DISPATCH №0624 / 2026-06-24 / MORNING EDITION / 07 ITEMS / BUILD 20260624.0729 / LIVE / CURATED BY 泉水亮介
VCB News & Post Headline
JST · 07:29 · TUE
MORNING DISPATCH · TUESDAY · JUNE 24, 2026

2026.06.24

JetBrains · Mastra · 中島聡「Vibe · Vibe 07 ITEMS · READ 5 min
開発ツール / JETBRAINS 公式ブログ / @JETBRAINS / NEWS

JetBrains の AI コーディングエージェント「Junie」が正式版(GA)に — IDE のデバッガで自律デバッグ

JetBrains の AI コーディングエージェント「Junie」が正式版(GA)に — IDE のデバッガで自律デバッグ

JetBrains は AI コーディングエージェント Junie を 6/17 に正式版(GA)化した。IntelliJ・PyCharm・WebStorm 等の全 IDE と Junie CLI(ターミナル/CI/CD)で動き、IDE 連携を ACP(Agent Communication Protocol) で作り直した。コード生成前に仕様書を作る Plan モード、IDE の実デバッガを使った自律デバッグ、DataGrip 経由の実 DB 操作までを 1 セッションでこなす。

キーポイント

  • Plan モード: 生成前に PRD/技術設計/デリバリ段階/テスト戦略をタブ化した構造ドキュメントを `.junie/plans` に保存(コミット可能な"生きた仕様書")
  • 自律デバッグ: println でなく IDE と同じデバッガでブレークポイント・変数 inspect・ステップ実行して修正をイテレート
  • 深い IDE 統合: セマンティックインデックス/ビルド設定/テストランナー/DB(DataGrip) を流用し、SQL の生成・修正・検証も同一セッションで
  • SWE-Rebench で coding agent 首位(resolved 61.6% / pass@5 72.7%)
  • LLM 非依存・BYOK はプロバイダ料金のみ(JetBrains 上乗せなし)。中国では当面非提供
Cursor/Claude Code 系の"ターミナル/エディタ"型に対し、IDE 全機能(デバッガ・DB・テストランナー)をエージェントに使わせる方向の完成形。JetBrains IDE を使う VBC 受講者に直結する。
セキュリティ / MICROSOFT SECURITY BLOG / THE HACKER NEWS / NEWS

Mastra npm サプライチェーン攻撃の全貌 — 北朝鮮 Sapphire Sleet が 88 分で 144 パッケージを汚染

Mastra npm サプライチェーン攻撃の全貌 — 北朝鮮 Sapphire Sleet が 88 分で 144 パッケージを汚染

AI エージェント構築フレームワーク Mastra(@mastra スコープ)の npm パッケージ 144 個が乗っ取られ、インストール時に自動実行される postinstall フックでマルウェアを仕込む攻撃が起きた。Microsoft は北朝鮮系 Sapphire Sleet の犯行と高確度で帰属。npm v12 が install スクリプトをデフォルト無効化した(既報)背景にある実例で、コードで import していなくても `npm install` した瞬間に発火する怖さを示す。

キーポイント

  • 起点はメンテナアカウント(ehindero)乗っ取り。社員が LinkedIn 経由のソーシャルエンジニアリングで侵害され、npm の token bypass 設定の隙を突かれた
  • dayjs の typosquat「easy-day-js」を注入。前日に無害版 1.11.21→翌日 postinstall 付き 1.11.22 を公開し、`^1.11.21` の SemVer 自動解決で全新規インストールが汚染版に
  • 01:12–02:39 UTC の 88 分で 142 パッケージを自動再公開。import の有無に関係なく install/update で発火
  • ペイロードは TLS 検証を無効化→C2 から二段目取得。160+ の暗号ウォレット拡張やブラウザ履歴を窃取し Win/macOS/Linux に永続化
  • 対策: `npm install --ignore-scripts`、lockfile/依存ツリー監査、バージョン固定、メンテナの MFA 徹底・token bypass 廃止
VBC 受講者が npm 依存を入れる時の最大級リスク。対策はそのまま受講者に渡せる。「未知の入力は敵対的とみなす」時代の具体例として、今日の Vibe coding 安全チェック(別トピック)と地続き。
業界知見 / @SNAKAJIMA(中島聡) / NEWS

中島聡「Vibe Crafting」— Vibe Coding はまだ序の口、本丸は"一人のためにその場で作るソフトウェア"

中島聡「Vibe Crafting」— Vibe Coding はまだ序の口、本丸は"一人のためにその場で作るソフトウェア"

著名エンジニア中島聡が、Vibe Coding(AI にコードを書かせる開発スタイル)はまだ序の口で本丸はその先だと提起した。2 か月の MulmoClaude 開発の中で見えてきたのは「たった一人のユーザーのために、その場で作られるソフトウェア」という方向性で、これを Vibe Crafting と呼ぶ。

キーポイント

  • 「Vibe Coding の次」を Vibe Crafting と命名して提示
  • 2 か月の MulmoClaude 開発実践から得た知見
  • 量産プロダクトではなく"その場・一人向け"の即席ソフトが当たり前になる、という発想転換
VBC 受講者が「何のために Vibe Coding を学ぶか」の射程を広げる視点。プロダクト前提でなく、自分や目の前の一人のための即席ツールを作る価値観は受講者の心理的ハードルを下げる。
セキュリティ / @ABOUT_HIROPPY / @KENTA_AKAGI / THE VERGE / NEWS

Vibe coding で本番に出す前の必須チェック — 事故報道(The Verge)と実践チェックリスト

Vibe coding で本番に出す前の必須チェック — 事故報道(The Verge)と実践チェックリスト

Vibe coding で公開したアプリに SQL インジェクション・認証なし DB 公開・AI エージェントによる本番 DB 削除などの事故が相次いでいると The Verge が報道し、実務エンジニアが本番リリース前の具体チェックリストを共有している。"動く"までが速い分、本番スケールでの挙動を想像する時間が削られやすいのが事故の温床。

キーポイント

  • 報告された事故類型: SQLインジェクション / 認証なしで DB を公開 / AI が本番 DB を削除
  • チェック①: 生成コードに .env・認証トークンが混入してないか確認
  • チェック②: AI のコードは"自信満々に間違える"のでテスト必須/③ `npm audit` で依存の脆弱性確認
  • チェック④: SQLi・XSS 対策を必ず入れる
  • チェック⑤: 本番想定量のシードデータで負荷テスト(ローカル少数データだと N+1 等を見逃す)
VBC 受講者がまさにやりがちな事故。これを"作る前/出す前に渡すべき安全リスト"として配ることで実害を防げる。今日の Mastra npm 事件とも地続きで、Vibe Coding の負の側面に正面から向き合う回。
開発ツール / @_CODEBURN / NEWS

Codeburn — Claude/Codex/Cursor/Copilot+28 ツールの AI コーディング支出をローカルで一元可視化

Codeburn — Claude/Codex/Cursor/Copilot+28 ツールの AI コーディング支出をローカルで一元可視化

`npx codeburn web` だけで、Claude・Codex・Copilot・Cursor など 28+ の AI コーディングツールの利用コストをローカルのダッシュボードでリアルタイム集計するツールが登場した。データは一切マシン外に出ない。

キーポイント

  • 28+ の AI コーディングツール横断でコストをライブ集計
  • `npx codeburn web` で起動、ローカル完結(プライバシー)
  • 複数エージェント併用で"課金が見えない"問題への回答
複数エージェントを併用する VBC 受講者・実務者の「気づいたら高額」問題に直結。コスト可視化は継続利用の前提になる。
開発ツール / @ATOMIC_CHAT_HQ / NEWS

Cline を完全ローカル・オフラインで動かす — Atomic Chat が open-weight モデルで実行

Cline を完全ローカル・オフラインで動かす — Atomic Chat が open-weight モデルで実行

コーディングエージェント Cline を、Atomic Chat のローカル open-weight モデル上で完全オフライン実行できるようにした構成が公開された。Cline がエージェント層(ファイル読取・編集・ターミナル実行・エラー調査・承認要求)を担い、Atomic Chat がモデル層をオフライン・ローカルで動かす。

キーポイント

  • Cline = エージェント層: ファイル読み書き・コマンド実行・エラー調査・アクション前の承認
  • Atomic Chat = モデル層: open-weight モデルをオフライン・ローカルで実行
  • クラウド API に出さずローカル完結(機密保持・コスト削減)
機密コードを扱う企業や API コストを抑えたい受講者に"ローカル完結のエージェント開発"という選択肢。GLM-5.2 等 open-weight の進化(既報)と接続する実用例。
業界知見 / @THISWEEKNAI(MICHAEL TRUELL 発言紹介) / NEWS

Cursor 共同創業者 Truell「5 つのエージェントを切り替えるのは未来じゃない」— 数日かけ完成品を返すエージェント像

Cursor 共同創業者 Truell「5 つのエージェントを切り替えるのは未来じゃない」— 数日かけ完成品を返すエージェント像

Cursor 共同創業者 Michael Truell が、細切れタスクのために 5 つのエージェントを切り替える今のやり方はコーディングの未来ではない、と述べた。目指す姿はラフな構想を渡すとエージェントが数日姿を消し、完成・テスト済みのプロダクトを持って戻ってくる世界だという。

キーポイント

  • 複数エージェントを手動で切り替える現状を"過渡期"と位置づけ
  • 目指す姿: 構想を渡す→エージェントが長時間自走→完成・テスト済み成果物を返す
VBC 受講者が"今のエージェント運用"をどの方向に伸ばすかの羅針盤。JetBrains Junie の AFK 長時間タスク(本日トピック1)とも符合する業界トレンド。
📄 PDFをダウンロード 🧵 X スレッドで読む