トップ > Frontend > 「今週のフロントエンド」2026/05/15号

「今週のフロントエンド」2026/05/15号

Frontend

はじめに

今週はTanStack Router絡みのサプライチェーン攻撃が界隈を騒がせました。フロントエンドの依存パッケージを増やしがちな身としては、いつ自分のCIに飛び火しても不思議じゃないなと、改めてpackage.jsonを眺め直す週末になりそうです。一方でpnpm 11がサプライチェーン対策をデフォルト有効にしてリリースされ、Claude Codeにはagent viewと/goalコマンドが追加、Tailwind CSS v4.3ではscrollbar系ユーティリティが正式入りと、ツール側の打ち返しも層が厚めでした。守りも攻めも同時に進んだ印象の週です。順番に見ていきましょう。

今週のトピック

TanStack Routerでサプライチェーン攻撃、Mini Shai-Huludの概要と対応指針

blog.flatt.tech github.com

TanStack Routerを含む200超のnpmパッケージが、Mini Shai-Huludの被害に遭いました。悪意のあるパッケージ @tanstack/setup がoptionalDependenciesとして紛れ込み、認証情報を盗み出します。さらに、トークンの失効を検知するとホームディレクトリを削除するデッドマンスイッチまで仕込まれていた可能性があるとのことで、ヒヤッとする話です。感染が疑われる場合は、まず「ローカルタスクの停止」を済ませてから「トークンやPATのローテーション」に進む順序を守るのが安全そうです。CI/CD環境のクリーンアップから手をつけるのが無難かもしれません。

pnpm 11リリース:サプライチェーン保護のデフォルト有効に

socket.dev pnpm.io

pnpm 11が正式リリースされ、サプライチェーン攻撃への防御がデフォルトで有効になりました。新規公開パッケージの解決を24時間待つ minimumReleaseAge(既定1440分)と、推移的依存をGitリポジトリやtarball URLなど非標準ソースから解決させない blockExoticSubdeps(既定true)が標準装備されています。地味にありがたい更新です。Node.js 22への移行が前提になるので、社内で標準構成を決めているチームはアップグレード計画の見直しが要りそうです。

Claude Code に Agent View と /goal コマンドが追加

claude.com

Claude Codeにおいて、並行セッションを一元管理できる「agent view」と、目標達成まで自律的に処理を繰り返す /goal コマンドが実装されました。複数のタスク状況をリアルタイムに把握しながらバックグラウンドで作業を進められるのは、開発の文脈を切り替える際に地味に便利です。機能追加から日が浅いこともあり、社内でも claude agents コマンドの正しい呼び出し方など、使いこなしの勘所を公式ドキュメントで確認しながら試しているところです。現在はプレビュー版という位置づけでもあるので、まずは実際に触ってフローに馴染ませていくフェーズと言えそうです。

Claude PlatformがAWSで直接使えるように

claude.com

AWS環境で、Amazon Bedrockを経由せずClaude PlatformのネイティブAPIを直接呼べるようになりました。最新モデルの全機能をIAM認証とAWSの既存請求基盤の上で使えて、Claude Codeなどのツールもそのまま動きます。ハッカソンのような短期プロトタイピングで、Bedrockのクォータ制限を気にせずネイティブ機能を試せるのは助かります。データ処理場所やガバナンス要件によって、Bedrockと使い分ける場面が増えそうです。

AIとの中間フォーマットはMarkdownよりHTML、というThariq氏の見立て

https://x.com/trq212/status/2052809885763747935

Claude開発者のThariq氏が、AIとのやり取りに使う中間フォーマットとしてはMarkdownよりHTMLが向いている、という見方を投げかけていました。Markdownでは表現しきれないテーブルやSVG、スクリプトを含むインタラクションまでHTMLなら一つで包めるので、複雑な仕様や対話のやり取りには確かに分がありそうです。納得感のある視点です。エージェント向けプロンプトの出力形式にHTMLを指定するのが、そのうち標準になっていくのかもしれません。

Codexにremote-control、Windows版もリリース

github.com

OpenAIのCodexに、Webセッションをモバイル端末から引き継いで作業を続けられる remote-control コマンドがプレビュー版として加わりました。あわせてWindows版もリリースされていて、PCの前を離れてもモバイルアプリから実行の承認やステータス確認ができます。場所を選ばずに開発プロセスを回せるのは、出先の時間の使い方が変わってきそうな更新です。引き出しに入れておくと使いどころは結構ありそうです。

overflow-anchorでJSなしのスクロール追従

developer.mozilla.org

JavaScriptを使わずスクロール位置の固定や追従を制御できる、CSSの overflow-anchor プロパティがチャットUI実装の文脈で再注目されています。新しい要素が追加されたときに最下部へ自動追従させる挙動を、CSSの宣言だけで書けるようになります。MutationObserverを駆使してゴリゴリ書いていた身としては、もっと早く知りたかった機能です。主要ブラウザの挙動を検証した上で、JS実装からのリプレースを検討する価値はありそうです。

CSS Grid の gap を装飾する column-rule / row-rule

azukiazusa.dev

CSS Grid Layoutのギャップ部分に線を引くための column-rulerow-rule プロパティが、新仕様として提案されています。これまで擬似要素を駆使していたグリッド線の実装が、ネイティブのプロパティだけで完結し、マークアップを汚さずに済むようになります。記述が一気にスマートになるので、個人的にも期待している仕様です。現状はChromeでの実験的実装が先行している段階です。

Tailwind CSS v4.3、scrollbar系ユーティリティがついに正式入り

tailwindcss.com

Tailwind CSS v4.3が公開され、scrollbar-* ユーティリティが正式にサポートされました。scrollbar-thin / scrollbar-none での太さ制御、scrollbar-thumb-* / scrollbar-track-* での配色、scrollbar-gutter-*(auto / stable / both)でのレイアウトシフト対策までひと通り揃っています。ブラウザ差異を意識せずスクロールバーを整えられるのは、UIの統一感を出す上でかなり助かります。他にも、block-size も対象にできる @container-size クエリ、CSSの zoom プロパティをそのまま使える zoom-*、タブ文字幅を制御する tab-* などが追加されました。さらに @variant hover:focus { ... } のようなスタック・コンパウンド形式の @variant がCSSの中で書けるようにもなっていて、カスタムスタイルの書き味がぐっと変わりそうです。

Google DeepMindのAI対応マウスポインター

deepmind.google

Google DeepMindが、マウスポインターと音声を組み合わせて画面上のオブジェクトを直接操作する「AI Enabled Pointer」の研究成果を発表しました。カーソルを当てたオブジェクトに対して「これをあっちに動かして」と自然に指示するだけで移動や変形ができるデモは、次のUIの形を考える材料として面白いです。現時点では日本語認識は未対応のようなので、触るときは注意が必要です。身近に降りてくるのは、もう少し先の話になりそうです。

ショートノート

まとめ

全部に手を出すと週末が溶けてしまうので、まずは「pnpm 11への移行検証」と「依存パッケージの点検」を優先、Claude CodeのAgent Viewは合間に触ってみる、くらいの配分で考えています。あとはoverflow-anchorも頭の片隅に置いておくと、どこかで効いてきそうなので個人的にメモ。来週もよろしくお願いします。