Home - ohiruneuni/blog

News bits

一覧を見る

Claude for Open Sourceプログラム開始

2026-02-27

編集

AnthropicがOSSメンテナー向けにClaude Maxを6か月間無償提供するClaude for Open Sourceプログラムを開始。

対象:

GitHubのパブリックリポジトリで5000スター以上、またはnpmで月間100万ダウンロード以上のプロジェクトのメンテナーやコアチームメンバー
直近3か月以内にコミット、リリース、Pull Requestレビューなどの活動実績があること
それ以外でもエコシステムにとって重要なプロジェクトであれば、内容を説明した上で応募可能

提供内容:

Claude Max 20xを6か月間無償提供
承認されたコントリビューター最大1万人までを上限とする

受付:

申込期間は2026-06-30まで
承認後、サブスクリプション期間中に利用可能なアカウント有効化リンクを付与

出展：Claude for Open Source | Claude by Anthropic

Claude Coworkのscheduled tasks機能提供

2026-02-25

編集

Coworkでタスクを定期実行やオンデマンド実行として登録できるscheduled tasks機能を提供。指定した頻度でレポート生成やリサーチ、ファイル整理などの処理を自動で実行可能。

主な機能：

タスクのスケジュール実行
- 毎日、毎週、平日のみなどの頻度でタスクを自動実行
- Slackやメール、カレンダー、スプレッドシートなど外部ツールと連携した処理を継続実行可能
タスクのテンプレート化
- 一度指示した処理をタスクとして保存し、同じ内容を繰り返し実行
- 手動実行とスケジュール実行の両方に対応
タスク管理
- 専用のScheduled tasksページから実行履歴や次回実行予定を一覧で確認
- 一時停止、再開、削除、手動実行をUIから操作可能

注意点：

スケジュールされた時刻にデスクトップアプリが起動しておらず、マシンがスリープ状態の場合はタスク実行がスキップされる
スキップされたタスクはマシン復帰やアプリ起動後に自動実行され、履歴にも記録される

出展：Schedule recurring tasks in Cowork

Google APIキーのGemini権限昇格問題

2026-02-25

編集

Google Cloudの単一APIキーフォーマット（AIza...）が、公開識別子と機密認証の両方に使用されている問題。Truffle Securityが報告。

Google Maps等の公開用途で作成されたAPIキーが、同一プロジェクトでGemini API（Generative Language API）を有効化した際、暗黙的にGemini認証情報として機能する。通知や確認ダイアログは一切なし。

問題の流れ：

開発者がMaps用APIキーを作成し、Webサイトに埋め込む（Googleの公式ドキュメントに従った運用）
同一プロジェクトでGemini APIが有効化される
既存のAPIキーが自動的にGemini認証権限を取得（通知なし）

攻撃者が可能な操作：

/files/や/cachedContents/エンドポイント経由でのアップロード済みファイル・キャッシュデータへのアクセス
被害者アカウントでのLLM使用量課金
クォータ枯渇による正規サービスの停止

bash

curl "https://generativelanguage.googleapis.com/v1beta/files?key=$API_KEY"

Common Crawlデータセット（2025年11月）のスキャンにより、2,863件のライブAPIキーがこの脆弱性の影響を受けることを確認。Google自身のインフラからも同様の公開キーを発見。脆弱性分類はCWE-1188（Insecure Default Initialization of Resource）およびCWE-269（Improper Privilege Management）。

Googleの対応計画：

AI Studio経由の新規キーをGemini専用アクセスにデフォルト制限
漏洩確認済みAPIキーのGemini APIアクセスをブロック
漏洩キー検出時のプロアクティブな通知

出展：Google API Keys Weren’t Secrets. But then Gemini Changed the Rules.

Claude Code Remote Control 公開

2026-02-24

編集

Claude Code のローカルセッションを、claude.ai/code や Claude モバイルアプリから他端末で継続できる Remote Control 機能が 2026-02-24 に公開された。セッションは端末上で動作したまま、ファイルシステム・MCP・プロジェクト設定はすべてローカルに保持される。

主な特徴：

複数端末で会話が同期し、ターミナル・ブラウザ・スマホのどれからもメッセージ送信可能
ノートPCのスリープやネット断から復帰すると、セッションが自動で再接続
クラウド側で実行する Claude Code on the web と異なり、Remote Control は自マシン上で実行される

利用条件：Max プラン必須。Pro プランは今後対応予定。Team/Enterprise は非対応。API キーは不可。事前に claude で /login とワークスペース信頼の設定が必要。

新規セッションで Remote Control を開始するにはプロジェクトディレクトリで次を実行する。

bash

claude remote-control

既存セッションから継続する場合は Claude Code 内で /remote-control（または /rc）を実行する。全セッションで自動有効にしたい場合は /config で「Enable Remote Control for all sessions」を true に設定する。

制限：同時にリモート接続は1セッションのみ。ターミナルを閉じるとセッション終了。ネット不通が約10分以上続くとタイムアウトする。

出展：Continue local sessions from any device with Remote Control

投稿一覧

2月16日

S3 Transfer Manager 移行メモ

非推奨になったfeature/s3/manager@v1.22.0からfeature/s3/transfermanager@v0.1.2 への移行メモ。

2月4日

CSSのみで実装する指向性ヘッダーアニメーション

JavaScriptによるスクロール位置の監視が必須であった複雑なヘッダーアニメーションも、Scroll State Queriesを使えばCSSのみで実装することが出来る。

2月2日

GTM + iframe + クロスドメインにpostMessageで対応する

公式でも紹介されるリンカー設定だが、計測が不安定になる可能性が拭えず、設定が複雑になるケースが多いため、postMessageを利用したイベント委譲型の計測が有効な場合がある。

1月28日

Scroll Container内の絶対配置またはAG Gridのバグ

Scroll Containerが包含ブロックでない場合、内部の隔離されていない絶対配置された要素はScroll Containerの外側に配置されるため、ページの高さが大きくなるといった意図しない挙動を引き起こす。

1月27日

Slackのsubteam IDとchannel IDをまとめて取得する

Slackをブラウザで開き、次のスクリプトを検証ツールのConsoleで実行すれば、現在表示されているグループメンションのsubteam IDをまとめて取得できる。

Agent SkillsのSkill Creatorを利用した作成、add-skillを利用したインストール、Skillのチーム内共有のすすめ

1月20日

RenovateでGitHub ActionsのSHA Pinningを手軽に行う

GitHub Actionsでサードパーティのアクションを利用する際、バージョンをタグで指定しているケースをよく見かけるが、セキュリティの観点からは推奨されない。GitHub公式ドキュメントでは、アクションを不変なリリースとして利用する唯一の方法として、SHA Pining、つまりコミットSHAにピン留めすることを推奨している。