はじめに
Claude Codeのモバイル通知、AnthropicとCursorとOpenAIから相次いだセキュリティ機能、新しいパッケージマネージャー「aube」あたりが主役です。個人的には、TanStackを装った偽パッケージの件と、GPT-5.5とOpus 4.7でプロンプト戦略が逆方向に進んでいるという話が面白かったので、後半でも少し触れています。
それでは今週の動向を見ていきましょう。
今週のトピック
Claude Codeの進化:モバイル通知と柔軟な作業スタイル
Claude CodeのRemote Control機能(v2.1.51から提供されているやつ)に、v2.1.110でモバイルプッシュ通知が来ました。別デバイスからセッションを継続できる機能なので、長時間のテストやAIタスクが終わったタイミングをスマホで知れるようになります。実際、いつまでも終わらないテストを横目にPCの前で待つ、みたいな時間が減りそうで、ありがたい更新です。
設定はConfigからRemote Control(モバイル通知)を明示的にオンにする必要があります。iOSの集中モードに引っかかると通知が来ないので、そこだけ注意です。
Anthropic・Cursor・OpenAIからセキュリティ機能が相次いで発表
朝会でも話題になったのですが、Claude SecurityとCursorのSecurity Review、OpenAIのGPT-5.5-Cyberが偶然なのか狙ったのか、ほぼ同じタイミングで出てきました。 どれもやることは似ていて、リポジトリをスキャンしてメモリ破損や認証バイパスのような脆弱性を見つけ、修正パッチまで提案してくれます。コンテキストを踏まえて診断するので、従来の静的解析より精度が高いという報告が多いです。
気になるのは、ここまで自動化されると開発者が脆弱性そのものを理解しないまま修正をマージしてしまう流れになりそうな点です。便利さと引き換えに「自分のコードベースの弱いところ」が見えなくなるとしたら、それはそれで怖い。最終判断は人間が握る、という運用ルールは早めに決めておきたいところです。
新しいパッケージマネージャー「aube」、pnpm比4.6倍速
JS/TSプロジェクトにlockfileの移行なしでドロップインできるパッケージマネージャー「aube」が登場しました。インストール速度はpnpm比4.6倍、bun比4.0倍。ディスク使用量はnpm比で90%削減を謳っています。
aube keeps package files in one global store and links projects to it, so three apps with React, Vite, TypeScript, and Playwright share the heavy files instead of storing three full copies.
ただ朝会では、社内ボイラープレートに試しに入れてみたところTurboRepoがaubeの構造を認識できず、ライブラリ側でエラーが出たという報告がありました。互換性を売りにしているとはいえ、周辺ツールがまだ追いついていないのが現状のようです。
mattpocock/skills:AIに「作法」を守らせる仕組み
Matt Pocock氏のskillsが地味に話題です。TDDのレッド・グリーン・リファクターの回し方、Issueの粒度、タスクの分け方みたいな「エンジニアの作法」をMarkdownで定義しておいて、npx skills@latest add mattpocock/skills一発でClaude Codeに組み込める、というやつですね。
放っておくとAIが独自路線でコードを書きがちなので、ガードレールを張れるのは便利です。一方で、他人の作法をそっくりそのまま入れると、プロジェクト固有のお作法とぶつかることもあるはず。「どの作法を外部から借りて、どれは自分たちで決めるか」の判断は、結局その都度やるしかない気がしています。
TanStackを装った偽npmパッケージの話、AIに任せていると気づきにくい
TanStackの公式組織を装った偽パッケージがnpmで見つかりました。postinstallで.envを外部に送る、いつものブランドスクワッティングです。
ヒヤッとするのは、AIエージェントに「これ入れといて」と頼んだときに、名前が1文字違うパッケージを引いてくるパターン。普段なら自分の目でスコープを確認してから入れるので気づける話ですが、エージェントに任せきりだとそのチェックが省略されがちです。
依存追加だけは最後に人間が見る、くらいのルールにしておいたほうが無難かもしれません。
GPT-5.5とOpus 4.7で、推奨されるプロンプトの書き方が逆方向
おもしろいのが、OpenAIとAnthropicの最新モデルで、公式ドキュメントが勧めるプロンプトの書き方が真逆になっている点です。
GPT-5.5は「どうなっていれば成功か」を伝えて、あとはモデルに任せる書き方が推奨されています。Opus 4.7はその逆で、推測を減らす方向にチューニングされているので、書いた指示を文字通りに実行します。曖昧に書くと曖昧なまま動く、というイメージです。
「賢いモデルほど雑な指示で動くようになる」と思っていたのですが、実際はそうでもなくて、モデルごとに「任せる/制御する」のスタンスが分かれてきています。両方使うなら、プロンプトのテンプレを共通化せずにモデル別で持っておいたほうが無難そうです。
Cursor SDKリリース、IDEの外でエージェントを動かせるようになった
Cursor SDKがリリースされました。これまでCursor内でしか動かせなかったエージェントを、Gmailや他のアプリに組み込めるようになっています。スターターキットとクックブックが付いていて、独自チューニング版のOpus 5.7やGPT-5.5を使えるのが特徴です。
すでに外部アプリへの組み込み事例もちらほら出てきていますが、運用するなら課金面は要注意です。高性能モデルをAPI経由で動かし続けると、コストはそれなりにかさみます。「どのフローでどのモデルを使うか」を最初に決めておきたいところです。 CursorがIDEから一歩出てきた感じはあって、プラットフォーム寄りの動きが増えそうです。
CSS Custom Highlight APIでspanタグなしでテキストをハイライト
地味に便利になっていたのがCSS Custom Highlight APIです。これまでテキストの一部を強調したいときは<span>で対象を囲む実装が定番でしたが、それがいらなくなります。
書き方としては、RangeオブジェクトのsetStart()とsetEnd()にテキストノードと文字オフセットを渡して範囲を作り、::highlight()疑似要素でスタイルを当てるだけです。
刺さりそうなのは、RAGの回答根拠を強調する画面とか、全文検索のヒット箇所表示あたりですね。DOMを書き換えない分、再レンダリングが走らないので、ヒット件数が多い検索結果でも軽く動きます。AIの出力をフロントで見せる場面が増えているので、引き出しに入れておくと使いどころは結構ありそうです。
ショートノート
- OpenAIの独占契約終了(AWS Bedrock提供) — Microsoftとの独占契約が終了し、OpenAIモデルがAWS Bedrock経由でも数週間以内に提供開始されます。
- Claude Platform on AWS(IAM管理・請求統合) — AWS IAMでの管理や一括請求に対応しつつ、AnthropicインフラでネイティブAPIを利用可能です。
- Google Workspace MCP サーバー(公式リリース) — ドキュメントやカレンダーをClaude等から直接操作できる公式サーバーで、日程調整の自動化も期待されます。
- AnthropicのAI実験 — 社内マーケットでの取引交渉実験で、Opusが高い自律性と人間の好みを模倣する能力を示しました。
- Codexのレスポンス高速化(Responses APIのWebSocket対応) — Responses APIのWebSocket対応により、エージェントのワークフローが最大40%高速化しています。
- Vue Fes Japan 2026 — 2026年10月24日に大手町で開催決定。Evan You氏も来日予定で、早期のスポンサー準備が推奨されます。
- Claude Design用のSkills — HeyGenよりHyperFrames連携スキルがリリース。対話形式でのアニメーション制作が完結します。
- Grokの巻き返し(性能向上) — 最新のGrok Imagineモデルが登場し、リップシンクやサウンドの再現精度が大幅に向上しています。
- AIによる画像生成プロンプト手法 — 意図的に「下手な書き方」を指定する逆説的アプローチにより、独特の画風で画像を生成する手法が話題になりました。
まとめ
今週は発表が多くて、まとめながら追いつくのに必死でした。
個人的な肌感としては、AIに任せられる範囲が一段広がる一方で、aubeとビルドツールの噛み合わせや偽装パッケージの件のように、「任せた結果のチェック」をどこに置くかが少し重い課題になってきている気がします。プロンプトの書き方もモデルごとに分かれてきて、開発者側で覚えることはむしろ増えていそうです。
来週も気になった話題を拾っていきます。
