概要 Drupalセキュリティチームは2026年5月20日（UTC 17:00〜21:00）、コアに存在する「高度に重大（Highly Critical）」な脆弱性に対するセキュリティアップデートを全サポートブランチ向けにリリースした。この脆弱性のCVSSスコアはNISTスケールで25点満点中20点と評価されており、認証不要・アクセス複雑度なしで悪用可能という極めて危険な性質を持つ。セキュリティチームは「公開後数時間から数日以内にエクスプロイトが作成される可能性がある」として、全管理者に即時対応を強く呼びかけた。 脆弱性の詳細 今回の脆弱性はDrupal CMSではなくDrupalコアに存在し、一部の「一般的でないモジュール設定」にのみ影響するため、スコアが最大の25点に達しなかったとされている。それでも攻撃者はページを訪問するだけで（ユーザー操作不要）、以下の被害を引き起こせる。 サイト上のすべての非公開データへの不正アクセス コンテンツの無断改ざんおよび削除 CVE番号はパッチリリースまで非公開とされており、詳細は修正版とともに公開された。Drupal Stewardを利用しているサイトは既知の攻撃ベクタへの追加保護を受けられるが、それでもアップグレードが必須とされている。 影響を受けるバージョンと対応 サポート中のブランチ（即時パッチ適用が必要）: Drupal 11.3.x、11.2.x Drupal 10.6.x、10.5.x サポート終了済みだが例外的にパッチ提供: 11.1.x（11.1.9以上へ更新）、10.4.x〜10.0.x（10.4.9以上へ更新） Drupal 8.9.x、9.5.x（手動でのパッチ適用が必要。リグレッションが発生する可能性あり） 影響なし: Drupal 7 アップデート作業自体は数分〜数十秒で完了し、サイトのダウンタイムもほぼ発生しないとされている。セキュリティチームはリリース前の段階でも最新のパッチリリースへ更新しておくよう推奨していた。 今後の対応 Drupalセキュリティチームは、修正バージョンへの即時移行とともに、サポート終了ブランチを使用しているサイトの早期マイグレーションも促している。特にDrupal 8・9系のサイトは10.6以上への移行が強く推奨されており、手動パッチはあくまで一時的な緊急措置と位置づけられている。エクスプロイトが急速に出回る可能性があるため、管理者は今後の公式アナウンスを注視し、速やかに行動することが求められる。

概要 HuaweiのEdinburgh研究センターのDan Ghica教授が中心となって開発した新しいオープンソースコンパイル言語「Cangjie（仓颉、日本語読み：そうけつ）」がInfoQで詳しく紹介された。Cangjieは、Java・Kotlin・Swiftの現代的な代替を目指して設計されており、Huaweiのモバイル・IoTエコシステムへの組み込みが期待されている。この言語はすでに中国の80以上の大学で教育に活用されており、Eclipse Foundationのフラッグシップカンファレンス「OCX 2026」（ブリュッセル開催）でも発表された。 Cangjieの主な特徴として、静的型付けとパターンマッチング、並行ガベージコレクション、代数的データ型（ADT）、マクロとアノテーションによるメタプログラミングが挙げられる。対応プラットフォームはLinux・macOS・Windows・Android・iOS・HarmonyOSと幅広く、Huaweiのマルチプラットフォーム戦略を支える言語として位置づけられている。 エフェクトハンドラー——最も注目すべき革新 Cangjieにおいて学術的に最も注目を集めているのが「エフェクトハンドラー（Effect Handlers）」機能だ。エフェクトハンドラーは、例外処理と動的バインディングを一般化する仕組みで、performとresumeという新キーワードを導入し、従来のtry/catchブロックをtry/catch/handle/finallyという拡張された構造で置き換える。現時点では実験的な機能として積極的に開発が進められている。 この機能が実現するユースケースは多岐にわたる。非決定性・バックトラッキング、スケジューリング・依存性注入、テスト用のモッキング・設定、例外処理、キャッシング・メモ化などが代表的な用途だ。具体例として挙げられるのがロギング機能で、エフェクトハンドラーを利用することでライブラリが実行環境（デスクトップ・モバイル・IoTデバイス・スマートウォッチ等）に応じてログ動作を自動的に適応させることができ、複雑な条件分岐ロジックを記述することなく環境別の動作を実現できる。 背景と今後の展望 Cangjieの設計思想は、関数型プログラミングと命令型プログラミングの融合にある。代数的データ型はHaskellやRustなどの関数型言語で一般的な概念であり、エフェクトハンドラーはEffectやKokaなどの研究言語で注目されてきた機能を実用的なアプリ開発言語に取り込んだものだ。これらのアカデミックな機能を産業利用を念頭に置いた言語に統合した点が、Cangjieのユニークな立ち位置を形成している。 HuaweiはCangjieをHarmonyOSエコシステムの主要言語の一つとして育てる意向があるとみられ、中国国内の大学教育への浸透はその裾野を広げるための戦略的な取り組みと考えられる。エフェクトハンドラーは引き続き実験的な段階にあるものの、安定化が進めば副作用管理の新たなパラダイムとしてより広いコミュニティへの普及が期待される。

概要 2026年5月18日、VS Code拡張機能「Nx Console」のバージョン18.95.0が悪意のあるコードを含む状態でVS Code Marketplaceに公開された。Nx Consoleは220万以上のインストール数を持つ人気の拡張機能で、開発者のワークフローに深く組み込まれていることが攻撃者に狙われた。悪意あるバージョンが公開されたのは12:36〜12:47 UTC（わずか11分間）で、Nxチームが迅速に検出・削除したが、その間に6,000件以上のインストールが発生した可能性があるとチームは後日開示している。攻撃の起点は、貢献者のGitHub認証情報の漏洩であった。 攻撃の手口と技術的詳細 攻撃者はまず2026年5月18日03:18 UTCに、窃取した貢献者の認証情報を使ってnrwl/nxリポジトリに対してオーファンコミット（親履歴のない孤立したコミット）をプッシュした。このコミットには498 KBの難読化されたJavaScriptペイロードが含まれていた。続いて12:36 UTCに、侵害されたパブリッシュ用認証情報を使い、悪意あるバージョン18.95.0をマーケットプレイスに公開した。 侵害されたバージョンのmain.jsには、わずか2,777バイトの注入コードが含まれており、ワークスペースを開いた際に自動的に起動する。このコードはGitHub上のオーファンコミットから498 KBの難読化ペイロードをダウンロードし、BunランタイムでJavaScriptを実行する仕組みで、バックグラウンドプロセスとして分離実行することで検出を回避していた。 ペイロードが標的とする認証情報は幅広く、GitHub・npm・AWSの認証情報、HashiCorp Vaultトークン、Kubernetesシークレット、1Passwordボールト、そしてClaude Codeの設定ファイルも含まれていた。Linuxでは/proc/*/memへの直接アクセス、AWSメタデータエンドポイント（169.254.169.254）やECSコンテナエンドポイントも調査の対象とされた。 窃取されたデータはAES-256-GCM暗号化とRSA公開鍵ラッピングで二重に保護された上で、HTTPS・GitHub API悪用・DNSトンネリングという3つの独立した経路で外部に送信された。 巧妙な持続化・回避機能 macOS環境では、~/.local/share/kitty/cat.pyにPythonバックドアが設置され、4096ビットRSA鍵で署名の上、GitHub API検索を通じて1時間ごとにコマンドを受け取るよう設計されていた。また、解析回避のための仕組みも組み込まれており、CPUコア数が4未満の環境やロシア・CISのタイムゾーンを使用する環境では実行をスキップするようになっていた。これにより研究者のサンドボックスを避けながら、本番環境の開発者マシンを効果的に標的にしていた。 さらに深刻なのは、ペイロードにSigstoreの完全な統合機能が含まれていた点だ。これにより攻撃者はFulcio証明書の発行とSLSAプロベナンス生成を使って、悪意あるnpmパッケージを正当な暗号署名付きで公開できる状態にあった。サプライチェーン攻撃の連鎖的な拡大を狙った、非常に高度な準備がなされていたことが分かる。 推奨される対応策 Nxチームはバージョン18.100.0以降への更新と、影響を受けた可能性のある全認証情報のローテーションを強く推奨している。具体的には、クラウドトークン・GitHub PAT・npmトークン・SSHキーをすべて無効化・再発行し、macOSユーザーは~/.local/share/kitty/cat.pyおよび関連するLaunchAgentを削除する必要がある。12:36〜12:47 UTCの間に当該バージョンをインストールした開発者は、該当マシンのすべての認証情報を侵害済みとして扱うべきだ。

概要 サムスン電子は2026年5月21日に予定されていた18日間のストライキに先立ち、6日前から半導体製造ラインの生産縮小に着手した。労働組合員43,000人以上がストライキに署名しており、これはサムスン半導体部門の全労働力の半数以上にあたる。同社は「緊急管理モード」を宣言し、新規ウェーハの投入を削減するとともに設備をスタンバイ状態に切り替えた。半導体産業史上最大規模とされるこのストライキは、グローバルなAIインフラを支えるHBM（高帯域幅メモリ）の主要サプライヤーに深刻な打撃を与えるリスクを孕んでいる。 労使交渉の経緯と要求内容 組合側の主な要求は、営業利益の15%をボーナスとして配分すること、ボーナスの50%給与上限の撤廃、および7%の賃上げである。一方、経営側は2026年の一回限りの支払いとして営業利益の約13%を提示するにとどまり、恒久的な制度改革には応じていない。 この労使対立の背景には、競合他社との待遇格差がある。SK Hynixは年間営業利益の10%を従業員に配分することに合意しており、従業員1人あたり平均46万〜47万7,000ドルに相当する配分を実現している。過去4ヶ月間でサムスンからSK Hynixへ約200人の従業員が転職したという事実は、人材流出への危機感を一層高めている。なお、直近4月に行われた1日限定のストライキでは、ファウンドリ出力が58%低下、メモリ製造が18%低下という深刻な影響が記録されており、今回の長期ストライキへの警戒感は非常に強い。 供給チェーンへの影響試算 市場調査会社TrendForceの予測によると、今回のストライキはグローバルDRAM供給の3〜4%、NAND供給の2〜3%に影響を及ぼす可能性がある。サムスンは世界DRAM生産の約3分の1を占めており、AI向けの高性能HBMの主要供給源でもあるため、データセンターや大規模言語モデルのインフラを手がける企業にとっては調達リスクが直撃する形となる。 財務的な損失規模も膨大で、製造ラインが完全停止した場合の1日当たりの損失は約20億ドルに達するとされ、18日間のストライキ全体では170億〜280億ドルの損失が見込まれる（JPMorganは労務コストおよび生産停止の長期化を加味して最大43兆ウォン＝約280億ドルと試算、業界推計では30兆〜100兆ウォンに達する可能性も指摘されている）。さらにKB Securitiesのアナリスト金東源氏は、ストライキ終了後の生産ライン再起動に2〜3週間を要すると分析しており、事前の縮小期間と合わせると実質的な減産期間は6週間を超える可能性を指摘している。 今後の見通し SK Hynixに一度DRAM首位を奪われた後、サムスンが市場を取り戻したばかりのタイミングでのストライキは、サムスンの回復軌道に大きな打撃を与えかねない。AIブームを背景にHBM需要が急拡大する中、供給の遅延や代替調達を余儀なくされる顧客がSK HynixやMicronへシフトする動きが加速するとも懸念される。労使交渉が妥結に至るかどうか、また生産の回復にどれほどの時間がかかるかが、今後の半導体市場全体の動向を左右する重要な焦点となっている。

概要 英国の競争・市場庁（CMA）は2026年5月14日、Microsoftのビジネスソフトウェア慣行に関する9か月間の正式調査を開始した。この調査は、Microsoftが英国のデジタル市場規制上の「戦略的市場地位（SMS）」に指定されるべきかどうかを判断するもので、結論は2027年2月頃に公表される見通しだ。SMS指定を受けた場合、CMAはMicrosoftに対して競争促進のための行動指針（Pro-competitive Interventions）を課す権限を持つことになる。 CMAの最高経営責任者であるSarah Cardell氏は「ビジネスソフトウェアは英国経済が機能するうえでの要です。これらの市場がどのように発展しているかを理解することが目的であり、英国の組織が選択肢、イノベーション、競争力のある価格から利益を得られるよう確保したい」と述べ、調査の意義を強調した。 調査の対象範囲 CMAが今回審査する分野は広範にわたる。具体的には次の5点が主な論点となっている。 製品バンドル慣行――Microsoftのアプリケーションが第三者製品に対して競争上の優位を得ているかどうか 統合バリア――MicrosoftとサードパーティSaaSプロバイダー間の互換性制限 デフォルト設定――顧客が代替ビジネスソフトウェアへ乗り換えることを妨げる既定設定 AI統合――Microsoft CopilotなどAI機能の組み込み方と、競合他社が同等に統合できるかどうか ソフトウェアライセンス慣行――特にAWS・Google Cloudなど競合クラウド基盤上でのホスティングに関するライセンス条件 調査対象製品はMicrosoft 365などの生産性ソフトウェア、Windows OS（PC/サーバー）、SQL Serverなどのデータベース管理システム、セキュリティソフトウェア群と幅広い。 背景――クラウド市場調査からの流れ 今回の調査は突然始まったわけではなく、CMAが長期にわたって続けてきたクラウド市場監視の延長線上にある。CMAは2025年7月にクラウドサービス市場調査（Market Investigation）を終了しており、その過程でMicrosoftとAmazon Web Services（AWS）に対してクラウドの出力（エグレス）料金の修正と製品間相互運用性の改善を求めていた。両社は2026年3月にこれらの条件に合意し、その時点ではSMS指定を回避したが、その後もMicrosoftのビジネスソフトウェア全体に対する競争懸念は払拭されなかった。なお、AWSは今回の調査でもSMS指定の対象からは外れている。 今後の見通し CMAは2027年2月までに調査結論を出す予定だ。仮にMicrosoftがSMS指定を受ければ、CMAは製品バンドルの解除やライセンス条件の変更、相互運用性の強制開放といった措置を命じる可能性がある。AIが業務ソフトウェアに深く組み込まれていく中で、WindowsやTeams、Copilotの組み合わせが競合他社の市場参入を阻む「囲い込み構造」を形成しているかどうかが、今後の審査の核心となる見通しだ。欧州委員会や各国規制当局も同様の問題意識を持っており、今回のCMAの動向は国際的な規制議論にも影響を与えそうだ。

概要 世界最大の学術プレプリントサーバーarXivは、AIが生成した未検証のコンテンツを含む論文を提出した著者に対し、1年間の投稿禁止措置を導入すると発表した。同サーバーのコンピュータサイエンス部門議長であるThomas Dietterichが公表したこのポリシーは、LLM（大規模言語モデル）の急速な普及に伴い、科学的な誠実性が損なわれることへの危機感から生まれた施策だ。「著者がLLMの生成結果を検証しなかったという確実な証拠がある場合、その論文のいかなる内容も信頼できない」とDietterichは述べている。 禁止対象となる行為 このポリシーが対象とするのは、AI利用そのものではなく、AIの出力を無検証で論文に組み込む「不注意な」行為だ。禁止処分の根拠となる「確実な証拠」として挙げられているのは、以下のような明白な違反例である。 実在しない論文への幻覚引用（ハルシネーション） 「ここに200単語の要約があります。変更をご希望ですか？」といったチャットボットのレスポンスがそのまま残っている 「実験の実数を入力してください」などの未削除のプレースホルダーテキスト 処分を受けた著者は1年間arXivへの投稿が禁止され、その後も投稿を再開するには査読済みの学術誌での掲載受理が条件となる。不適切な言語、盗用コンテンツ、誤情報なども著者の責任として扱われる。 幻覚引用の急増が背景に このポリシー導入の背景として挙げられているのが、学術論文全般における幻覚引用の急増だ。コロンビア大学看護学部の研究チームがPubMed Central上の生物医学論文250万本・参考文献1億2,600万件を監査した結果（『The Lancet』2026年5月号掲載）、2023年には約2,828本に1本の割合だった偽造引用は、2025年には458本に1本、2026年初頭には277本に1本にまで悪化していた。わずか2〜3年で約10倍という急増ペースは、AI執筆支援ツールの普及と強く相関しているとされる。生物医学分野で先行して顕在化したこの問題は、LLMの利用が広がるarXivが扱うコンピュータサイエンスなど他分野でも同様の懸念が指摘されている。 政策の限界と今後の課題 一方で、このポリシーが捕捉できるのはあくまでも「最も不注意な違反行為」に限られる。巧妙に生成された科学的に中身のない主張や、文脈上自然に見える誤情報は、自動的なチェックでは検出が難しく、引き続き査読や研究機関による監督が必要となる。arXivはプレプリントサーバーであり査読を行わないため、コミュニティ全体での規律ある運用が求められる。研究者に対しAIツール利用への全面的な責任を明示したこの措置は、学術出版におけるAIガバナンスの議論に一石を投じるものとして注目されている。

概要 GoogleとBlackstoneは2026年5月19日、米国内でGoogleのTPU（Tensor Processing Unit）をコンピュート・アズ・ア・サービスとして提供する合弁会社の設立を共同発表した。Blackstoneが50億ドルの初期出資を行い、レバレッジを含めた総額は約250億ドルに達する見込みだ。2027年までに500MW（メガワット）のデータセンター容量を稼働させることを目標としており、急増するAI需要に対応する大規模インフラ投資として注目されている。合弁会社のCEOにはGoogle出身のBenjamin Treynor Slossが就任予定で、同氏はGoogleにおけるSRE（サイト信頼性エンジニアリング）の創設者としても知られる。 戦略的背景：NVIDIA依存からの脱却 今回の取り組みの核心は、データセンター向けGPUで圧倒的シェアを持つNVIDIA製品への依存を低減することにある。AI向け計算需要の急拡大とともに、NVIDIAのH100やB200といったGPUは需給が逼迫し、価格高騰が続いている。GoogleのTPUはGoogleが自社AI/MLワークロード向けに独自開発した専用アクセラレータであり、特定の推論・学習ワークロードにおいてGPUと同等以上の性能を発揮する。この合弁会社を通じてTPUを外部顧客に広く提供することで、GoogleはTPUのエコシステムを拡大しつつ、AI インフラ市場における差別化を図る。 資金構造とデータセンター計画 Blackstoneによる50億ドルの自己資本投資に加え、レバレッジ（借入）を組み合わせることで総投資規模は約250億ドルに達する計画だ。AI特化のデータセンターとしては異例の大規模投資であり、Blackstoneにとっても同社のデータセンター・インフラ投資戦略の延長線上に位置づけられる。2027年までに500MWの容量を稼働させる計画は、大規模言語モデルの学習・推論に必要な電力需要を見据えたもので、立地・電力調達・冷却設備の確保が今後の重要課題となる。 今後の展望 TPUベースのクラウドプラットフォームが大規模に展開されれば、AIインフラ市場の競争構図に変化をもたらす可能性がある。現在のAIクラウド市場はAWS、Azure、Google Cloudの三強がNVIDIA製GPUを基盤として競っているが、今回の合弁会社がTPUという代替コンピュートを大規模に提供することで、GPU中心の市場構造に楔を打ち込む形となる。一方、TPUのソフトウェアエコシステム（主にJAXやTensorFlowへの依存）はNVIDIA CUDAと比較してまだ限定的であり、顧客獲得においては技術的な移行コストが課題となる見通しだ。

概要 2026年5月14日、JavaScriptランタイム「Bun」の開発者Jarred Sumnerが、コア実装をZigからRustへ全面書き直した100万行超のプルリクエストをメインブランチにマージした。このPRは「1,009,257行追加・4,024行削除・2,188ファイル変更・6,755コミット」という規模で、並行して約60万行のZigコードを削除する別PRも提出された（こちらはGitHubに「AI slop」として自動フラグが立てられた）。Bun 1.3.14が最後のZigリリースとなり、次バージョンからは全面的にRustベースへ移行する。 AI主導のコード変換 最大の注目点は、このリライトのほぼ全行をAnthropicの「Claude（Claude Code）」が担ったことだ。ブランチ名「claude/phase-a-port」がそれを端的に示している。Sumnerは「我々は数ヶ月間、自分たちでコードを書いていない。ClaudeがRustバージョンをメンテナンスし続けるかと聞かれれば、それはすでに現状だ」とコメントしている。変換にあたってはポーティングドキュメントの整備や内部型の事前マッピングなど準備作業が行われ、わずか6日間で完了したとされる。マージ前の時点で既存テストスイートの99.8%（Linux x64）をパスしていた。 Rustへ移行した技術的理由 Sumnerが挙げた移行の主な動機はメモリ安全性の向上だ。「use-after-free、double-free、エラーパスでのfree忘れ」といったバグをコンパイル時に検出できるRustのコンパイラ支援ツールが、これまでチームの膨大な開発・デバッグ時間を費やしてきたメモリ問題の解消に有効だと判断した。実際、プロダクション環境に影響していた複数のメモリリークが修正され、バイナリサイズもプラットフォームによって3〜8MB削減された。パフォーマンスは「ニュートラルから改善」と評価されている。なお、ZigコミュニティのAI使用に対するポリシー的な対立（BunチームはAI活用を前提とする一方、Zigの上流はAI非採用方針）も、フォーク維持コストを高めていたとされる。 JavaScript ランタイム競争への影響 今回の移行で、主要なJavaScriptランタイムの言語選択が出揃った形になる。Node.jsはC++、Denoは発足当初からRust、そしてBunがRustへ移行したことで、ランタイム開発における「Rustデファクト」の流れがより鮮明になった。 コミュニティの反応と懸念 このPRには1,254件の肯定的リアクションと1,010件の否定的リアクションが寄せられ、コミュニティの反応は二分している。主な懸念は「6,755コミット中、人間が一行も書いていないコードが人間によるレビューなしに本番に入る」というガバナンスの問題だ。批判的な論者は、テストスイートの通過は既知パスの検証に過ぎず、エラー境界・競合状態・JavaScriptとの境界でのメモリ問題は人間の理解がなければ把握できないと指摘している。ZigがBunの初期成功に果たした貢献（低リソースで高パフォーマンスを実現した骨格）を評価しつつ、今後の複雑なバグ診断に対する不安を示す声も上がっており、AI主導の大規模コードマイグレーションが抱えるリスクを改めて問う事例となっている。

概要 Googleは2026年5月19〜20日、カリフォルニア州マウンテンビューのShoreline AmphitheatreでGoogle I/O 2026を開催した。Sundar Pichai CEOが主導した約2時間の基調講演では、「AIファーストへ会社を転換してから10年が経った」と述べ、Geminiモデルの新バージョン、24時間稼働するパーソナルAIエージェント、Android XRスマートグラスをはじめとする多数の発表が行われた。Geminiの月間アクティブユーザーは9億人超（前年比2倍）、月次トークン処理量は3.2クアドリリオン（前年比7倍）に達しており、Google全体でのAI基盤の急拡大が改めて示された。 新モデル：Gemini 3.5 FlashとGemini Omni Gemini 3.5 Flashが本日より即日展開された。競合フロンティアモデルと比較して約4倍高速な出力トークン生成を実現しつつ、コスト面でも半額以下を達成。Pichai氏は「ほとんどのベンチマークでGemini 3.1 Proを上回る」と強調し、コーディング・エージェント・マルチモーダルの各領域での性能向上を特に挙げた。GeminiアプリおよびSearch、APIで同日より利用可能となり、上位モデルのGemini 3.5 Proは2026年6月のリリースに向けてテストが進められている。 また、DeepMind CEO Demis Hassabis氏が発表したGemini Omniシリーズは、画像・音声・動画・テキストを統合的に扱える新世代マルチモーダルモデルだ。科学的アイデアの動画化や運動エネルギーなどの複雑概念のシミュレーション、さらには動画コンテンツのリアルタイム編集・生成が可能で、AI Plus・Pro・UltraサブスクライバーおよびYouTube Shortsで提供される。同氏は「汎用人工知能（AGI）はほんの数年先にある」とも語った。 パーソナルAIエージェント「Gemini Spark」 今回最大の目玉のひとつが、パーソナルAIエージェントGemini Sparkだ。Google Cloudの専用仮想マシン上で24時間365日稼働し、ユーザーの代わりに作業を実行する「能動的なパートナー」として設計されている。Gmail・Docs・Workspace各アプリと統合するほか、今夏以降はMCP（Model Context Protocol）経由でサードパーティツールへも対応が拡張される。Android・iOS・Web・Chromeで利用でき、来週より米国のGoogle AI Ultraサブスクライバー向けにベータ提供が始まる。 エージェントの進捗をリアルタイムで画面上部に表示する新UI Android Halo も発表され、ユーザーは現在の作業を中断せずにエージェントの状況を確認できる。2026年後半にGemini Sparkおよび対応エージェント向けに展開予定だ。また、コードネーム「Remy」として言及されていた日常タスク全般を処理するパーソナルAIエージェント構想がこのGemini Sparkとして具現化した形となる。 Android XRスマートグラス ハードウェア面では、Android XRオーディオグラスの2026年秋発売が発表された。Samsung（ハードウェア）・Qualcomm（チップ）が共同開発し、外部デザインをGentle MonsterとWarby Parkerが担当。ディスプレイを持たない「インテリジェントアイウェア」として、内蔵スピーカー・カメラ・マイクを搭載する。「Hey Google」による音声起動のほか、フレーム側面のタップ操作にも対応し、Geminiへの周辺環境の質問・ターンバイターンナビゲーション・ハンズフリー通話・AIによる写真撮影と編集・声のトーンを再現したリアルタイム翻訳などを提供する。Uber・DoorDash・Mondlyといったサードパーティアプリにも対応し、注目すべき点としてiPhoneとの互換性も備えている。 Google製品全体へのAI統合と今後の展開 検索分野では、AI ModeがGemini 3.5 Flashで強化され、ブログ・ニュース・SNS・金融・ショッピング・スポーツをリアルタイムで継続監視するインフォメーションエージェントが今夏にAI Pro・Ultra向けで提供開始される。YouTubeではAsk YouTubeが複雑なクエリへの構造化回答を可能にし、米国Premium会員向けに展開される。Workspaceでも音声入力でドキュメントを作成するDocs Liveや会話形式でメールを検索するGmail Liveが今夏に登場する。 インフラ面では、第8世代TPU（トレーニング用のTPU 8tと推論用のTPU 8i）を発表。前世代比約3倍の演算能力と最大2倍の電力効率を実現している。料金体系も見直され、Google AI Ultraの新プランが月額100ドルで提供開始（旧250ドルプランは200ドルに値下げ）、利用上限は1日あたりのプロンプト数から複雑度ベースの割り当てに変更された。コンテンツの真正性確保に向けては、AIで生成されたコンテンツにウォーターマークを付与するSynthIDとC2PA Content CredentialsがSearchとChromeに拡張され、OpenAIやElevenLabsも採用を表明した。

大会概要と最終成績 セキュリティ研究者の腕を競う国際的なハッキングコンテスト「Pwn2Own Berlin 2026」が5月14〜16日の3日間にわたって開催された。世界中のセキュリティ研究者・チームが参加し、47件のユニークなゼロデイ脆弱性を悪用して総額1,298,250ドル（昨年比約20%増）の賞金を獲得した。 最終的なMaster of Pwn（総合優勝）には台湾のセキュリティ企業DEVCOREが輝いた。DEVCOREは50.5ポイントと505,000ドルを獲得し、2位のSTARLabs SG（25ポイント、242,500ドル）、3位のOut Of Bounds（12.75ポイント、95,750ドル）を大きく引き離した。初日から主導権を握ったDEVCOREは最終日も安定した成果を維持し、圧倒的な強さを見せた。 注目の攻撃成果 今大会で最高額の賞金を獲得した攻撃のひとつは、Orange TsaiことCheng-Da Tsai（DEVCORE所属）によるMicrosoft Exchangeへの攻撃だ。3つのバグを連鎖させることでSYSTEM権限でのリモートコード実行（RCE）を達成し、200,000ドルを獲得した。複数のバグを組み合わせる「バグチェーン」戦術は今大会全体を通じて多くのチームが採用した手法でもある。 同じく200,000ドルを獲得したのはSTARLabs SGのNguyen Hoang Thachで、VMware ESXiに対してメモリ破壊脆弱性を利用したクロステナントのコード実行を成功させた。DEVCOREのsplitlineはMicrosoft SharePointに対して2つのバグを連鎖させ100,000ドルと10ポイントを獲得。そのほか、Windows 11やRed Hat Enterprise Linuxも複数チームから攻撃を受けた。 今大会で特筆すべき点として、AIコーディングエージェントへの攻撃が挙げられる。OpenAI Codexは3つの独立したチームによって異なる手法で攻略され、Anthropic Claude Codeも攻撃対象となった。LLMカテゴリーが正式な競技対象に加わったことで、AIシステムのセキュリティリスクが広く実証された形となった。 攻撃手法と今後の対応 3日間で確認された主な攻撃手法には、整数オーバーフローを利用した権限昇格、Use-After-Free（解放後使用）メモリ脆弱性、未初期化メモリの悪用、外部からの制御フロー操作などが含まれる。複数の脆弱性を組み合わせるバグチェーン戦術は高難度ターゲットの攻略において特に有効であることが改めて示された。 日程別の賞金額は初日が523,000ドル（24件）、2日目が385,750ドル（15件）、3日目が389,500ドル（8件）で、初日に最も多くのゼロデイが集中した。今大会で発見・実証されたすべての脆弱性は、Zero Day Initiativeの慣例に従い各ベンダーへ通知済みで、90日間の開示猶予期間内にパッチの提供が求められる。エンタープライズ製品からAIシステムまで広範なターゲットでゼロデイが次々と発見された今大会の結果は、業界全体のセキュリティ強化に向けた重要な知見となる。