概要 Microsoftは2026年3月末、クラウドネイティブ開発プラットフォーム「.NET Aspire 13.2」を正式リリースした。本バージョンではCLIの大幅な拡充、TypeScript AppHostのプレビュー導入、そしてダッシュボードの機能強化が主要な変更点となっている。従来C#のみで記述できたアプリケーション構成をTypeScriptでも定義できるようになったことで、フロントエンドやNode.js寄りの開発者にとってもAspireを採用しやすい環境が整いつつある。 CLIの強化——デタッチモードと並行起動 CLIの改善として、バックグラウンドでアプリケーションを実行し続ける「デタッチモード」が追加された。これにより開発者はターミナルセッションを占有せずにAspireアプリを起動できる。合わせて、起動中インスタンスの管理コマンド（start / stop / プロセス一覧）も整備された。さらに「分離モード（isolated mode）」が導入され、ポート競合なしに複数インスタンスを同時起動できるようになった。自動化テストや並行ワークフローにおいて特に効果を発揮する機能だ。 TypeScript AppHostプレビュー 今回の目玉機能のひとつが「TypeScript AppHost」のプレビュー対応だ。従来はC#で記述していたアプリケーションリソースグラフの定義をTypeScriptでも記述できるようになった。ローカルのトランスポートレイヤーを介してAspireのオーケストレーションホストと通信する仕組みで、CLIおよびVS Code拡張機能の両環境で動作する。また、JavaScriptプロジェクトではパッケージマネージャーとして「Bun」のサポートも追加されている。 ダッシュボード・インテグレーション・VS Code拡張の更新 ダッシュボードではテレメトリデータのエクスポート・インポート機能や、環境変数を.envファイルとして書き出す機能が追加された。新設されたテレメトリHTTP APIにより、スパン・ログ・トレースへのプログラマティックなアクセスも可能になっている。インテグレーション面では、Docker Composeパブリッシングがプレリリースから安定版に昇格したほか、Microsoft Foundry、Azure Virtual Network、Azure Data Lake Storage、MongoDB Entity Framework Coreといった新インテグレーションが加わった。VS Code拡張機能も20項目以上の改善を受け、Aspireアクティビティバーパネルやデバッグ機能の強化が含まれている。なお、設定ファイルやリソースコマンドに関するいくつかの破壊的変更も含まれているため、アップグレード時は公式のマイグレーションガイドを確認することが推奨される。

概要 GitHubは2026年4月8日、VS Code向けGitHub CopilotのMarchリリース（v1.111〜v1.115）を公開し、新たな自律エージェントモード「Autopilot」をパブリックプレビューとして追加した。Autopilotモードでは、ユーザーが一度指示を与えるだけで、Copilotがファイルの編集・テストの実行・エラーの検出と修正をすべて自動で行い、タスク完了まで一切の承認ダイアログを表示しない。従来の「Default Approvals（毎回承認）」「Bypass Approvals（承認スキップ・AIの質問は表示）」に続く第3の権限レベルとして位置づけられており、VS Codeのチャット画面にある権限ピッカーから選択できる。 Autopilotモードの仕組みと権限レベル エージェントの動作制御は3段階の権限レベルで管理される。Default Approvals はすべてのアクションで承認ダイアログを表示する従来の動作、Bypass Approvals は承認ステップをスキップしながらもAIからの質問は表示する中間モード、そして Autopilot (Preview) は両方を自動化し、停止条件を満たすまで完全に自律動作する。停止条件はタスク完了、解決不能な問題の検出、ユーザーによる中断（Ctrl+C）、または設定した最大継続ステップ数への到達の4つ。CLI版でも --autopilot --allow-all フラグで同様の動作が有効となり、--max-autopilot-continues オプションで実行ステップ数の上限を設けることでコスト管理も可能だ。 3月リリースで追加されたその他の主要機能 Autopilot以外にも多数の機能強化が含まれる。チャットが画像・動画の入力を受け付けるようになり、エージェントが変更内容を映像で返却できるようになった。新たに統合ブラウザデバッガーが追加され、ブレークポイントの設定やコード実行のステップ追跡、変数のインスペクションをVS Codeを離れることなく行える。サブエージェントが別のサブエージェントを呼び出せるようになり、複雑なタスクの分解にも対応する。また、#codebase ツールがセマンティック検索に特化した形で刷新され、ローカル・リモートのインデックス混乱を解消した。さらにモデルピッカーから思考深度を調整できる「Configurable thinking effort」や、カスタムエージェント・スキル・プラグインを一元管理する統合チャットカスタマイズエディタも追加されている。 活用場面とコスト管理 Autopilotが特に有効なのは、テストの追加、リファクタリング、CI/CDエラーの修正、バッチコード生成など、明確な完了条件を持つスコープ限定タスクとされている。一方で、各ユーザープロンプトとAIの継続ステップはそれぞれ課金対象となるため、CLI利用時は --max-autopilot-continues による上限設定が推奨される。今回のリリースにはTypeScript 6.0サポートやデフォルトテーマの刷新、ローカルHTTPS向け自己署名証明書サポートなども含まれており、VS Code上のCopilot体験が全体的に大きく底上げされている。

概要 MetaとAI専門クラウドプロバイダーのCoreWeaveは2026年4月9日、約210億ドル（約3兆円）規模の追加AI インフラ契約の締結を発表した。2025年秋に結んだ142億ドルの既存契約と合わせると、両社の累計契約総額は350億ドルに達する。契約期間は2027年から2032年末までを対象とし、MetaはCoreWeaveの大規模GPUクラスターへのアクセスを確保し、AIモデルのトレーニングおよび推論ワークロードを処理する。 CoreWeaveの共同創業者・CEOであるMichael Intrator氏は「業界をリードする企業が最も要求の高いワークロードの実行にCoreWeaveのAIクラウドを選んでいることを示す、また一つの事例だ」とコメントした。発表後、CoreWeave株は約4%上昇した一方、Meta株は約3%上昇した。 取引の背景とMetaのAI戦略 Metaは2026年にAIインフラへ1,000億ドル超を投資する計画を掲げており、今回の契約はその一環だ。MetaがAWSやAzureといった大手ハイパースケーラーではなく、NVIDIA最適化インフラに特化したCoreWeaveを選んだ背景には、NVIDIAの最新チップ（Blackwell Ultra GB300やVera Rubinプラットフォームなど）のより迅速な展開が可能という点がある。AIワークロードの需要がGPU供給を大幅に上回る現状では、長期的なコンピュートリソースの確保が戦略的に重要となっている。 CoreWeave自身もNVIDIAから20億ドルの出資を受けており、2025年3月にNasdaq（ティッカー：CRWV）へ上場を果たした「ネオクラウド」企業だ。今回の大型契約は、特定顧客への収益集中リスクを一定程度緩和するとともに、AI専用クラウド市場における同社の存在感をさらに高めるものとなっている。 業界トレンドへの示唆 AIワークロードがモデルのトレーニングから本番環境での推論へとシフトするにつれ、持続的なコンピュートアクセスの需要はさらに拡大している。MetaとCoreWeaveの長期大規模契約は、大企業が共有パブリッククラウドよりも専用インフラを長期確保する動きが加速していることを象徴しており、AI専門クラウドプロバイダーが従来のハイパースケーラーと並ぶ存在感を持ちつつあることを示している。

何が起きたか 2026年3月末から4月初頭にかけて、WireGuard VPNの作者Jason DonenfeldやVeraCryptの作者Mounir Idrassiなど、広く使われているセキュリティ系オープンソースソフトウェアの開発者たちが、MicrosoftのWindows Hardware Programのアカウントを事前警告・説明なしに突然停止させられた。この停止により、WireGuard・VeraCrypt・Windscribe VPNといったプロジェクトがWindowsドライバーの署名や更新の配布を行えない状態に陥った。 DonenfeldとIdrassiはいずれも「Microsoftからメールも事前警告も一切届かなかった」と証言している。ある日サインインしようとしたらアカウントが停止されており、何の説明も受けていないという状況だった。 セキュリティへの深刻なリスク 今回の停止は単なる利便性の問題にとどまらず、ユーザーへの直接的なセキュリティリスクをもたらした。Donenfeldは「もしWireGuardにゼロデイ脆弱性が発見されても、今の状態ではセキュリティパッチを出せない。今こそゼロデイを悪用し始めるのに絶好のタイミングだ」と警鐘を鳴らした。 VeraCryptについてはより深刻な問題も指摘された。VeraCryptはディスク全体を暗号化するソフトウェアであり、Windowsの起動プロセスに深く関わっている。開発者がアップデートを配布できないまま放置された場合、2026年7月以降にVeraCryptを使用しているWindowsデバイスで起動障害が発生する可能性があるという。 Microsoftの主張と欠陥のある通知プロセス MicrosoftはWindows Hardware Programにおけるアカウント認証（verification）の義務化を2025年10月のブログ投稿で発表しており、同社は「2週間の猶予期間中にメール・バナー・リマインダーを送った」と主張している。しかし実際には開発者への通知が届いておらず、通知プロセスの欠陥が明らかとなった。 さらに問題だったのは、停止後の対応手段がほぼ存在しなかった点だ。停止されたアカウントからは異議申し立てシステムにアクセスできない設計になっており、AIサポートツールも適切な担当窓口を特定できなかった。審査キューは60日待ちの状態で、迅速対応の手段がなかった。 公開告発を受けてMicrosoftが謝罪・復旧を約束 開発者がSNSやメディアを通じて問題を公開告発すると、MicrosoftのプレジデントPavan Davuluri氏がSNSで問題を認め、「近日中にアカウントを復旧する」と約束した。通知プロセスの改善についても約束され、WireGuardのアカウントは2026年4月10日に復旧が確認された。 今回の一連の騒動は、大手プラットフォームによるOSSエコシステムへの依存と、その管理・通知プロセスの脆弱性を改めて露呈させた形となった。セキュリティ系ソフトウェアの開発者アカウントが突然停止されるリスクは、エンドユーザーのセキュリティに直結する問題として、今後のプラットフォームポリシーのあり方が問われている。

概要 Module Federation 2.0が正式に安定版リリースを迎えた。本プロジェクトはwebpack 5で初めて導入されたマイクロフロントエンドアーキテクチャパターンを大幅に刷新したもので、ByteDanceのWeb Infraチームとオリジナル作者のZack Jacksonが共同で開発を進め、オープンソース公開から約1年を経てのリリースとなる。今回の安定版は大幅なアーキテクチャ刷新を経ており、「開発者生産性と極限のパフォーマンスの両立」を掲げている。 最大の変更点はランタイム層をビルドツールから分離したことだ。これにより実装が標準化され、webpack・Rspack・Rollup・Rolldown・Rsbuild・Vite・Metroといった多様なバンドラー、さらにNext.js・Modern.js・Storybookなどのフレームワークに対して統一的なModule Federationのサポートが実現した。 主要な新機能 動的TypeScript型ヒントの自動生成は開発者体験の面で最も大きなインパクトをもたらす機能とされている。従来はリモートモジュールを利用する際に静的な型情報が失われてしまい、共有型パッケージを別途用意するかany型で妥協するしかなかった。2.0では開発中にリモートモジュールから型定義が自動生成され、ホットリロードにも対応する。 共有依存関係のTree Shakingにより、バンドルサイズを最大75.5%削減できる。公式ブログでは、Ant Designから3コンポーネントだけ使用する場合に共有バンドルが1404.2 KBから344.0 KBへ大幅に縮小した例が示されている。動作モードは自動フォールバックが可能な「runtime-infer」とグローバル最適化を行う「server-calc」の2種類が用意されている。 Node.js・SSRファーストクラスサポートでは、リモートモジュールをサーバーサイドレンダリング・BFF（Backend for Frontend）・Nodeマイクロサービスで利用できるようになり、フルスタックアプリケーション全体で統一的なモジュール配信が可能となった。アイソモーフィックデータプリフェッチ機能はサーバー・クライアント双方に対応したデータ取得を提供し、ウォーターフォールロードを防ぐキャッシュ機構を内蔵する。 技術的な強化点 コア機能の一部はRustで再実装された。マニフェスト生成やAsyncStartUpなどが対象で、大幅なパフォーマンス向上が図られている。また、デプロイ統合のためのmf-manifest.jsonプロトコルが新たに導入された。 デバッグ・分析面ではSide Effect Scannerが追加され、グローバル変数汚染・イベントリスナー・CSSスコープへの影響を静的解析で特定できる。Chrome DevTools拡張機能もアップデートされ、共有依存関係の可視化と依存グラフのナビゲーション機能が強化された。 移行と今後の展望 既存のModule Federationプロジェクトからは@module-federation/enhanced npmパッケージを通じて段階的に移行できる。コミュニティからは型ヒントや開発ツールの改善に対する歓迎の声がある一方、pnpm catalogsとTurborepoを使ったモノレポアプローチと比較した複雑さへの懸念も引き続き存在する。今後のロードマップにはReact Server Componentsとの統合や、コンポーネント探索・評価のためのAIフレンドリーなメタデータ対応が含まれている。

概要 NVIDIAが出資するAIクラウドプロバイダーのNebius（Nasdaq: NBIS、時価総額約320億ドル）が、イスラエルのAIスタートアップAI21 Labsの買収交渉を進めていると報じられた。The Informationが最初に報道したこの案件は、NVIDIAが同社との買収交渉から撤退した後にNebiusが交渉を引き継いだものだ。NVIDIAが主導していた交渉では、2023年時点の評価額14億ドルから大幅に上昇した20〜30億ドルでの買収が検討されていたとされるが、Nebiusとの現在の交渉での金額は明らかになっていない。 両社の背景 Nebiusは元ヤンデックス幹部のArkady VolozhとRoman Cherninが設立したAIインフラ企業で、NVIDIAから出資を受けている。これまでAIクラウドコンピューティングに特化したサービスを提供してきた。一方のAI21 Labsは、コンピュータービジョンの権威Amnon Shashua教授らが共同設立したイスラエルのAIスタートアップで、従業員約200名、年間収益は推定5,000万ドル規模とされる。自然言語処理モデルや企業向けAIソリューションの開発で知られる。 戦略的意義とAI業界への示唆 この買収交渉が成立すれば、Nebiusはこれまで強みとしてきたAIインフラ（クラウドコンピューティング）の領域を超え、モデル開発・アプリケーション機能を取り込んだエンドツーエンドのエンタープライズAIソリューションプロバイダーへの転換を図ることになる。インフラ企業とモデル企業の統合というこの動きは、AI業界における垂直統合の加速を象徴するものだ。2026年に入り、Meta・Amazonなどの大手によるAIインフラへの巨額投資が続く中、中堅プレイヤーがM&Aによって競争力を高めようとする動きが鮮明になっている。

概要 Caltech発のAIスタートアップPrismMLが、1ビット量子化の大規模言語モデル「Bonsai 8B」を発表した。同モデルはわずか1.15GBのメモリで動作し、通常の8Bパラメータモデルと競合するパフォーマンスを実現する。標準的なフルプレシジョンモデルと比較して「14倍小型・8倍高速・5倍省エネルギー」を達成しており、「従来モデル比10倍以上のインテリジェンス密度」を誇るという。Apache 2.0ライセンスで公開されており、Bonsai 8B、4B、1.7Bの3バリアントが用意されている。 技術的アプローチ Bonsai 8Bの核心となる技術は、従来の16ビットや32ビット浮動小数点数の重みを使わず、「各重みを符号（{−1, +1}）のみで表現し、重みのグループごとに共有スケールファクターを保持する」という極端な量子化手法だ。CEOのBabak Hassibi氏は「推論能力を損なわずにネットワークを圧縮するための数学理論の開発に数年を費やした」と述べており、従来の低ビット量子化で問題となっていた命令追従の不正確さや推論の不安定さを克服したとしている。 エッジデバイスへの実用展開 Bonsai 8BはAppleデバイス上でMLXを通じてネイティブ動作し、NvidiaのGPUではllama.cppを介して実行できる。ターゲット用途としてはオンデバイスアプリケーション、ロボティクス、エンタープライズシステムが挙げられており、クラウドへの依存を不要とするAIの民主化を目指している。1ビットLLMはネットワーク帯域やサーバーコストを削減し、プライバシーの観点からも優れたオフライン推論を実現する可能性を持つ。

概要 Adobe Acrobat Readerに未公開のゼロデイ脆弱性が存在し、2025年11月28日にVirusTotalへ最初のサンプルがアップロードされて以来、少なくとも4ヶ月以上にわたって悪用され続けていることがセキュリティ研究者Haifei Liの調査によって明らかになった。Adobeはいまだにパッチを公開しておらず、CVE番号も未割り当てのまま、最新バージョンのAdobe Readerを使用しているすべてのユーザーが攻撃にさらされている状態が続いている。2026年3月23日には2件目のサンプルが発見されており、キャンペーンが継続中であることが確認されている。 攻撃手法と技術的詳細 攻撃は悪意を持って細工されたPDFファイルを通じて実行される。ファイルを開くだけで難読化されたJavaScriptが自動的に実行され、ユーザーの追加操作は一切不要だ。攻撃者はutil.readFileIntoStreamやRSS.addFeedといった本来は権限を要するAcrobat内部APIを悪用し、システム情報（OSの詳細、言語設定、ファイルパスなど）を収集する。窃取されたデータは攻撃者が管理するC2サーバー（169.40.2[.]68:45191）に送信される。 Li氏はこのエクスプロイトについて「ユーザー情報の収集・ローカルデータの窃取・高度なフィンガープリンティングを可能にし、将来の攻撃を準備するための基盤を構築する」と警告している。初期段階の情報収集に留まらず、選別したターゲットに対して第二段階のペイロードを展開することで、リモートコード実行（RCE）やサンドボックスエスケープへとエスカレートする可能性がある。 標的と背景 研究者Gi7w0rmの分析によると、ルアーとして使用されるPDFはロシア語で記述されており、ロシアの石油・ガス産業に関連する内容を扱っている。特定のセクターや地域を意識した高度な標的型攻撃（APT）の手法を示唆しており、高価値ターゲットを選別して攻撃を絞り込む洗練された脅威アクターの関与が疑われる。約4ヶ月間にわたって公開されずに悪用が継続していたことも、攻撃の高度さを裏付けている。 推奨される対応策 Adobeがパッチを公開するまで、ユーザーは以下の対応が推奨される。信頼できないソースからのPDFファイルを開かないことが最も重要だ。また、ネットワーク監視においてUser-Agentヘッダーに「Adobe Synchronizer」を含むHTTP/HTTPSトラフィックが侵害の指標（IOC）となる。法人環境では、Adobe Readerの使用に関するポリシーの見直しや、PDFサンドボックスを強化した代替ビューアーの検討も有効な対策となり得る。

概要 Anthropicは2026年4月8日、AIエージェントの構築・デプロイを大幅に効率化するクラウドサービス「Claude Managed Agents」をパブリックベータとして公開した。同サービスはコンポーザブルなAPIスイートとして提供され、開発者がインフラ管理を意識することなく、スケーラブルなAIエージェントを本番環境に展開できる「フル・プロダクションスタック」を目指している。Anthropicは「プロトタイプから本番まで数ヶ月ではなく数日で進められる」と謳い、エージェント開発のスピードを従来比10倍に高めると主張している。早期導入パートナーとしてNotion、Rakuten、Asana、Sentryなどの企業がすでにプラットフォームを利用してプロダクトへの統合を進めている。 主要機能と技術的な詳細 Claude Managed Agentsが提供する主な機能は以下のとおりだ。サンドボックス実行環境では、エージェントごとに分離されたコンテナが自動でプロビジョニングされ、セキュアなコード実行が保証される。チェックポイントとセッション永続化により、長時間稼働するエージェントが中断後も処理を再開できる。認証情報管理とスコープ付き権限では、サードパーティツールへのアクセス制御を一元的に管理する。そのほか、ツールオーケストレーション、エンドツーエンドの実行トレース、エラーリカバリーも組み込まれており、複数エージェントが互いに指示し合うマルチエージェント協調機能も備える。開発者はエージェントに実行させたい自動化タスクを自然言語で記述し、利用するサードパーティツールと、ツールアクセスを制御するセキュリティプロトコルを定義するだけでよい。 パフォーマンスと研究プレビュー機能 内部テストでは、構造化ファイル生成タスクにおいて「標準プロンプティングと比較してタスク成功率が最大10ポイント向上」し、複雑な問題ほど大きな改善効果が得られたとAnthropicは報告している。また、現在リサーチプレビュー段階にある2つの機能も注目される。一つは複雑なタスク処理のためにエージェントが子エージェントを動的に生成するマルチエージェントスポーニング、もう一つはプロンプトを自動的に最適化する自動プロンプト改善だ。 料金体系と戦略的な位置付け 料金はClaudeモデルの利用料金に加え、エージェント実行1時間あたり0.08ドルが課金される従量課金制を採用する。Anthropicはこれまで会話型モデルとしての側面が強調されてきたClaudeを、エージェント開発の包括的なプラットフォームとして再定義する狙いがある。本番グレードのエージェント展開に必要なインフラ整備の負担を肩代わりすることで、開発者がビジネスロジックの実装に集中できる環境を提供し、エンタープライズ市場での採用を加速させる戦略だ。

概要 米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、Ivanti Endpoint Manager Mobile（EPMM）に存在する重大なコードインジェクション脆弱性CVE-2026-1340を「既知の悪用された脆弱性（KEV）カタログ」に追加した。これに伴い、Binding Operational Directive（BOD）22-01に基づき、連邦文民機関に対して2026年4月11日（土曜日）深夜までのパッチ適用を義務付けた。わずか4日間という異例の短い期限が設定されており、脆弱性の深刻さを示している。 CISAはこのタイプの脆弱性を「頻繁な攻撃ベクター」と位置付け、連邦インフラに対する重大なリスクをもたらすと警告している。対応義務は連邦機関に限定されるが、CISAは民間企業を含むすべての組織に対しても優先的なパッチ適用を強く推奨している。 技術的な詳細 CVE-2026-1340は認証不要でリモートコード実行（RCE）が可能な重大（Critical）なコードインジェクション欠陥であり、2026年1月から実際の攻撃への悪用が確認されている。悪用事例としては、Webシェルの設置やクリプトマイナーのインストールなどが報告されている。Ivantiは2026年1月29日に本脆弱性および関連脆弱性CVE-2026-1281を修正するセキュリティアップデートをリリース済みである。 インターネット監視機関のShadowserverの調査によると、世界全体でおよそ950台の脆弱なEPMMデバイスがインターネットに露出していることが確認されており、そのうちヨーロッパが569台、北米が206台を占める。パッチ未適用のデバイスは引き続き攻撃対象となるリスクが高く、早急な対応が求められる。 Ivantiの脆弱性問題の背景 Ivantiはグローバルで40,000社以上の顧客を持つ大手エンタープライズソフトウェアベンダーだが、近年は深刻な脆弱性問題が相次いでいる。CISAが追跡するIvantiの文書化された悪用済み脆弱性はすでに33件に上り、そのうち12件はランサムウェアオペレーションに関連している。今回のCVE-2026-1340の追加は、Ivantiが継続的なセキュリティリスクの発生源となっている現状をあらためて浮き彫りにしている。組織はIvanti製品のパッチ管理を優先的な課題として位置付け、迅速なアップデート体制を整えることが急務となっている。