yasu-home.com

カテゴリー: プログラミング

  • メモ帳がハッキングの入口に?Windows NotepadのRCE脆弱性とCopilotプロンプトインジェクションの衝撃

    2026年2月のMicrosoft Patch Tuesdayで、セキュリティ業界を騒がせる脆弱性が2つ明らかになりました。1つはWindows Notepad(メモ帳)のリモートコード実行(RCE)、もう1つはGitHub Copilotへのプロンプトインジェクション攻撃です。どちらも「信頼されてきたツール」が攻撃経路になるという点で、開発者なら知っておくべきニュースです。

    Windows Notepadにリモートコード実行(CVE-2026-20841)

    Windowsのメモ帳に新しく追加されたMarkdownレンダリング機能が、深刻な脆弱性の原因となりました。CVSSスコアは8.8(High)で、すでにGitHubにPoCエクスプロイトが公開されています。

    攻撃の仕組み

    攻撃者が細工した.mdファイルをメモ帳で開くと、Markdownレンダリング時に悪意のあるリンクが生成されます。ユーザーがそのリンクをクリックすると、メモ帳が未検証のプロトコルを起動し、リモートのファイルを実行してしまいます。

    つまり、「.mdファイルを開いてリンクをクリックしただけ」でマルウェアが実行される可能性があるということです。

    なぜ重要か

    メモ帳はWindowsで最も基本的な、最も信頼されてきたアプリケーションです。「メモ帳が危険」という概念自体が今までなかった。これはシンプルなツールに機能を追加する際のセキュリティリスクを如実に示す教訓です。2月のPatch Tuesdayで修正済みですが、Windows Updateを適用していない環境は注意が必要です。

    GitHub Copilotにプロンプトインジェクション脆弱性

    同じ2月のパッチで、GitHub Copilotに関する複数のCVEも修正されました。中でもCVE-2026-21516(CVSS 8.8)は、JetBrains版Copilotにおいてプロンプトインジェクションにより任意コード実行が可能というものです。

    攻撃シナリオ

    攻撃者がリポジトリのコードベースに悪意のあるプロンプトを埋め込みます(コメントやドキュメント内など)。開発者がそのリポジトリでCopilotのAIエージェント機能を使うと、エージェントが悪意のあるプロンプトを処理し、意図しないコードの実行やファイル操作を行ってしまいます。

    VS Code版(CVE-2026-21256)でも同様の問題が発見されています。

    AI時代の新しい脅威カテゴリ

    これは「プロンプトインジェクションが実際の攻撃ベクトルとなった」最初の大規模事例と言えます。AIコーディングアシスタントが「毒入りリポジトリ」から任意コードを実行するという脅威は、従来のセキュリティモデルでは想定されていませんでした。

    今後、AIエージェントの権限管理やサンドボックス設計がより重要になることは間違いありません。OSS リポジトリをクローンしてAIに分析させる際は、信頼性の確認が不可欠です。

    対策まとめ

    • Windows Updateを早急に適用する(2月のPatch Tuesday)
    • GitHub Copilotを最新版にアップデートする(VS Code、JetBrains両方)
    • 不審な.mdファイルをメモ帳で開かない
    • AIエージェントに未知のリポジトリを処理させる際は慎重に
    • AIツールの権限設定を最小限にする(read-onlyをデフォルトに)

    「信頼されたツール」が攻撃の入口になる時代。セキュリティの常識がアップデートされていることを、改めて認識させられるニュースでした。

  • GitHub Agentic WorkflowsとCursor並列エージェント:AI開発ツールの2026年2月最前線

    2026年2月、AI開発ツールの世界で2つの大きな動きがありました。GitHubが「Agentic Workflows」をテクニカルプレビューで公開し、CursorがAIエージェントの並列VM実行に対応。どちらも「AIアシスタント」から「AIエージェント」への転換を象徴する出来事です。

    GitHub Agentic Workflows:CI/CDをMarkdownで書く

    2月13日、GitHubが「Agentic Workflows」をテクニカルプレビューとして公開しました。最大の特徴は、CI/CDの自動化をYAMLではなくMarkdownで記述できることです。

    仕組み

    • .github/workflows/にMarkdownファイルを配置
    • gh aw CLIコマンドでMarkdownからGitHub Actionsに変換
    • 複数のAIエンジンに対応:Copilot CLI、Claude Code、OpenAI Codex
    • デフォルトは読み取り専用権限。PRの自動マージは不可
    • MITライセンスで完全オープンソース

    例えば「PRが作成されたらコードレビューして、テストが通ったらステージング環境にデプロイして」という指示を自然言語で書けば、AIエージェントがActionsのワークフローとして実行します。

    注目ポイント

    特に注目すべきはマルチエンジン対応です。Copilot CLIだけでなく、Claude CodeやOpenAI Codexも選択可能。ベンダーロックインを避けるGitHubの姿勢が見えます。セキュリティ面でもデフォルトでread-only、PRの自動マージ禁止と、慎重な設計です。

    Cursor:AIエージェントが並列VMで動く時代

    2月24日、AIコードエディタのCursorが大型アップデートを発表しました。AIエージェントが専用の仮想マシン(VM)上で並列実行できるようになりました。

    何が変わったか

    • 並列実行:複数のAIエージェントがそれぞれ独立したVM上で動作。ローカルPCのリソースを消費しない
    • 自己テスト:エージェントが自分で変更をテストし、ビデオ/スクリーンショットで結果を記録
    • プラグインシステム:Amplitude、AWS、Figma、Stripeなどとの統合
    • クロスプラットフォームサンドボックス:開発者の中断を40%削減
    • CursorのPRの約35%がVM上のエージェントによって生成

    パラダイムシフト

    これは「1ファイルのコード補完」から「10-20の並列エージェントが同時にタスクをこなす」への転換です。1つのエージェントにバグ修正を、別のエージェントにテスト追加を、さらに別のエージェントにドキュメント更新を任せる——そんなワークフローが現実になっています。

    AI開発ツールのトレンド

    これら2つの動きから見えるトレンドは明確です。

    1. 「アシスタント」から「エージェント」へ:補完ではなく、タスク全体を自律的に実行
    2. サンドボックスとセキュリティ:エージェントの権限管理が必須要件に
    3. マルチエンジン:特定のAIモデルに依存しない設計
    4. 並列処理:複数エージェントの同時実行が前提のアーキテクチャ

    2026年は「AIがコードを書く」から「AIチームがプロジェクトを回す」へと進化する年になりそうです。GitHub Agentic Workflowsはオープンソースなので、ぜひ試してみてください。

  • Next.js 14 App RouterでSSR・SSG・ISRを使い分ける実践ガイド

    Next.js 14のApp Routerでは、レンダリング方式の選択が柔軟になりました。SSR(サーバーサイドレンダリング)、SSG(静的サイト生成)、ISR(増分静的再生成)をページ単位・コンポーネント単位で使い分ける方法を解説します。

    App Routerの基本

    Next.js 13以降のApp Routerでは、デフォルトですべてのコンポーネントがServer Componentになります。これにより、クライアントに送信されるJavaScriptの量が大幅に削減されます。

    // app/page.tsx - デフォルトでServer Component
export default async function HomePage() {
  // サーバー側で実行される
  const data = await fetch("https://api.example.com/posts");
  const posts = await data.json();

  return (
    <main>
      <h1>最新記事</h1>
      {posts.map(post => (
        <article key={post.id}>
          <h2>{post.title}</h2>
          <p>{post.excerpt}</p>
        </article>
      ))}
    </main>
  );
}

    SSG(静的生成)

    ビルド時にHTMLを生成する方式です。ブログ記事やドキュメントなど、更新頻度が低いコンテンツに最適です。

    // app/blog/[slug]/page.tsx
export async function generateStaticParams() {
  const posts = await fetch("https://api.example.com/posts").then(r => r.json());
  return posts.map(post => ({ slug: post.slug }));
}

export default async function BlogPost({ params }) {
  const post = await fetch(
    `https://api.example.com/posts/${params.slug}`,
    { cache: "force-cache" } // SSG: ビルド時にキャッシュ
  ).then(r => r.json());

  return <article><h1>{post.title}</h1><div>{post.content}</div></article>;
}

    SSR(サーバーサイドレンダリング)

    リクエストごとにサーバーでHTMLを生成します。ユーザーごとに異なるコンテンツを表示する場合に使います。

    // app/dashboard/page.tsx
export default async function Dashboard() {
  const data = await fetch("https://api.example.com/user/dashboard", {
    cache: "no-store", // SSR: キャッシュしない
    headers: { Authorization: `Bearer ${getToken()}` }
  }).then(r => r.json());

  return <div>ようこそ、{data.user.name}さん</div>;
}

    ISR(増分静的再生成)

    SSGとSSRの良いとこ取り。静的に生成されたページを一定時間後にバックグラウンドで再生成します。

    // app/products/page.tsx
export default async function Products() {
  const products = await fetch("https://api.example.com/products", {
    next: { revalidate: 3600 } // ISR: 1時間ごとに再生成
  }).then(r => r.json());

  return (
    <div>
      {products.map(p => <div key={p.id}>{p.name} - ¥{p.price}</div>)}
    </div>
  );
}

    使い分けの判断基準

    どのレンダリング方式を使うかは、コンテンツの特性で決めます。更新頻度が低い(ブログ・ドキュメント)→ SSG、リアルタイム性が必要(ダッシュボード)→ SSR、適度に更新される(商品一覧・ニュース)→ ISR、が基本的な選び方です。

    まとめ

    App Routerでは、fetchのオプションを変えるだけでレンダリング方式を切り替えられます。ページの特性に合わせて最適な方式を選ぶことで、パフォーマンスとユーザー体験を両立できます。

  • PythonのFastAPIで爆速REST API開発:非同期処理とバリデーション

    FastAPIはPython製のWebフレームワークで、型ヒントを活用した自動バリデーション、自動ドキュメント生成、非同期処理対応が特徴です。Flask比で200%以上のパフォーマンス向上が見込めます。

    FastAPIの特徴

    • Python型ヒントによる自動バリデーション
    • OpenAPI(Swagger)ドキュメント自動生成
    • async/await対応の非同期処理
    • Pydanticモデルによるデータシリアライゼーション
    • StarletteベースのASGIフレームワーク

    インストールと最初のAPI

    pip install "fastapi[standard]"
    # main.py
from fastapi import FastAPI, HTTPException
from pydantic import BaseModel, Field
from typing import Optional
import uvicorn

app = FastAPI(title="商品管理API", version="1.0.0")

class Product(BaseModel):
    name: str = Field(..., min_length=1, max_length=100)
    price: int = Field(..., gt=0, description="価格(円)")
    description: Optional[str] = None
    in_stock: bool = True

# インメモリDB
products: dict[int, Product] = {}
next_id = 1

@app.post("/products", status_code=201)
async def create_product(product: Product):
    global next_id
    product_id = next_id
    products[product_id] = product
    next_id += 1
    return {"id": product_id, **product.model_dump()}

@app.get("/products/{product_id}")
async def get_product(product_id: int):
    if product_id not in products:
        raise HTTPException(status_code=404, detail="商品が見つかりません")
    return {"id": product_id, **products[product_id].model_dump()}

@app.get("/products")
async def list_products(
    min_price: Optional[int] = None,
    max_price: Optional[int] = None,
    in_stock: Optional[bool] = None,
):
    result = []
    for pid, p in products.items():
        if min_price and p.price  max_price:
            continue
        if in_stock is not None and p.in_stock != in_stock:
            continue
        result.append({"id": pid, **p.model_dump()})
    return result

if __name__ == "__main__":
    uvicorn.run("main:app", host="0.0.0.0", port=8000, reload=True)

    自動ドキュメント

    FastAPIは起動するだけで以下のドキュメントが自動生成されます。

    • Swagger UI: http://localhost:8000/docs – インタラクティブなAPI操作画面
    • ReDoc: http://localhost:8000/redoc – 読みやすいドキュメント形式

    非同期処理

    FastAPIはasync/awaitをネイティブサポートしています。DB操作やHTTPリクエストなどのI/O処理を非同期で実行できます。

    import httpx

@app.get("/external-data")
async def get_external_data():
    async with httpx.AsyncClient() as client:
        response = await client.get("https://api.example.com/data")
        return response.json()

    まとめ

    FastAPIは、型安全性・パフォーマンス・開発体験の全てにおいて優れたフレームワークです。AI APIのバックエンド、マイクロサービス、プロトタイプ開発など幅広い場面で活躍します。

IP: 取得中...
216.73.216.31216.73.216.31