DISPATCH №0516 / 2026-05-16 / MORNING EDITION / 07 ITEMS / BUILD 20260516.0722 / LIVE / CURATED BY 泉水亮介
VCB News & Post Headline
JST · 07:22 · FRI
MORNING DISPATCH · FRIDAY · MAY 16, 2026

2026.05.16

Next.js · Anthropic · npm「Mini · Karpathy「LLM 07 ITEMS · READ 6 min
🔧 セキュリティ / STAR_KNIGHT12 (SECURITY RESEARCHER) / MODAT_MAGNIFY / NEWS

Next.js 過去最悪の脆弱性 CVE-2026-44578 — WebSocket Upgrade SSRF (CVSS 8.6)

Next.js 過去最悪の脆弱性 CVE-2026-44578 — WebSocket Upgrade SSRF (CVSS 8.6)

Next.js に CVSS 8.6 の SSRF 脆弱性 CVE-2026-44578 が判明。13.4.13+ / 14.x / 15.x / 16.0.0–16.2.4 が影響を受け、WebSocket Upgrade リクエストを介したサーバサイドリクエストフォージェリで、認証不要・単発リクエストで内部サービス / クラウド認証情報 / API キー / 管理パネルへのリクエストを攻撃者が強制可能。

キーポイント

  • CVE-2026-44578、CVSS 8.6 (High)
  • 影響範囲: Next.js 13.4.13 以降の全 14/15 系、および 16.0.0–16.2.4
  • 攻撃手法: WebSocket Upgrade ヘッダ経由の SSRF
  • 認証不要、1 つの細工リクエストで成立
  • クラウド資格情報・内部 API・管理画面の流出リスク
  • Vercel ホストは影響軽微、セルフホスト (Cloud Run / ECS / EC2) は即時対応案件
VBC 受講生・Tekion 系プロダクトで Next.js セルフホストしているサービスは今すぐ 16.2.5 以上にアップグレードすべき緊急案件。AI 駆動開発で量産している Next.js アプリ全数の棚卸し機会。
📰 プラットフォーム動向 / ANTHROPIC / @CLAUDEDEVS OFFICIAL + WESWINDER / GYAKUSE / NEWS

Anthropic、Claude Code SDK のプログラム的利用を「専用月次クレジット」制度に分離 (6/15 開始)

Anthropic、Claude Code SDK のプログラム的利用を「専用月次クレジット」制度に分離 (6/15 開始)

6/15 から Claude 有料プラン全種で `claude -p` / Claude Agent SDK / Claude Code GitHub Actions / Agent SDK 製サードパーティ製品 (Conductor / Ryoko / OpenClaw 等) のプログラム的利用が専用月次クレジット制に分離。同時にサブスク本体での Agent SDK 利用は規約上完全に閉鎖。海外開発者 weswinder は「以前は通常レートを共有して 5-10 倍のディスカウントだったので事実上の値上げ」と指摘。

キーポイント

  • 開始日: 2026-06-15
  • 対象: Claude Agent SDK / `claude -p` / Claude Code GitHub Actions / Agent SDK 製アプリ
  • クレジット額: Pro $20 / Max 5x $100 / Max 20x $200 / Team Standard $20/seat / Team Premium $100/seat
  • ロールオーバーなし、毎月リセット
  • 1 セッションで $20 を簡単に超える Opus 利用は事実上値上げ
  • サブスクとプログラム利用の境界が明確化、規約上 SDK 利用がサブスク枠から完全分離
Ryoko / OpenClaw 系 OSS エージェント基盤を Claude サブスクで回している層は事実上の値上げ。Bootcamp 受講生で `claude -p` を cron で回している人は 6/15 までに月間消費見積もりを取り、Pro→Max のアップグレードか API 課金移行を判断する必要あり。
🔧 セキュリティ / INTERNATIONAL CYBER DIGEST / RYAN CARSON / 阿绎 AYI / NEWS

npm「Mini Shai-Hulud」攻撃が AI 開発者ツール標的に拡大 — TanStack 42 公式パッケージ感染、デッドマンスイッチ実装

npm「Mini Shai-Hulud」攻撃が AI 開発者ツール標的に拡大 — TanStack 42 公式パッケージ感染、デッドマンスイッチ実装

npm 史上最大規模の供給チェーン攻撃「Mini Shai-Hulud」が AI 開発者ツール (Claude Code / VS Code 拡張) を標的に拡大。TanStack の 42 公式パッケージが感染、84 バージョンが正規署名付きで公開された。攻撃経路は通常の PR 経由で GitHub Actions Cache を毒入れし、CI 上で SLSA 署名済みのまま改ざんパッケージを発行。新キャンペーンには「ペイロード除去操作で逆に拡散するデッドマンスイッチ」が実装されており、削除しようとすると感染が広がる構造。

キーポイント

  • TanStack の公式 42 パッケージ・84 バージョンが SLSA 署名済みで感染
  • 攻撃経路: 通常 PR → GitHub Actions Cache 毒入れ → CI から自動発行
  • 標的: Claude Code / VS Code 拡張など AI 開発者ツール
  • デッドマンスイッチ: ペイロード除去で逆に拡散する逆転構造
  • Ryan Carson (@ryancarson): 「全パッケージ npm install を一旦停止せよ」と緊急呼びかけ
  • BOOTOSHI 氏が Codex / Claude Code 用の防御プロンプトを公開
AI 駆動開発で `npm install` を agent に任せている全員に影響。SLSA 署名済みでも信頼できないため、ロックファイル固定・古い lockfile 復元・サンドボックス実行が必須。Bootcamp 受講生・Tekion 全社員へ「今日は npm install を打つ前にバージョン確認」の周知が必要。
📖 プロンプト技法 / ANDREJ KARPATHY / 阿绎 AYI (解説) / NEWS

Karpathy「LLM の問いに『HTML で構造化して』を足すだけで体験激変」— 半年分のワークフローを覆す Tips

Karpathy「LLM の問いに『HTML で構造化して』を足すだけで体験激変」— 半年分のワークフローを覆す Tips

Andrej Karpathy が「LLM への問いの末尾に『structure the output as HTML』を足すだけで体験が劇的に変わる」と投稿。Markdown より HTML の方がリッチな構造化が可能で、Claude / GPT 系で同じ問いでもアウトプット品質が大幅向上する。阿绎 AYi (@AYi_AInotes) はこのツイートを受けて「過去半年分の AI ワークフローを全部覆された」と解説スレッドを投稿、モデル待ちより出力形式変更の方が ROI が高いと主張。

キーポイント

  • 末尾に「structure the output as HTML」を追加するだけ
  • Markdown より HTML の方が表・カード・タブ等の表現力が高い
  • Claude / GPT 系で品質差を体感できるレベル
  • 「より強いモデルを待つ」より「今のモデルで出力形式を変える」方が ROI 高い (AYi)
  • Thariq (@trq212): 「HTML is the new markdown」と同期投稿
Bootcamp 受講生が普段書いているプロンプトに 1 行足すだけで成果物の質が上がる即効性 Tips。スライド・レポート・社内ドキュメントの自動生成で特に効く。
🔧 ツール機能 / CLAUDE CODE CHANGELOG (@CLAUDECODELOG) / NEWS

Claude Code 2.1.139 リリース — /goal コマンド追加など 50 変更 + 1 system prompt 変更

Claude Code 2.1.139 リリース — /goal コマンド追加など 50 変更 + 1 system prompt 変更

Claude Code 2.1.139 が公開。CLI に 50 の変更、システムプロンプトに 1 つの変更。目玉は前々日に正式紹介された `/goal` コマンドの正式リリースで、完了条件を指定すると Claude が条件達成まで止まらない「Ralph loop」を純正機能化。同時に push 通知 (長時間タスク完了時にスマホへ通知)・agent view (全セッションを一覧表示) も追加。

キーポイント

  • /goal <完了条件> で Claude が条件達成までトランスクリプトを自分でチェック
  • 達成時は「Goal achieved」サマリーが返る
  • push 通知: 長時間タスク完了時にスマホへ Push (@ClaudeDevs 別ポスト)
  • agent view: 全セッションを 1 画面に並べて見られる新 UI
  • Cline CLI 2.0 (ターミナル AI agent) の存在感台頭と並行リリース
Topic 2 の SDK クレジット制度と組み合わせると、「夜間ジョブを /goal + /schedule で完走させて、消費は専用クレジットから引かれる」というクリーンな運用モデルが描ける。Ryoko の cron 設計を再検討する好機。
📖 開発 TIPS / ANTHROPIC / @CLAUDEDEVS OFFICIAL / NEWS

Claude API プロンプトキャッシュ「事前ウォーム」Tips — TTFT を大幅短縮

Claude API プロンプトキャッシュ「事前ウォーム」Tips — TTFT を大幅短縮

Anthropic 公式 ClaudeDevs が長文プロンプトの TTFT (Time To First Token) を削減するキャッシュ事前ウォーム手法を紹介。先に system プロンプトのみ送信して Claude にキャッシュ書き込みさせ (出力はスキップ)、実際のユーザリクエストを送る時にキャッシュヒットさせることで TTFT が大幅短縮できる。

キーポイント

  • 手法: system プロンプト先送り → user プロンプト後追い
  • 初回呼び出しは出力スキップ、キャッシュ書き込みのみ
  • 2 回目以降は warm cache でレイテンシ短縮
  • 5K+ tokens の長尺 system プロンプトで効果大
  • 実装は API 呼び出しを 2 段階に分けるだけで完了
Ryoko / 自前 Agent SDK で長文 IDENTITY.md / SOUL.md を毎回読ませている設計に直接効く最適化。Bootcamp 受講生が作る AI チャットアプリでも、UX の体感速度に直結する。
🔧 ツール機能 / NOTIONDEVS OFFICIAL / NEWS

Notion 公式 CLI `ntn` リリース — Notion API がターミナルから操作可能に、AI エージェント前提設計

Notion 公式 CLI `ntn` リリース — Notion API がターミナルから操作可能に、AI エージェント前提設計

Notion 公式が `ntn` という CLI ツールをリリース。Notion API 全機能をターミナルから呼べる上、Notion Workers (Notion 上のサーバレス機能) の構築・デプロイも CLI 完結。人間と AI コーディングエージェントの両方を想定して設計されており、Claude Code / Cursor / Codex から `ntn` を叩いて Notion 操作を自動化できる。インストールは `curl -fsSL ntn.so/install | sh` の 1 行。

キーポイント

  • Notion API 全機能を CLI で操作可能
  • Notion Workers (サーバレス) の開発・デプロイも対応
  • AI コーディングエージェント (Claude Code / Cursor / Codex) からの呼び出しを明示的に想定
  • インストール: `curl -fsSL ntn.so/install | sh` の 1 行
  • MCP サーバ経由よりも軽量に統合できるポジショニング
VBC 受講生で「Notion DB を Claude Code から操作したい」「議事録を Notion に自動投稿したい」というニーズに即対応。社内ナレッジ管理を Notion + Claude Code で完結させる構成が現実的に。
📄 PDFをダウンロード 🧵 X スレッドで読む
← 前日 · 2026-05-14 Anthropic、Claude Code 週次上限 50% 増 + 6/15 から SDK 専用月次クレジットを新設