Claude Code デイリーブリーフィング - 2026-05-09

最新リリース概要

全リリースノート

主要な新機能と実践活用

v2.1.136 — autoMode.hard_deny、MCP安定性の大幅改善（5/8）

v2.1.136は自動モード制御とMCP安定性に重要な改善をもたらしています。

settings.autoMode.hard_deny: 自動モード分類器に無条件ブロックルールを設定できるようになりました。既存のdenyRulesがユーザー確認を求めるのに対し、hard_denyは分類器レベルで完全にブロックします。長時間の自律エージェント実行時の安全性が一段階向上します。

MCP OAuth安定性修正: /clear後に.mcp.json、プラグイン、claude.aiコネクタのMCPサーバーが消える問題が修正されました。また、同時サーバーリフレッシュ時のOAuthリフレッシュトークン消失や、同時credential書き込みによるログインループも解決されました。

WSL2画像貼り付け: Windowsクリップボードからの画像貼り付けがPowerShellフォールバックで正常動作します。

Extended thinking 400エラー修正: ツール呼び出し後にredacted thinkingブロックが発生した際のAPI 400エラーが解消されました。

{
  "autoMode": {
    "hard_deny": [
      { "tool": "Bash", "pattern": "rm -rf /" }
    ]
  }
}

GitHub v2.1.136

Anthropic、Akamaiと$1.8B（約2,700億円）7年間コンピューティング契約を締結（5/8）

AnthropicがAkamai Technologiesと**7年間$18億（約2,700億円）**規模のクラウドコンピューティング契約を締結しました。Akamai史上最大の単一契約です。

CEO Dario Amodei氏はQ1の年間売上と使用量が80倍成長したと述べ、コンピューティングリソースの確保を「可能な限り迅速に」進めていると明らかにしました。Akamaiの株価は発表後28%急騰しました。

これにより、Anthropicのインフラポートフォリオは以下のように拡大しています：

• SpaceX Colossus（300MW、22万+ GPU）— 5/6発表
• Akamai（$1.8B、7年）— 5/8発表
• Google Cloud（$200B、5年）
• Amazon（5GW）
• Microsoft/NVIDIA（Azure $300億）
• Fluidstack（$500億米国AIインフラ）

Bloomberg | Yahoo Finance | Boston Globe

開発者ワークフローティップス

Claude Codeの5つのエージェンティックワークフローパターン

MindStudioがまとめたClaude Codeの5つの主要ワークフローパターンが実務者の間で共有されています。

1. Sequential Flow: ステップバイステップの順次実行。シンプルなタスクに最適
2. Operator: オーケストレーターがサブタスクをワーカーに委任し結果を収集。複雑な単一タスクに最適
3. Split-and-Merge: 独立タスクを並列分割後、結果をマージ。コードレビューや複数ファイル分析に最適
4. Agent Teams: 専門エージェントが役割別に持続的に協業。長期プロジェクトに最適
5. Headless: CI/CDやcronでの無人実行。自動検証・デプロイに最適

核心的な設計原則は、サブエージェントが親の完全な会話を受け取らず、自分のタスクプロンプトのみを受け取ることです。このコンテキスト分離により、大規模コードベースでもコンテキストウィンドウが溢れません。

MindStudio

autoMode.hard_denyで自動モードの安全網を構築

v2.1.136で追加されたautoMode.hard_denyは既存のdenyRulesと補完的に使用できます。denyRulesがユーザー確認を要求するのに対し、hard_denyは分類器レベルで無条件ブロックします。自動モードでエージェントを長時間実行する際、絶対に実行されてはならないコマンドをここに登録してください。

{
  "autoMode": {
    "hard_deny": [
      { "tool": "Bash", "pattern": "git push.*--force" },
      { "tool": "Bash", "pattern": "DROP TABLE" }
    ]
  }
}

セキュリティ・制限事項

React/Next.js 12件のセキュリティ脆弱性が同時公開 — 即時パッチ推奨（5/8）

ReactとVercelが12件のセキュリティ脆弱性を同時に公開しました。Server ComponentsとNext.js全般に広範な影響があります。

深刻度: High 6件、Moderate 4件、Low 2件

攻撃ベクター: DoS、ミドルウェアバイパス、SSRF、XSS、キャッシュポイズニング

パッチバージョン: React 19.0.6/19.1.7/19.2.6、Next.js 15.5.16/16.2.5

WAFレベルで安全にブロックできない脆弱性が多く、アプリケーションコードのパッチが必須です。Claude CodeでNext.jsプロジェクトを管理している場合は、直ちに依存関係を更新してください。

# Next.jsのアップデート
npm install next@latest react@latest react-dom@latest

GeekNews

エコシステム＆プラグイン

EPAM、Anthropicと戦略的パートナーシップ — 10,000人のClaude認定アーキテクト育成

EPAM Systemsが Anthropicと複数年にわたる戦略的パートナーシップを締結しました。核心はCEO直轄プログラムによる10,000人以上のClaude認定アーキテクトの育成です。

現在の進捗:

• 20,000人以上がAnthropicトレーニング完了
• 1,300人認定完了（現在）
• 5,000人目標（2026年Q3末）
• 250人の専門Forward-Deployed Engineer「Black Belt」養成

エンタープライズAI導入を「実験段階」から「安全な大規模適用」へ移行させることが目標です。

EPAM | PR Newswire

Anthropic売上80倍成長 — インフラ拡張が加速

Dario Amodei氏はAkamai契約発表時にQ1基準で年間売上と使用量が80倍成長したと明らかにしました。SpaceX（5/6）とAkamai（5/8）の契約を1週間以内に連続で締結したのは、この爆発的な需要に対応するためです。

コミュニティニュース

• 「Programming Still Sucks」— AIではなく貪欲さが問題: 2014年のPeter Welch氏の名エッセイ続編として、AI自動化よりも経営陣の短期主義と貪欲さがテック業界を破壊しているという分析です。ジュニア→シニアの成長パイプライン除去、測定不能な運用知識の消失が核心的な論点です。21ポイント、6コメント。GeekNews

• OpenAI Codex vs Claude Code 実践比較: The New Stackが実際のPythonコードベースでOpenAI Codexの新機能をテストし、「最も強力なClaude Codeのライバル」と評価しました。エージェンティックコーディングツール間の競争が本格化しています。The New Stack

• Code with Claudeロンドン（5/19）登録受付中: SFの本イベントとExtendedが終了し、次はロンドン（5/19）と東京（6/10）です。ライブストリーム提供。東京Extended（6/11）も別途開催予定です。Code with Claude

知っておくと便利な小さな変更点

• CLAUDE_CODE_ENABLE_FEEDBACK_SURVEY_FOR_OTEL: OpenTelemetryによるセッション品質アンケート用の環境変数追加（v2.1.136）
• --resume/--continueパス修正: プロジェクトパスにアンダースコアが含まれる場合にセッションが見つからない問題を修正（v2.1.136）
• Planモードファイル書き込みセキュリティ修正: Edit(...)許可ルールにマッチする場合、planモードでもファイル書き込みが許可されていた問題を修正（v2.1.136）
• スラッシュコマンドダイアログUIの統一: 色、diff表示、スクロールなど視覚的一貫性の改善（v2.1.136）
• Extended thinking redactedブロック修正: ツール呼び出し後のredacted thinkingブロックによるAPI 400エラーを解消（v2.1.136）

おすすめコラム＆読み物

• 「AIが脆弱性公開文化の2つを壊している」: 従来の90日間調整済み公開とLinux式の静かな修正、どちらもLLMの前では無力になりつつあるという分析です。LLMがコミットdiffだけでセキュリティパッチを識別できるようになり、ある研究者が報告した脆弱性を別の研究者がわずか9時間で独立に再発見した事例が紹介されています。jefftk.com

• 「Programming Still Sucks」: 2014年のバイラルエッセイの2026年続編です。「AIが仕事を破壊しているのではなく、AIを口実にした企業の貪欲さが破壊している」が核心です。徒弟制の成長経路を廃止し、メトリクス（テストカバレッジ、DORA）で人間の判断を代替しようとする試みが組織能力を弱体化させると主張しています。21ポイント、6コメント。stvn.sh

• 「SQLiteが米国議会図書館の保存標準に」: 米国議会図書館がデータセット保存形式としてSQLiteを推奨するという発表です。単一ファイル、自己完結型、クロスプラットフォームという特性が長期保存に理想的と判断されました。開発ツールとデータパイプラインにおけるSQLiteの地位は今後も高まり続けています。11ポイント。Library of Congress

注目プロジェクト＆ツール

• Vault Terminal — ObsidianでClaude Code/Codexを実行するターミナルプラグイン: Obsidianの右サイドバーにターミナルを埋め込み、プロジェクトドキュメントと設計ノートを開いたままCLIエージェントを同時に使用できます。PowerShell、zsh、bashをサポートし、Windows/macOS対応。ベータ段階。9ポイント、4コメント。GeekNews | GitHub

• Blinder — AIエージェントへのプロジェクト共有時にシークレットを自動マスクするCLI: ハードコードされたAPIキーやパスワードを自動検出し、.envファイルに抽出、コードには環境変数参照に置き換えます。blinder blind（ビルド可能なコード）とblinder mask（AIエージェント用読み取り専用）の2つのモードを提供。iOS、Android、Flutter、Node.js、React、Spring Boot、Ruby対応。GeekNews | GitHub