2026-05-19 Morning Dispatch — Vibe Coder Bootcamp

SECURITY / @INTCYBERDIGEST / @RYANCARSON / @AYI_AINOTES / NEWS

npm 史上最大級のサプライチェーン攻撃 "Mini Shai-Hulud" が TanStack を直撃

TanStack のメンテナアカウント乗っ取りを起点に、npm レジストリ全体で大規模なサプライチェーン攻撃 "Mini Shai-Hulud" が拡散している。普通の見た目の PR を装って依存に紛れ込み、postinstall から AWS / GitHub / 環境変数を窃取する。一定期間アクセスが途切れると公開リポへ機密をリークする dead-man's switch 型ペイロードが特徴。

キーポイント

起点は著名な React 系 OSS TanStack のメンテナアカウント乗っ取り
postinstall 経由で AWS / GitHub / 環境変数 / npm token を窃取
dead-man's switch ペイロードで時限的に公開リポへ機密リーク
Ryan Carson らが「いますぐ npm install を止めろ」と全業界に警告
BOOTOSHI が Codex / Claude Code 向けの監査プロンプトを公開

VBC 受講生は毎日 Next.js + Supabase 構成で npm install を回している。今日からは lockfile 固定 + 依存最小化 + AI による postinstall 監査を運用に組み込む。

SECURITY / @MODAT_MAGNIFY / @STAR_KNIGHT12 / NEWS

Next.js CVE-2026-44578 — WebSocket Upgrade SSRF (CVSS 8.6) で即パッチ必須

Next.js の WebSocket Upgrade ハンドラに SSRF 脆弱性が発見され、CVE-2026-44578 として CVSS 8.6 (High) が採番された。攻撃者は WebSocket リクエストを通じて内部ネットワーク資源へのアクセスを誘発できる。Next.js 13.x 以降が影響範囲で、Vercel デプロイのプロジェクトは即時パッチ適用が必要。

キーポイント

CVE-2026-44578 / CVSS 8.6 (High) — Next.js 史上でも特に深刻な部類
攻撃ベクトル: WebSocket Upgrade リクエスト経由の SSRF
影響: Next.js 13.x 以降の WebSocket ハンドラを使う構成
公式 release で修正版が配布済み、即時アップデート推奨

VBC で Next.js は事実上の標準。Vercel + Supabase 構成の VBC 卒業生プロジェクト全部が対象なので、今日中にバージョン固定 + パッチ適用を回す。

AI_PLATFORM / @CLAUDEDEVS (公式) / @GYAKUSE / NEWS

Anthropic、Claude 有料プランに「プログラム実行用クレジット」を 6/15 から付与へ

Anthropic は 2026-06-15 から、Claude の有料プラン (Pro / Max) に対して、`claude -p` や Claude Agent SDK 経由のプログラム実行用の月次専用クレジットを付与する仕様変更を発表。これまで境界が曖昧だった「サブスク = 対話型 / API = 別課金」の区分を明確化する。

キーポイント

開始日: 2026-06-15
対象: Claude Pro / Max の `claude -p` および Claude Agent SDK 経由の利用
プログラム実行用のクレジット枠が月次で別途付与される
対話型 Claude Code の利用にはそのまま影響なし
一部ユーザは「以前は無制限的に使えた枠が縮小」と認識し downgrade と表現

VBC 受講生で Claude Code を CI / 自動化に組み込んでいる人は、サブスク 1 本で全部賄うスタイルから API 課金との併用に再設計する必要が出てくる。

AI_MODEL / @OPENAI / @MLBEAR2 / @JXNLCO / NEWS

OpenAI が GPT-Realtime-2 と 70+ 言語対応の Realtime-Translate を同時発表

OpenAI は API 経由で利用可能な最新音声モデル GPT-Realtime-2 と、70+ 言語に対応するリアルタイム翻訳特化モデル GPT-Realtime-Translate を同時発表。低レイテンシ音声→音声翻訳が API レイヤーで実現可能になり、発表当日中に複数の個人開発者が実装デモを公開した。

キーポイント

GPT-Realtime-2: OpenAI 史上最も賢い voice モデル (API)
GPT-Realtime-Translate: 70+ 言語対応のリアルタイム翻訳特化
発表当日に Tauri / Web ベースの実装デモが複数登場
CHOI 氏は Chormex (Chrome 拡張) にリアルタイム AI 翻訳を組み込み
「翻訳コンニャク」が API で実装可能というレベル感

日本人エンジニアが英語ミーティングに同期参加する/グローバル受講生に同時通訳する、というユースケースが API レイヤーで現実的になった。VBC のグローバル展開や採用面接サポートに直結する。

PROMPTING / @KARPATHY / @AYI_AINOTES / NEWS

Karpathy「出力構造を先に聞く」プロンプト手法が AI ワークフロー再設計議論を呼ぶ

Andrej Karpathy が「クエリの末尾で『この回答の出力構造を最初に示して』と LLM に頼むだけで品質が大きく向上する」と提案。AYi が中文圏で『これは過去半年の AI ワークフローを根本から覆す』と長文解説して爆発拡散し、ワークフロー再設計の議論を喚起している。

キーポイント

手法: 質問末尾に "structure your answer as ..." / "list the possible branches before answering" を付ける
モデルに思考の足場を作らせる側にコストを払うアプローチ
Chain-of-Thought / Tree-of-Thoughts と相補的、コンテキスト窓を待たない
中文圏で「強モデル待ち・長コンテキスト待ちは無駄だった」と議論が拡大

コンテキスト窓やモデル性能を待たずに今日から効く。VBC 受講生が Claude Code / Codex に投げる依頼テンプレを「構造を聞く → 構造に従って実装させる」の 2 段に分けるだけでエージェント任せの暴走が大幅に減る。

AGENTIC_DEV / @CURSOR_AI (公式) / NEWS

Cursor SDK 登場 — Cursor と同じランタイムで agent を作れる第 4 の SDK 勢力

Cursor は、自社 IDE と同じランタイムで AI エージェントを構築できる Cursor SDK を発表。これまで Cursor は IDE 単体プロダクトの位置づけだったが、SDK 化により他のアプリケーションに Cursor のエージェント体験を組み込める。Claude Agent SDK / OpenAI Codex / Gemini CLI に続く第 4 の agentic SDK 基盤。

キーポイント

Cursor SDK 公式発表 — Cursor と同じランタイムで動く
Cursor の UX をプログラマブルに再利用可能
Claude Agent SDK / Codex / Gemini CLI に並ぶ位置づけ
VBC 上級者向けには「IDE 派と CLI 派の使い分け」がより現実的に

agentic CLI/SDK 競争が一段加速。VBC 受講生で IDE 派の人は Claude Code / Codex / Cursor を目的別に使い分ける運用が現実的になってきた。

2026.05.19

npm 史上最大級のサプライチェーン攻撃 "Mini Shai-Hulud" が TanStack を直撃

キーポイント

Next.js CVE-2026-44578 — WebSocket Upgrade SSRF (CVSS 8.6) で即パッチ必須

キーポイント

Anthropic、Claude 有料プランに「プログラム実行用クレジット」を 6/15 から付与へ

キーポイント

OpenAI が GPT-Realtime-2 と 70+ 言語対応の Realtime-Translate を同時発表

キーポイント

Karpathy「出力構造を先に聞く」プロンプト手法が AI ワークフロー再設計議論を呼ぶ

キーポイント

Cursor SDK 登場 — Cursor と同じランタイムで agent を作れる第 4 の SDK 勢力

キーポイント