AIコーディング
2026年7月11日

今日の要点
AIコーディング支援ツールが急速に普及する一方で、Claude等の生成AIの誤った回答を悪用した「スロップスクワッティング」という新型サプライチェーン攻撃が台頭している。HasharotやClaude Codeなど、AIエージェントの機能拡張が進む中で、企業と個人ユーザー間のAI活用格差が広がり、デジタル社会における新たな階級分裂が生まれつつある。一方、Microsoft Copilot 365は導入から時間が経っても採用が進まず、AIコーディング市場では革新と課題が並存している。
主要ニュース
- 1
AI コーディング助手の幻覚悪用、新型サプライチェーン攻撃「スロップスクワッティング」が台頭
AI コーディング助手が生成した架空のソフトウェアパッケージ名に対し、攻撃者が悪意あるコードを含めて登録し、開発者のワークフローに侵入させるという新たなサプライチェーン攻撃「スロップスクワッティング」が報告されています。 開発者が AI コーディング助手に頼る傾向が強まるにつれ、知らず知らずのうちにサイバー犯罪者に初期段階からソフトウェアへのアクセスを許してしまう可能性があります。LLM(文章を理解・生成する AI)が実在しないパッケージ名を生成する傾向を悪用した、従来のタイポスクワッティング(つづり間違いドメインへの誘導)とは異なる新しい脅威です。
この攻撃は AI が偽のオープンソースパッケージを生成し、攻撃者がそれを登録して悪意あるコードを注入することで成立します。開発プロセスの初期段階で侵害が起こることが特徴です。
- 2
Hasharot、Telegramから個人マシンのClaudeエージェント操作を可能に
Hasharot は Telegram を通じてローカルマシン上で実行されるClaudeコード エージェント(AIが自分で判断して作業するプログラム)を操作するオープンソースツールです。テキストや音声でコマンドを送るだけで、Claude がファイル読み書き、Bash コマンド実行、コード編集、ウェブ閲覧などを行い、Telegram で結果を返します。 個人の機密情報やコードはマシンに留まり、Telegram を介して遠隔操作できるため、プライバシーと利便性の両立が可能です。複数ユーザーの場合はサンドボックス機能とアクセス制御で安全性を確保できる仕組みになっており、小チームでの分散作業に対応しています。
Reddit・Medium・YouTube との連携、音声入出力、ファイル自動圧縮、マルチユーザー管理、Paperclip エージェントへのタスク委譲など豊富な機能を備えています。セットアップは Node.js 22以上と Claude Code CLI が必要で、GitHub で公開されています。
- 3
Claude Code、Webページ取得を自動化 オープンソースブラウザで検索効率化
Claude Codeのユーザーが、Webページ取得時のトークン消費量を測定したところ、平均的なWikipediaの記事で68,240トークン、Nikeのホームページで353,000トークンが必要になることが判明しました。JavaScriptレンダリングが必要なページやボット対策があるページでは、組み込みのWebフェッチ機能が機能しないため、開発者がChromiumを再コンパイルしたオープンソースのステルスブラウザをMCP(マルチコンポーネントプロトコル)として構築し、Claude Code、Cursor、Claude Desktopで利用できるようにしました。 LLM(文章を理解・生成するAI)エージェント(自分で判断して作業するAI)がWebページにアクセスする際、大量のトークンを消費することで処理コストが上昇し、同時にJavaScriptが含まれているサイトではトークンを無駄にしても取得に失敗するという問題がありました。ステルスブラウザにより、Webページを自動的にクリーンアップして返すことで、エージェントの調査効率が向上する可能性があります。
Claude Codeの組み込みWebフェッチ機能は、Wikipediaを約950トークンまで圧縮でき、Indeed、Ticketmasterなどのサイトではクラウドフレアを回避できる利点がある一方で、JavaScriptレンダリングページ(quotes.toscrape.com/jsなど)やボット対策が厳しいサイト(Nike.comで403エラーなど)では機能しないという制限があります。
- 4
Meta、公開プロフィール画像からAI画像生成ツール Muse
MetaがMuseというAI画像生成ツールを導入しました。このツールは公開されているユーザーのプロフィール画像を使用して画像を生成します。ユーザーはプライバシー設定を調整することで、このツールの使用をオプトアウトできます。 企業が公開プロフィール情報をAI学習に利用する際の透明性とユーザー管理が問われています。Meta は利用者が自分の画像の使われ方を制御できるようにしていますが、同意の仕組みや設定方法がユーザーの理解を得られるかが課題となりそうです。
ユーザーは自分のプロフィール画像をMuseの学習データとして使用されたくない場合、プライバシー設定から拒否できます。
- 5
Copilot 365、450万座席中わずか20万座席 買収後も低迷
Microsoftが発表したところ、Copilot 365の有料座席数は20百万を超えていますが、同社の商用Microsoft 365有料座席450百万と比べると4.5%未満に留まっています。さらに、有料ライセンスを保有する企業でも、週1回以上の利用者は20~30%に過ぎず、全体では約4百万~6百万人、つまりMicrosoft 365の商用顧客全体の約1%程度となっています。 Microsoftは過去数年、Windows 11やEdge、Wordなど複数のソフトに標準搭載し、ユーザーがCopilotを避けられない状況を作ってきました。しかし採用実績が期待を大きく下回ったことで、莫大な分布リソースをかけた戦略が想定通りの成果を上げられていないことが明白になりました。企業がライセンスを購入しても、実際の利用に結びついかないという課題が浮き彫りになっています。
同社はこの低迷を認識し、Office利用者がCopilotボタンを非表示にするオプションや、組織によるWindows Copilotのアンインストール機能を提供するなど、取り組みを調整しています。同月初めには米国でMicrosoft 365 Business BasicとBusiness Standardの月額料金を引き上げており、有料Copilot付きパッケージは$23.50~$32/ユーザー/月となります。
今後の注目点
AIコーディングツールの普及に伴い、今後は開発プロセスの初期段階での**セキュリティ脅威**、特にオープンソースパッケージへの悪意あるコード注入がより重大な課題になる見込みです。同時にClaude CodeやMicrosoft Copilotなどのツールが機能面での限界(JavaScriptレンダリングやボット対策への非対応)と、プライバシー・ユーザー満足度の課題を抱えている中で、各企業がセキュリティと利便性のバランスをどう取るか、そして有料化戦略がユーザー採用にどう影響するかが注視されるポイントです。
情報ソース
- Forget typosquatting; slopsquatting is the software supply chain threat created by AI coding tools
- Hasharot – Control a Claude Code agent on your machine from Telegram
- Haves, have-nots and know-nots: Inside AI's new class divide
- One Wikipedia page costs your AI agent 68,000 tokens
- What Meta's Muse AI image tool means for Instagram privacy
- Microsoft pushed Copilot everywhere, but barely anyone bought it, and even fewer use it: Report
- Musk acts fast, but can it last?
- Better tools made Copilot code review worse. Here’s how we actually improved it
- Better tools made Copilot code review worse. Here’s how we actually improved it
- Open-source AI developer tool Ollama raises $65M to grow its platform
このニュースを友達にシェア
気になりそうな人に、今日のまとめをそのまま送れます。
AITodayで毎日のAIニュースを無料で受け取る
200以上のAIソースを毎朝1分で。Email / LINE / Slack 配信。
無料で登録する