パッチ（脅威・リスク）に関するニュース一覧

トランプ米大統領は12日、各州で独自の広がりを見せる人工知能（AI）規制を阻止し、連邦政府による一元管理を目指す大統領令に署名しました。州ごとに異なる規制の乱立（パッチワーク状態）を解消し、企業にとって「最小限の負担」となる国家統一基準を設けることで、米国のAI覇権を維持・強化することが狙いです。この動きは、ホワイトハウスのAI・暗号資産担当であるデビッド・サックス氏の影響が色濃く反映されています。

大統領令は、司法省に対し「AI訴訟タスクフォース」の設置を指示し、連邦の方針と矛盾する州法を積極的に提訴する構えです。また、商務省には90日以内にイノベーションを阻害する「過酷な」州法を特定させ、該当する州への連邦ブロードバンド補助金（BEAD）を停止する可能性も示唆しました。特にコロラド州の消費者保護法については、AIモデルに虚偽の出力を強いる恐れがあるとして、異例の名指し批判を行っています。

ビジネス界にとっての焦点は、この命令が期待通りの「規制統一」をもたらすか、逆に「法的な不確実性」を長期化させるかです。テック業界、特にリソースの限られたスタートアップにとって、州ごとの異なる規制への対応は重荷でした。しかし、大統領令だけで州法を完全に無効化することは憲法上困難であり、専門家は長引く法廷闘争によって、企業がどっちつかずの法的空白（Legal Limbo）に置かれるリスクを警告しています。

今回の強硬策は、連邦議会での包括的なAI法案審議が停滞していることを受けての措置です。トランプ政権はシリコンバレーの有力者と連携し、開発企業の自由度を最大限確保する方針ですが、消費者保護を掲げる州政府との対立は不可避の情勢です。経営者は、当面の間、連邦と州の権限争いによる規制環境の変動を注視し、どちらに転んでも対応できる柔軟なコンプライアンス体制を維持する必要があります。

VercelとReactチームは2025年12月11日、React Server Componentsに関する新たなセキュリティ情報を公開しました。高深刻度のサービス拒否（DoS）と中深刻度のソースコード漏洩が含まれており、Next.jsなどのフレームワーク利用者は直ちに修正版へのアップデートが必要です。

今回特定された脆弱性は、悪意あるリクエストによりサーバーのCPUリソースを枯渇させるDoSと、コンパイル済みのServer Actionsのコードが閲覧可能になるものです。これによりビジネスロジックが漏洩する恐れがありますが、リモートコード実行には至らないことが確認されています。

影響を受けるのはReact 19.x系の特定のバージョンおよびNext.js 13.xから16.xを含む複数のフレームワークです。以前の脆弱性（React2Shell）の調査過程で発見されましたが、既存のパッチ自体は有効であり、今回の件は独立した問題として対処が求められます。

Vercel WAFでは既に対策ルールが適用され、ホストされているプロジェクトは自動的に保護されています。しかし、完全な安全性を確保するにはアプリケーション自体の更新が不可欠です。各ライブラリのメンテナが提供する最新バージョンへ、早急に移行してください。

米OpenAIは2025年12月10日、AIのサイバーセキュリティ能力向上に対応する新戦略を発表しました。同時に、脆弱性を自律的に発見・修正するAIエージェント「Aardvark」のベータ版を公開。最新モデル「GPT-5.1」のCTFスコアが76%に達するなど能力が急伸する中、防御側の体制強化を急ぎます。

最新の評価では、AIのハッキング能力が劇的に向上しています。2025年8月時点で27%だった「GPT-5」のCTF（旗取りゲーム）スコアは、11月の「GPT-5.1-Codex-Max」で76%へと約3倍に跳ね上がりました。同社は次期モデルが未知の脆弱性を突く「ゼロデイ攻撃」も可能な水準に達すると予測しています。

防御力強化の切り札として投入されたのが、自律型セキュリティ研究エージェント「Aardvark」です。コードベース全体を推論して脆弱性を特定し、修正パッチまで提案します。すでにオープンソースソフトウェア（OSS）において新規の脆弱性（CVE）を発見する実績を上げており、一部の非営利OSSには無償提供される計画です。

技術提供に加え、組織的な安全対策も強化します。新たに「フロンティア・リスク評議会」を設置し、外部のセキュリティ専門家と連携してリスク境界を定義します。また、防御目的の研究者や企業に対して、より強力なモデル機能へのアクセス権を付与する「信頼されたアクセスプログラム」の導入も予定しており、エコシステム全体の強化を図ります。

Googleは2025年12月10日、コーディングAIエージェント「Jules」に自律的なタスク遂行機能を追加したと発表しました。開発者が明示的に指示せずとも、AIがバックグラウンドでコード改善や修正を行い、チームの生産性を劇的に高めます。

特筆すべきは、コード内のTODOコメントを検知して改善案を提示する「Suggested Tasks」と、定期メンテナンスを自動化する「Scheduled Tasks」です。これらは従来の「指示待ちAI」を脱却し、能動的なパートナーへと進化させる重要な機能です。

クラウド基盤「Render」との統合も強化されました。デプロイ失敗時にJulesが自動でログを解析し、修正コードを作成してプルリクエストを送ります。開発者がエラーログを手動でコピーして解析する手間を省き、迅速な復旧を実現します。

Google内部のAIデザインチームでは、Julesがリポジトリへの主要な貢献者として活躍しています。セキュリティパッチやテスト拡充をAIに任せることで、エンジニアが複雑な機能開発や創造的な問題解決に専念できる環境が整いつつあります。

2025年12月、React Server Componentsに起因する深刻な脆弱性「React2Shell」のエクスプロイトが確認されました。この欠陥はReact 19およびNext.js等のフレームワークに影響し、攻撃者によるリモートコード実行（RCE）を許す可能性があります。該当技術を利用する企業や開発チームは、直ちにセキュリティ状況を確認し、対策を講じる必要があります。

影響を受けるのは、Next.jsのバージョン15.0.0から16.0.6、および特定のCanaryビルドです。React Server Componentsを採用している場合、他のフレームワークでもリスクが存在します。Vercelダッシュボードの警告や、ブラウザコンソールでの`next.version`実行により、現在利用中のバージョンを速やかに特定してください。

対策として、修正パッチが適用されたバージョンへのアップグレードが必須です。自動修復ツール`npx fix-react2shell-next`を利用するか、`package.json`を更新して再デプロイを行ってください。WAFによる遮断はあくまで緩和策であり、アプリケーション自体の更新以外に完全な保護手段はありません。

脆弱な状態で稼働していたシステムは、すでに侵害されているリスクを否定できません。フレームワークのアップデート完了後、APIキーやデータベース接続情報など、アプリケーションに関連するすべての環境変数（Secrets）をローテーションすることを強く推奨します。Vercel Agent等の自動検知機能も活用し、継続的な監視体制を維持してください。

Vercelは2025年12月8日、ユーザーの介入が必要なセキュリティ問題を一元管理できる「Unified security actions dashboard」を公開しました。WAF等で自動防御できない脆弱性が検出された際、影響範囲と対応策を即座に提示し、開発チームの迅速な意思決定と対処を支援します。

新機能は、未パッチの依存関係や保護されていないプレビュー環境など、アクションが必要な項目をプロジェクト単位で自動的にグループ化します。ダッシュボード上にバナーとして通知されるため、重大なリスクを見逃すことなく、優先順位をつけて対応にあたることが可能です。

具体的な修正手段もシームレスに提供されます。可能な場合はVercel Agentを通じてワンクリックでの自動修正やプルリクエスト作成が行えるほか、手動対応が必要なケースでも実行すべきコマンドが明示されるため、エンジニアの調査コストを大幅に削減できます。

このダッシュボードにより、複数のプロジェクトを抱えるチームでもセキュリティ体制を効率的に維持できます。自律的な防御システムと人間による判断が必要な領域を明確に分けることで、開発者はより本質的な開発業務に集中できるようになるでしょう。

トランプ大統領は8日、州独自のAI規制を事実上無効化する大統領令に、今週中に署名する意向を表明しました。AI開発における米国の優位性を保つため、企業にとって負担となる州ごとの異なるルールを排除し、連邦レベルでの統一基準を導入する狙いです。この動きは、AIビジネスの加速を期待させる一方で、州の自治権を巡り与野党を超えた激しい反発を招いています。

シリコンバレーの有力者たちは、この方針を歓迎しています。州ごとに異なる規制が乱立する現状は、迅速な開発を妨げるイノベーションの足かせとなるからです。特にホワイトハウスのAI政策責任者となるデビッド・サックス氏らは、対中国競争における米国のリードを維持するためには、規制の一本化が不可欠だと主張してきました。

リークされた草案によれば、大統領令には州法に法的に挑戦する「AI訴訟タスクフォース」の設置が含まれます。また、連邦通信委員会（FCC）や連邦取引委員会（FTC）に対し、州法を上書きする国家基準の策定を促す方針です。これにより、企業は50州それぞれの承認を得る手間から解放されますが、各州の消費者保護策が無効化される懸念もあります。

しかし、この方針は共和党内でも一枚岩ではありません。フロリダ州のデサンティス知事らは「州の権限を侵害する連邦政府の越権行為」として強く反対しています。AIによる被害から市民を守る権利を州から奪うことへの懸念は根強く、上院でも同様の提案が却下されたばかりです。ビジネスの自由と連邦主義を巡る対立は、今後法廷闘争へと発展する可能性が高いでしょう。

Vercelは2025年12月5日、脆弱性「React2Shell」対策として、脆弱なNext.jsを含むアプリの新規デプロイをブロックする措置を開始しました。攻撃の活発化を受け、エンジニアやリーダーは直ちに対応が必要です。

今回の措置により、修正パッチが適用されていないNext.js（バージョン15.0.0から16.0.6）を使用するプロジェクトは、デプロイが自動的に失敗します。これはWAFによるフィルタリングに加え、根本的なリスク排除を目的とした強力な強制措置といえます。

経営者やエンジニアが最優先すべきは、影響を受けるNext.jsを直ちに修正済みバージョンへアップグレードすることです。VercelはWAFルールで既知の攻撃を防御していますが、完全な保護を保証するものではなく、アップデートこそが唯一の恒久的な解決策となります。

またVercelは、セキュリティ企業のHackerOneと提携し、WAFの回避策を発見した場合に最大5万ドルを支払うバグ報奨金プログラムを開始しました。外部の研究者の知見を取り入れ、プラットフォーム全体の防御能力を継続的に強化する姿勢を打ち出しています。

ご自身のプロジェクトが影響を受けるか確認するには、ブラウザコンソールで`next.version`を実行するか、`package.json`を点検してください。Vercelの管理画面にも警告バナーが表示されるため、見逃さずに確実な対応を進めましょう。

米運輸省道路交通安全局（NHTSA）は5日、Alphabet傘下のWaymoに対する調査を開始しました。テキサス州オースティンなどで、同社のロボタクシーが停止中のスクールバスを違法に追い越す事案が相次いだためです。

オースティン学区は今年度だけで19件の違反を報告しており、その中にはWaymoが修正ソフトを配布した後に行われたものも含まれます。NHTSAは、Waymoの第5世代自動運転システムが「予期せぬ挙動」を示しているとして強い懸念を表明しました。

これに対しWaymoは、問題解決に向けた自主的なソフトウェアリコールをNHTSAに届け出る方針です。同社の安全責任者は「最高の安全基準を維持するため、改善すべき点は認める」とし、継続的な修正と分析を行う姿勢を示しています。

本件は、Waymoが全米20都市以上へのサービス拡大を目指す中で起きました。AIが地域の交通ルールや特殊な状況にどう適応し、信頼を勝ち取るかは、自動運転ビジネスにおける市場価値と収益性を左右する重要な試金石となります。

2025年12月3日、React Server Componentsに重大な脆弱性が公表されました。Next.jsを含む主要フレームワークに影響し、最悪の場合リモートコード実行（RCE）に至る危険性があります。エンジニアは即時の確認が必要です。

対象はReact 19系のサーバーコンポーネント機能を使用する環境で、Next.jsのバージョン15や16も含まれます。信頼できない入力を処理する際、攻撃者に任意のコードを実行される可能性があるため、早急な対策が求められます。

解決策として、React 19.0.1やNext.js 15.0.5などの修正版への更新を行ってください。VercelユーザーはWAFで一時的に保護されていますが、セキュリティを確実にするため、ホスティング環境に関わらずアップデートを推奨します。

2025年12月3日、米議会共和党指導部は、各州による独自のAI規制を無効化する条項の国防権限法（NDAA）への盛り込みを断念しました。トランプ大統領やシリコンバレーが後押ししたこの措置は、超党派の議員や一部の共和党州知事からの強い反発を受け、最終的な合意には至りませんでした。

この動きは、州ごとに異なる規制が乱立する「パッチワーク」状態を回避し、イノベーションを促進したい大手テック企業の意向を反映したものです。トランプ氏は、統一された連邦基準がなければ中国とのAI開発競争に敗れると主張し、法制化を強く求めていました。

一方で批判派は、連邦レベルの包括的なAI法が存在しない現状で州の権限を剥奪することは、実質的に巨大IT企業への監視を放棄することに等しいと指摘しています。州法は主に安全性や消費者保護に焦点を当てており、その無効化には慎重論が根強くあります。

スカリス下院院内総務は、NDAAがこの規定を含めるのに「最適な場所ではなかった」と認めつつ、関心は依然として高いと強調しました。共和党指導部は今後、単独の法案や別の立法手段を通じて、再び連邦による規制統一を目指す方針です。

CrowdStrikeは12月1日、AWS re:Inventにて、ハイブリッドクラウド向けのリアルタイム検知・対応機能を発表しました。AIにより高速化したサイバー攻撃に対抗するため、従来のバッチ処理型セキュリティを刷新し、攻撃検知から対応までの時間を数秒レベルに短縮します。AIを悪用した脅威が急増する中、企業の防御態勢を根本から見直す新たな業界標準となりそうです。

AIを武器化した攻撃者は、パッチ公開からわずか72時間以内に弱点を突く手法を開発しています。従来のセキュリティツールはログ収集に15分程度の遅延があり、数ミリ秒で実行されるAI攻撃に対しては「検知＝事後処理」となってしまうのが実情です。

新機能はAmazonのAWS EventBridgeと連携し、イベントストリームを直接分析します。これにより、攻撃の予兆をリアルタイムで捉え、SOC（セキュリティ監視センター）チームが介入する前に、AIが自動で悪意ある通信を遮断・修復することが可能になりました。

CrowdStrike幹部は「リアルタイム検知のないCNAPP（クラウドネイティブ保護基盤）は時代遅れになる」と断言します。ハイブリッド環境の複雑化と攻撃の高度化が進む中、リアルタイム性は今後のセキュリティ投資における必須要件となるでしょう。

経営者やリーダーは、自社のセキュリティが「人間速度」か「機械速度」かを見極める必要があります。可視化できない死角をなくし、パッチ適用サイクルを短縮するなど、AI時代のスピード感に合わせた戦略の再構築が求められています。

2025年11月、米国のAI政策において「誰がルールを作るか」を巡る主導権争いが激化しています。カリフォルニア州などが独自の消費者保護法案を先行させる中、シリコンバレーのテック企業群はこれに強く反発し、連邦政府による統一基準の策定を求めています。彼らの狙いは、州ごとの異なる規制に対応するコストを回避し、連邦法によって州法を無効化（プリエンプション）することにあります。

OpenAIやAndreessen Horowitzなどが支援する政治活動委員会（PAC）は、州による規制の乱立が「パッチワーク」のような複雑さを生み、イノベーションを阻害すると主張しています。業界団体は「中国とのAI開発競争に遅れをとる」というロジックを展開し、数億ドル規模の資金を投じて、州規制を排除する連邦法の成立や、規制反対派候補の支援に向けたロビー活動を加速させています。

この動きに呼応し、ワシントンでは州の権限を制限する具体的な政治的動きが見られます。連邦議会の一部では、国防権限法（NDAA）に州のAI規制を禁止する条項を盛り込むことが検討されています。また、次期トランプ政権のものとされる流出した大統領令案では、州法を法的に無効化し、連邦取引委員会（FTC）などに統一基準を設けさせる方針が示唆されています。

一方で、州政府や消費者保護団体は、連邦政府の対応の遅さを批判し、州こそが「民主主義の実験場」として迅速にリスクに対処できると反論しています。専門家からは、テック企業はすでに厳格なEUのAI規制に対応しており、州ごとの違いに対応できないというのは責任逃れの方便に過ぎないとの指摘もあがっています。

連邦議会ではテッド・リュウ下院議員らが、詐欺防止や透明性確保を含む包括的な連邦AI法案の準備を進めています。しかし、ねじれ議会や次期政権の方針を考慮し、極端な規制ではなく共和党とも合意可能な現実的なラインを模索しているのが現状です。日本企業にとっても、米国の規制が統一されるか分散するかは、グローバルなコンプライアンス戦略に直結する重要な指標となります。

Vercelが初のモバイルアプリ「v0 for iOS」をリリースしました。React NativeとExpoを駆使し、Apple純正アプリに匹敵するネイティブ品質を実現しています。本記事では、AIチャット特有の複雑なUI課題をどう解決し、Web主体の企業が高品質なモバイルアプリを構築したのか、その技術的裏側を解説します。

開発の目標は、Apple Design Awardに値する最高品質のアプリ構築でした。Web技術に精通した同社は、数週間の実験を経てReact NativeとExpoを選定。Appleの標準アプリのような自然な操作感を目指し、iMessageなどを参考にしながら、細部に至るまでネイティブらしい挙動を追求しました。

チャット体験の核となるのは、メッセージ表示の滑らかさです。React Native Reanimatedを駆使し、送信時のフェードインやAI回答のストリーミング表示を実装。動的に高さが変わるメッセージ要素に対しても、計算されたアニメーションを適用することで、心地よい対話フローを作り上げました。

モバイルチャット開発で最も困難なのがキーボード制御です。iOSの更新による挙動変化に対応するため、独自のフックuseKeyboardAwareMessageListを開発しました。メッセージの高さやキーボードの位置関係を精密に計算し、コンテンツが隠れることなくスムーズにスクロールされる仕組みを構築しています。

Web版とのコード共有においては、UIや状態管理を分離し、型定義やヘルパー関数のみを共有する戦略を採りました。ZodとOpenAPIを活用してバックエンドAPIの型安全性を確保し、モバイル側でクライアントコードを自動生成することで、開発効率と堅牢性を両立させています。

開発過程で直面したReact NativeやiOSのバグに対しては、単にパッチを当てるだけでなく、本家リポジトリへの修正提供も行いました。CallstackやMetaのエンジニアと連携し、エコシステム全体の改善に貢献する姿勢は、技術リーダーとして参考になるアプローチです。

トランプ政権は、各州が独自に制定するAI規制を無効化するために準備していた大統領令の発令を、一時停止したと報じられました。当初、政権は「50州のパッチワーク規制ではなく、単一の連邦基準が必要」と主張し、州法を排除する強硬な姿勢を見せていました。しかし、法的・政治的な反発を受け、方針転換を余儀なくされた形です。

報道によると、準備されていた大統領令案には「AI訴訟タスクフォース」の設立が含まれていました。これは連邦政府が州法に対抗して訴訟を起こし、従わない州への連邦ブロードバンド補助金の停止を示唆する内容でした。しかし、過去にも同様の州規制禁止案が上院で99対1という圧倒的大差で否決されるなど、身内の共和党内からも批判が出ていました。

シリコンバレーでは、AI規制を巡る意見が二分されています。トランプ政権に近い勢力は、カリフォルニア州のAI安全性法案（SB 53）を支持するAnthropic社などを批判していますが、今回の保留決定は、連邦政府による強権的な介入の限界を示唆しています。企業にとって、規制環境の不確実性は当面続くことになりそうです。

米Ciscoは20日、生成AIの普及により、老朽化したITインフラへのサイバー攻撃リスクが急増していると警告しました。サポート切れのルーター等が攻撃者の標的となりやすく、企業は緊急の対策を迫られています。

生成AIにより、攻撃者がシステムの脆弱性を発見・悪用するハードルが劇的に下がりました。放置された古い機器は「サイレント・リスク」となり、高度な知識がない攻撃者でも容易に侵入できる危険な状態にあります。

Ciscoは対策として、製品の危険な設定に対する警告を強化する新方針を発表しました。サポート終了が近い製品を使用中の顧客に対し、明確な警告を表示し、将来的には危険な相互運用オプション自体を削除する計画です。

重要インフラに関する5カ国調査では、英国と米国が最もリスクが高いとされました。一方、日本は一貫した更新と分散化、デジタルレジリエンスへの注力により、相対的にリスクが最も低いと高く評価されています。

同社幹部は、現状維持には「計上されていないコスト」が存在すると指摘します。古い技術を使い続けることは経営リスクそのものであり、現場任せではなく取締役会レベルで投資と刷新を議論すべきだと訴えています。

Googleは2025年11月4日、ガールスカウト米国連盟との提携を発表しました。この協力関係の下、少女とその家族が健全なデジタル市民性を育むための新プログラム「Be Internet Awesome Family Challenge」を開始します。テクノロジーと安全で生産的な関係を築くことを目指し、Google.orgが資金を提供。子どもたちのデジタルウェルビーイング向上を支援する狙いです。

このプログラムでは、少女たちが責任あるデジタル市民になるための4つの重要なスキルを学びます。具体的には「思いやりを持った情報共有」「デジタル上の境界線の設定」「オンラインでの親切な振る舞い」、そして不適切な行為を目にした際に「勇気を持って行動すること」です。家族で取り組める課題形式となっています。

本プログラムは、Googleが提供する既存の教育カリキュラム「Be Internet Awesome」を基に開発されました。活動を完了したガールスカウトは、新しい「Be Internet Awesome」記念パッチを獲得できます。関連資料は、ガールスカウトのウェブサイトで保護者やリーダー向けに公開されています。

Googleは、次世代のイノベーターがテクノロジーと健全な関係を築くことを重視しています。ガールスカウトだけでなく、「セサミワークショップ」のような組織への支援も行っており、企業の社会的責任として若年層のデジタルリテラシー教育に積極的に取り組む姿勢を示しています。

この提携を記念し、Googleとガールスカウトはリーダーシップサミットを共催しました。サミットにはAlphabetおよびGoogleの社長兼CIOであるルース・ポラット氏も参加し、少女たちが活動に取り組む様子を支援。経営層自らがこの取り組みに深く関与していることを示しました。

OpenAIは2025年10月30日、最新のGPT-5を搭載した自律型AIエージェント「Aardvark」を発表しました。これは、ソフトウェアの脆弱性を自動で発見・分析し、修正パッチまで提案するAIセキュリティ研究者です。増え続けるサイバー攻撃の脅威に対し、開発者が脆弱性対策に追われる現状を打破し、防御側を優位に立たせることを目指します。

Aardvarkの最大の特徴は、人間の一流セキュリティ研究者のように思考し、行動する点にあります。従来の静的解析ツールとは一線を画し、大規模言語モデル（LLM）の高度な推論能力を活用。自らコードを読み解き、テストを書き、ツールを使いこなすことで、複雑な脆弱性も見つけ出します。

そのプロセスは、脅威モデルの分析から始まります。次に、コミットされたコードをスキャンして脆弱性を特定。発見した脆弱性は、サンドボックス環境で実際に悪用可能か検証し、誤検知を徹底的に排除します。最終的に、修正パッチを自動生成し、開発者にワンクリックでの適用を促すなど、既存の開発フローにシームレスに統合されます。

Aardvarkはすでに目覚ましい成果を上げています。ベンチマークテストでは、既知および合成された脆弱性の92%を特定するという高い精度を実証。さらに、オープンソースプロジェクトで複数の未知の脆弱性を発見し、そのうち10件はCVE（共通脆弱性識別子）として正式に採番されています。

ソフトウェアが社会インフラの根幹となる一方、脆弱性は増え続け、2024年だけで4万件以上報告されました。Aardvarkは、開発者がイノベーションに集中できるよう、継続的なセキュリティ監視を自動化します。これは防御側に有利な状況を作り出し、デジタル社会全体の安全性を高める大きな一歩と言えるでしょう。

OpenAIは現在、一部のパートナー向けにAardvarkのプライベートベータ版を提供しており、今後、対象を拡大していく方針です。また、オープンソースエコシステムの安全に貢献するため、非営利のOSSリポジトリへの無償スキャン提供も計画しています。ソフトウェア開発の未来を変えるこの取り組みに、注目が集まります。

Vercelが先週開催したイベント「Ship AI 2025」で、AIエージェント開発を本格化させる新技術群を発表しました。中核となるのは、エージェント中心の設計を取り入れた「AI SDK 6」や、タスクの信頼性をコードで担保する「Workflow Development Kit」です。これにより、ウェブ開発のように直感的かつスケーラブルなAI開発環境の提供を目指します。

新たにベータ版として公開された「AI SDK 6」は、エージェントを一度定義すれば、あらゆるアプリで再利用できるアーキテクチャが特徴です。これにより、ユースケースごとにプロンプトやAPIを連携させる手間が不要になります。また、人間のレビューを必須とするアクションを制御できる承認機能も組み込まれ、安全な運用を支援します。

長時間実行されるタスクの信頼性を高めるのが「Workflow Development Kit」です。従来のメッセージキューやスケジューラの設定に代わり、TypeScriptの関数に数行のコードを追加するだけで、失敗した処理の自動リトライや状態保持を実現します。これにより、AIエージェントのループ処理やデータパイプラインを安定して実行できます。

エコシステムの拡充も進んでいます。Vercel Marketplaceでは、CodeRabbitなどのエージェントやAIサービスをプロジェクトに直接導入可能になりました。さらに、FastAPIやFlaskといったPythonフレームワークが設定不要でデプロイ可能となり、バックエンド開発者のAIクラウド活用を促進します。

Vercel自身も、開発者を支援するAIアシスタント「Vercel Agent」のベータ版を提供開始しました。このエージェントは、コードレビューやパッチ提案、本番環境でのパフォーマンス異常の検知と原因分析を自動化します。開発チームの一員として、生産性向上に貢献することが期待されます。

Vercelの一連の発表は、AIエージェント開発を一部の専門家から全ての開発者へと解放するものです。SDKによる抽象化、ワークフローによる信頼性確保、マーケットプレイスによるエコシステムが一体となり、アイデアを迅速に本番稼働のエージェントへと昇華させる強力な基盤が整ったと言えるでしょう。

Googleは、AIを攻撃ツールとして利用する悪質な脅威に対抗するため、包括的なAIセキュリティ戦略を始動しました。核となるのは、コードの脆弱性を自動修正するAIエージェント「CodeMender」の開発、AI製品に特化した報奨金制度「AI VRP」の新設、そして自律型エージェントの安全性を確保する「SAIF 2.0」へのフレームワーク拡張です。AIの力を防御側に決定的に傾けることを目指します。

中でも「CodeMender」は、ソフトウェア開発におけるセキュリティ対応のあり方を一変させる可能性があります。これはGeminiの高度な推論能力を活用し、複雑な脆弱性の根本原因を特定し、高品質なパッチを自動生成・適用するAIエージェントです。これにより、開発者は煩雑な修正作業から解放され、本質的な開発に集中できるようになります。

CodeMenderは、新しい脆弱性を即座に修正する「受動的」対応に加え、セキュアなコード構造への書き換えを促す「能動的」な防御も行います。既に、オープンソースプロジェクトに対し、人間によるレビューを経た72件のセキュリティ修正を適用しています。自己検証機能により、誤った修正や退行を防ぎながら、迅速なパッチ適用を実現します。

セキュリティ研究コミュニティとの連携を強化するため、GoogleはAI脆弱性報奨金制度（AI VRP）を立ち上げました。この制度では、LLMや生成AIシステムを悪用し、不正に動作させる「不正なアクション (Rogue Actions)」に関する報告に注力します。最高で3万ドル（約450万円）の報奨金が提供されます。

AI VRPは、データ漏洩やアカウント改ざんなど、セキュリティ上の実害を伴うAIの脆弱性を対象とします。例えば、プロンプトインジェクションにより、Google Homeに不正にドアを解錠させたり、機密情報を攻撃者のアカウントに要約・送信させたりするケースが該当します。単なるAIのハルシネーション（幻覚）は対象外です。

さらにGoogleは、自律的に動作するAIエージェントのセキュリティリスクに対応するため、「Secure AI Framework (SAIF) 2.0」を発表しました。このフレームワークでは、エージェントを安全に運用するための「人間による制御」「権限の制限」「行動の可視化」という3つのコア原則を掲げています。AIエージェントが普及する未来を見据えた業界標準の構築を推進しています。

AI開発企業のAnthropicは2025年10月3日、最新AIモデル「Claude Sonnet 4.5」がサイバーセキュリティ分野で飛躍的な性能向上を達成したと発表しました。コードの脆弱性発見や修正といった防御タスクにおいて、従来の最上位モデルを凌駕する能力を示し、AIがサイバー攻防の重要な「変曲点」にあることを示唆しています。これは、AIの悪用リスクに対抗するため、防御側の能力強化に注力した結果です。

「Sonnet 4.5」は、わずか2ヶ月前に発表された最上位モデル「Opus 4.1」と比較しても、コードの脆弱性発見能力などで同等かそれ以上の性能を発揮します。より低コストかつ高速でありながら専門的なタスクをこなせるため、多くの企業にとって導入のハードルが下がるでしょう。防御側の担当者がAIを強力な武器として活用する時代が到来しつつあります。

その性能は客観的な評価でも証明されています。業界標準ベンチマーク「Cybench」では、タスク成功率が半年で2倍以上に向上しました。別の評価「CyberGym」では、これまで知られていなかった未知の脆弱性を33%以上の確率で発見するなど、人間の専門家でも困難なタスクで驚異的な成果を上げています。

この性能向上は偶然の産物ではありません。AIが攻撃者によって悪用される事例が確認される中、Anthropicは意図的に防御側の能力強化に研究資源を集中させました。マルウェア開発のような攻撃的作業ではなく、脆弱性の発見と修正といった防御に不可欠なスキルを重点的に訓練したことが、今回の成果につながっています。

さらに、脆弱性を修正するパッチの自動生成に関する研究も進んでいます。初期段階ながら、生成されたパッチの15%が人間が作成したものと実質的に同等と評価されました。パートナーであるHackerOne社は「脆弱性対応時間が44%短縮した」と述べ、実践的な有効性を高く評価しています。

Anthropicは、もはやAIのサイバーセキュリティへの影響は未来の懸念ではなく、現在の課題だと指摘します。攻撃者にAIのアドバンテージを渡さないためにも、今こそ防御側がAIの実験と導入を加速すべきだと提言。企業や組織に対し、セキュリティ態勢の強化にAIを活用するよう強く呼びかけています。

カリフォルニア州のギャビン・ニューサム知事は29日、大手AI企業に安全対策の透明性を義務付ける全米初の法案「SB 53」に署名し、同法は成立しました。この法律は、OpenAIやGoogle DeepMindなどのAI開発企業に対し、安全性プロトコルの開示や重大なインシデントの報告を求めるものです。AIの急速な進化に伴うリスクを管理し、公衆の信頼を確保することが狙いです。

新法「SB 53」の柱は、大手AI企業に対する厳しい透明性要件です。具体的には、開発するAIモデルの安全性プロトコルを明確にすることが求められます。さらに、従業員が内部から安全上の懸念を指摘できる内部告発者保護制度を保証し、サイバー攻撃のような重大な安全インシデントが発生した際には、州当局への報告が義務付けられます。

この法案に対し、AI業界の反応は二分しています。Anthropic社が法案を支持する一方、Meta社やOpenAI社は「イノベーションを阻害する規制のパッチワークを生む」として強く反対し、ロビー活動を展開しました。シリコンバレーでは、AI規制に緩やかなアプローチを求める候補者を支援するため、巨額の資金が投じられる動きも活発化しています。

今回の法案成立は、昨年ニューサム知事がより広範な規制法案に拒否権を行使した後の、2度目の挑戦でした。カリフォルニア州の動向は、他州のAI規制政策に大きな影響を与える可能性があります。ニューヨーク州でも同様の法案が可決されており、知事の署名を待つ状況です。カリフォルニア州は、イノベーションと規制のバランスを取ることで、米国のAI政策をリードする構えです。

米Facebookの親会社Metaは9月23日、AI技術の革新を阻害しうる州レベルの規制に対抗するため、数千万ドル規模のスーパーPAC（特別政治活動委員会）を設立しました。新組織を通じてAI開発に友好的な政治家を支援し、米国の技術的リーダーシップを維持する狙いです。各州で独自のAI規制案が急増していることが背景にあります。 このスーパーPACは超党派で運営され、来年の中間選挙でAIの進歩を支持する候補者を当選させることが目的です。Metaは、AIの発展を擁護するとともに、保護者が子供のオンライン体験を管理できる仕組みを重視する方針を強調しています。これは、同社が直面する子供の安全に関する批判をかわす狙いもあるとみられます。 なぜ今、政治活動を強化するのでしょうか。背景には、連邦レベルでの包括的なAI規制が進まない一方、州議会が独自に規制を策定する動きが全米で加速していることがあります。2025年の会期だけで、全50州で1000を超えるAI関連法案が提出されるなど、規制強化の波が押し寄せています。 この動きはMetaに限りません。大手ベンチャーキャピタルのAndreessen HorowitzやOpenAI幹部も、AI規制に反対する大規模なスーパーPACを設立しています。州ごとに異なる規制が乱立する「パッチワーク」状態は、イノベーションを阻害しかねません。シリコンバレー全体で政治的な影響力確保を急いでいるのです。