2026-05-18 Morning Dispatch — Vibe Coder Bootcamp

🔧 ツール・サービス / @SUPABASE (OFFICIAL) / NEWS

Supabase が Data API の自動公開を廃止 — 5/30 以降は明示 GRANT 必須

Supabase は 2026-05-30 以降に作成される新規プロジェクトで、public スキーマに追加された新テーブルを Data API へ自動公開しない方針へ転換する。各テーブル・各ロール (anon / authenticated 等) に対し dashboard または SQL で明示的に GRANT を付与する必要がある。公式ブログと GitHub Discussion #45329 に詳細。

キーポイント

対象は 5/30 以降に作成される新規プロジェクト、既存プロジェクトには影響なし
anon / authenticated で別権限が前提のセキュリティモデルへ全面移行
「declarative code (diff/grep可能な権限管理)」を公式方針として明示
RLS が有効でも GRANT がなければ API でテーブルを見れない事故が起きうる
GitHub Discussion #45329 が一次情報

Vibe Coder Bootcamp の Supabase テンプレ・教材は「テーブル作成 → GRANT → RLS」の順序を前提とした更新が必要。RLS のみの設計だと API 経由でアクセスできず受講生が詰まる原因になる。

🔧 ツール・サービス / @OPENAIDEVS (OFFICIAL) / NEWS

OpenAI Codex UX 大改修 — ショートカット完全カスタム化 / Git 操作 10-50× / レビュー画面集約

OpenAI Codex がエンジニア向け UX をまとめて刷新。設定からショートカットを再割当て可、大規模リポでの Git 操作を 10〜50 倍高速化、スレッド切替再レンダを 75% 削減、Git アクション (commit/push/PR 作成・状態) をレビュー画面に集約、スレッドパネルから summary / Git context / sources を即参照可能。ローカルサーバ一覧は 120 秒ごとに自動更新へ。

キーポイント

キーボードショートカットを設定画面から完全カスタマイズ可
大規模リポの Git 操作 10-50× 高速化、ストリーミング系で再レンダ 0 化したパスも
スレッド切替時の再レンダを ~75% 削減
Git アクション (commit/push/branch/PR 作成・状態) をレビュー画面に集約
ローカルサーバ一覧の整理 (フィルタ・sort 記憶・120 秒ごと自動リフレッシュ)

「IDE 統合してアダプトしてくれる」フェーズへ Codex が踏み込んだ。Claude Code との差異は ChatGPT モバイル + macOS のクロスデバイス連動を強化している点。GUI と CLI の往復が前提のワークフローが現実的に。

🔧 セキュリティ / @STAR_KNIGHT12 (PRASENJIT, セキュリティ研究者) / BOOKMARK

Next.js 史上最悪の脆弱性 CVE-2026-44578 (CVSS 8.6) — 内部 SSRF、認証不要

Next.js に CVSS 8.6 の WebSocket SSRF 脆弱性 CVE-2026-44578 が見つかった。影響範囲は 13.4.13+ / 14.x / 15.x / 16.0.0–16.2.4。認証不要、特殊リクエスト 1 つで内部サービス・クラウド資格情報・API キー・管理パネルにアクセス可。約 79,000 インスタンスが現時点で攻撃可能と推計。Vercel ホスティング下のアプリは安全、self-hosted は影響あり。15.5.18 / 16.2.6 以上にアップグレードが必要。

キーポイント

影響バージョン: 13.4.13+ / 14.x / 15.x / 16.0.0–16.2.4
認証不要・単発リクエストで内部サービスへ SSRF
クラウド資格情報 / API キー / 管理パネルへアクセス可能
推計 79,000 self-hosted インスタンスが脆弱状態
Vercel ホスティングは影響なし。self-hosted は緊急アップグレード必須
修正版: 15.5.18 または 16.2.6 へ更新

VBC 受講生が作る Next.js アプリの大半は self-hosted の可能性があり、脆弱バージョンのまま晒すと即時侵害される深刻度。今朝のうちに使っている Next.js バージョンを確認 → アップグレードする運用フローを徹底すべき。

📰 業界動向 / @CLAUDEDEVS (OFFICIAL) / BOOKMARK

Claude 有料プランに月次プログラム利用クレジット — 6/15 開始、Agent SDK / Code / GitHub Actions で利用可

Anthropic は 2026-06-15 から Claude の有料プランに対し、毎月一定の「プログラム利用専用クレジット」を付与する制度を開始する。Claude Agent SDK / `claude -p` / Claude Code GitHub Actions / サードパーティ連携など、プログラム経由の Claude 呼び出しに使えるクレジット。同時期に Claude Code サブスクは月 $200 相当のクレジット上限へ実質ダウングレード (@weswinder が拡散)。

キーポイント

開始日: 2026-06-15
対象: Pro / Max 等の有料プラン
利用先: Claude Agent SDK, claude -p, Claude Code GitHub Actions, サードパーティ
Claude Code サブスクは同時期に月 $200 クレジット上限化、従来比 5-10× の実質値上げに相当
プログラム利用と対話利用を計量分離するモデルへ

Bootcamp 受講生で自動化・cron・GitHub Actions に Claude を組み込んでいる人は 6/15 から課金構造が変わる。実質値上げの影響を見越して、現在の使用量計測と、Codex / Hermes Agent への部分移行検討を今のうちに始める価値あり。

🔧 ツール・サービス / @NOTIONDEVS (OFFICIAL) / BOOKMARK

Notion 公式 CLI 「ntn」リリース — ターミナルから Notion API 全機能、Workers 構築・デプロイまで

Notion が公式 CLI `ntn` をリリース。ターミナルから Notion API の全機能を呼び出せるだけでなく、Notion Workers の構築・デプロイまでカバー。AI コーディングエージェント (Claude Code / Codex / Cursor 等) から直接叩ける設計が強調されている。

キーポイント

インストール: `curl -fsSL https://www.notion.com/cli | bash`
API 全エンドポイント呼び出し可
Notion Workers のローカル開発・デプロイ対応
AI コーディングエージェント連携を公式に想定した設計
134 万閲覧 / 3,355 likes と注目度高

VBC で「Notion を SaaS の DB 代わりに使う」受講生は多い。`ntn` を Claude Code / Codex の sub-agent に呼ばせると、Notion をバックエンドにした PoC が CLI 1 本で動くようになる。

📰 業界動向 / @GROK (XAI OFFICIAL) + コミュニティ事例 / NEWS

Hermes Agent (Nous Research) — Grok サブを OAuth 接続で API key 不要、OSS 自己改善エージェントとして台頭

Nous Research のオープンソース自己改善 AI エージェント「Hermes Agent」が、Grok サブスクリプションを OAuth 接続で API キーなしに利用できる構成を正式サポート。ローカル PC / VPS で常駐し、セッションを跨ぐ長期記憶を持つ。Slack / Discord / Telegram 等のチャネルに接続して常駐型のデジタル分身として動作可能。コミュニティでは Codex の課金から Hermes に切り替えた事例が増加中。

キーポイント

Grok アカウントを OAuth で接続 → API key 不要で Grok モデルを直接利用
ローカル/VPS 常駐、セッション跨ぎの長期記憶
Slack / Discord / Telegram 接続で常駐エージェント化
OSS なのでカスタマイズ自由 (Skills, Curator memory)
Codex / Claude Code / Cursor / Grok Build に次ぐ第 5 の選択肢

「既に持っているサブスクを再利用して OSS エージェントを動かす」モデルが現実的に成立した。Bootcamp の上級者向けには、API 課金を増やさずに常駐 AI を立てる選択肢としてリストに入れる価値あり。

💡 プラクティス / @KARPATHY / NEWS

Karpathy の「LLM に出力構造を尋ねる」プロンプト手法 — モデル待ちせずに今日から効く

Andrej Karpathy が「クエリの末尾で LLM に『この回答の出力構造を JSON で示せ』『分岐シナリオを列挙してから答えよ』と頼むだけで品質が大きく上がる」と提案。AYi の中国語解説が拡散し、過去半年の AI ワークフロー設計を見直す議論を喚起した。Chain-of-Thought / Tree-of-Thoughts と相補的に動く軽量プラクティス。

キーポイント

テクニック: 質問の末尾に 'structure your answer as ...' / 'list the possible branches' を付ける
モデル自身に「思考の足場」を作らせる側にコストを支払うアプローチ
Chain-of-Thought / Tree-of-Thoughts と相補的
コンテキスト窓やモデル性能向上を待たずに即効性あり
AYi の中国語解説が「過去半年の AI ワークフローを覆す」として拡散

Claude Code / Codex に投げる依頼テンプレを「構造を聞く → 構造に従って実装させる」の 2 段に分けるだけで、エージェント任せの暴走を大幅に減らせる。VBC のプロンプト集テンプレに反映する価値あり。

2026.05.18

Supabase が Data API の自動公開を廃止 — 5/30 以降は明示 GRANT 必須

キーポイント

OpenAI Codex UX 大改修 — ショートカット完全カスタム化 / Git 操作 10-50× / レビュー画面集約

キーポイント

Next.js 史上最悪の脆弱性 CVE-2026-44578 (CVSS 8.6) — 内部 SSRF、認証不要

キーポイント

Claude 有料プランに月次プログラム利用クレジット — 6/15 開始、Agent SDK / Code / GitHub Actions で利用可

キーポイント

Notion 公式 CLI 「ntn」 リリース — ターミナルから Notion API 全機能、Workers 構築・デプロイまで

キーポイント

Hermes Agent (Nous Research) — Grok サブを OAuth 接続で API key 不要、OSS 自己改善エージェントとして台頭

キーポイント

Karpathy の「LLM に出力構造を尋ねる」プロンプト手法 — モデル待ちせずに今日から効く

キーポイント

Notion 公式 CLI 「ntn」リリース — ターミナルから Notion API 全機能、Workers 構築・デプロイまで