総省と対立。提訴する方針を示しつつも協議継続姿勢もみせています。指定によりクロードは米軍向けから除外される予定で、6か月の移行期間が設けられます。

米オラクルは3月中にも数千人の人員削減を計画している。クラウド部門では新規採用を大半取りやめ、資金を捻出する狙い。同社はAIのデータセンター向け設備投資を急速に拡大しており、26年5月期は500億ドル（約7.8兆円）を投じる予定。社債発行で250億ドルを調達し、26年内に新株発行も計画中。人員削減報道を受け株価は上昇したが、AIへの過剰投資懸念からまだ最高値から5割下落。アマゾンなど米テック企業でも同様にAI投資を増やしながら人員削減を進めている。

選定された企業とモデル:

株式会社NTTデータ「tsuzumi 2」
カスタマークラウド株式会社「CC Gov-LLM」
KDDI株式会社・株式会社ELYZA共同応募体「Llama-3.1-ELYZA-JP-70B」
ソフトバンク株式会社「Sarashina2 mini」
日本電気株式会社「cotomi v3」
富士通株式会社「Takane 32B」
株式会社Preferred Networks「PLaMo 2.0 Prime」

意外性がない。出来レース感すらある。

本記事は、コリー・ドクトロウがTwitterからの退出を宣言するエッセイの翻訳版です。

マスク買収後のTwitterは、「茹でガエル」の比喩を超えて、「火炎放射器で丸焼き」されるような急激な劣化を遂行しました。著者は50万フォロワーという資産のために留まっていましたが、激しい悪化に耐えられなくなりました。

一方、Mastodon（フェデレーション型で企業による支配が構造的に不可能）やBluesky（独立したサーバで運営可能な新サービス）といった抵抗力のあるソーシャルメディアへの移行を決断。著者は自身のBlueskyサーバを構築し、Twitter再構築も含め、メタクソ化に強いプラットフォームで会うことを呼びかけています。

「危機が変化を引き起こす」――マスクのような人物が存在することで、人々は初めて行動を起こすと結論づけています。

米最高裁はAI生成物への著作権認定を拒否し、著作権は人間の創造行為に限定されることを確認した。これはクリエイターにとって重要な判断である。著作権の成立には人間による創造性が必須となるため、雇用主がクリエイティブワーカーを使わずAIのみで作品を生成した場合、その著作権は保護されない。ただし記事は、メディア大手がAI学習に関する新たな著作権を求める訴訟は、実はクリエイターを守るのではなく、ライセンス支配を強化して労働者からの権利奪取手段になると指摘している。真の解決策は業種別交渉による労働者の団体交渉力の強化だと論じている。

生成AI利用に関するジェンダーギャップについての記事です。かつて女性の利用率は男性比で22%低かったが、2025年末までにほぼ同等になりました。しかし、信頼度の格差は依然として存在します。最大の問題は、「男女」の二元的分類しか用いられず、ノンバイナリの人々が調査から完全に消去されていることです。LLMはノンバイナリのユーザーをステレオタイプで扱い、「苦悩」と「無能」に閉じ込める傾向があります。データ化と統計手法が多様なジェンダー認識を不可視化し、包摂的なUIの裏で排除の仕組みが動作しているという、デジタル技術の根本的な問題を指摘しています。

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up