概要 Google DeepMindは、2025年5月に発表したLLM駆動型のアルゴリズム自律設計エージェント「AlphaEvolve」を多人数強化学習（MARL）のゲーム理論アルゴリズムに応用した研究成果を公開した。Gemini 2.5 Proを活用して生成されたアルゴリズム変種「VAD-CFR」は、ポーカーのような不完全情報ゲームを含む11のゲーム環境のうち10において、人間の専門家が手動で設計した最先端アルゴリズムを上回る性能を示した。LLMが単なるコード生成にとどまらず、アルゴリズムの本質的な改善を自律的に行えることを示した点で業界の注目を集めている。 AlphaEvolveの仕組みとゲーム理論への応用 AlphaEvolveは「LLMの創造的な問題解決能力」と「自動検証システム」を組み合わせた進化的フレームワークだ。数値パラメータではなくソースコード自体を変異・進化させる点が特徴で、Gemini Flashが多様なアイデアを高速に探索し、Gemini Proがより深い洞察を提供する役割を担う。 今回の研究では、ゲーム理論の2大アルゴリズムパラダイムに適用された。まず**CFR（Counterfactual Regret Minimization）への応用として、AlphaEvolveが発見した「VAD-CFR」は、従来の静的な割引係数に代わりEWMA（指数加重移動平均）で瞬間的な後悔の大きさを追跡し、割引係数を動的に調整する「ボラティリティ認識型割引」を採用する。さらにポリシー平均化を500イテレーションまで遅延させるという人間には直感的でない設計も自律的に導き出した。次にPSRO（Policy Space Response Oracles）**への応用では、AlphaEvolveが「SHOR-PSRO」を発見した。これはOptimistic Regret MatchingとSoftmax純粋最良戦略コンポーネントの間でブレンド係数をアニーリングし、貪欲な活用からロバストな均衡探索への移行を自動化する手法で、従来は専門家が手動でチューニングする必要があった部分を排除した。 AlphaEvolveの既存の実績と応用の広がり AlphaEvolveはゲーム理論以前にも、数学とコンピューティングの分野で顕著な成果を上げている。Googleのデータセンタースケジューリングの最適化でコンピュートリソースの0.7%を回復し、Geminiのトレーニング時間を1%短縮、FlashAttentionの実装では最大32.5%の高速化を達成した。数学的成果としては、Strassen法（1969年）以来未改善だった4×4複素行列乗算を48スカラー乗算で実現し、11次元のキッシング数問題で新たな下限を確立するなど、約50の未解決問題の20%で既知の最良解を更新した。 今回のゲーム理論への応用は、AlphaEvolveが特定分野に特化せず「汎用的なアルゴリズム設計システム」として機能することを改めて実証したものだ。DeepMindは今後、材料科学、創薬、サステナビリティなどの分野への展開も見据えており、LLMによる自律的なアルゴリズム設計が科学研究の加速に貢献する可能性を示している。

概要 MetaはAIモデルの訓練データ調達に関わるデータベンダー企業Mercorとの協業を一時停止したとWiredが報じた。きっかけは2026年3月下旬に発生したセキュリティインシデントで、オープンソースのAIプロキシライブラリ「LiteLLM」を介したサプライチェーン攻撃により、Mercorのシステムから4TBにおよぶ機密データが盗み出されたとされる。MercorはOpenAI、Anthropic、MetaなどのAI大手にとって、医師・弁護士・研究者といった専門家によるAI訓練データの収集・標注を担う重要なパートナーだ。2025年10月にはFelicis Venturesが主導するシリーズCで3億5000万ドルを調達し、評価額は100億ドルに達している。 攻撃の手口：LiteLLMサプライチェーン汚染 攻撃グループ「TeamPCP」は、異なるAIモデル間の通信を仲介するオープンソースライブラリLiteLLMのメンテナーアカウントを侵害し、悪意のあるコードを仕込んだバージョン（1.82.7および1.82.8）をPyPIリポジトリに公開した。これらの不正バージョンがリポジトリに存在したのはわずか約40分間だったが、LiteLLMは毎日数百万回ダウンロードされるライブラリであり、クラウド環境の約36%に導入されているとされる。CI/CDパイプラインで自動的に最新版を取得していた企業は、知らないうちに悪意のあるコードを実行した可能性がある。Mercorはこの攻撃によって認証情報を窃取され、内部システムへの侵入を許した。 流出したデータと関与したグループ 別の脅威アクター「Lapsus$」がMercorのリークサイトへの掲載を通じて4TBのデータ窃取を主張している。流出したとされるデータには、候補者プロフィール・個人識別情報（PII）211GB、ソースコード・APIキー・シークレット939GB、ビデオインタビューや身元証明書類3TBが含まれる。さらに、Slackのコミュニケーション記録、内部チケットシステム、MercorのクライアントであるAI大手が手がけている秘密プロジェクトに関する情報も含まれる可能性があるとされており、その点が今回の侵害を単なる個人情報漏洩にとどまらない産業機密問題に押し上げている。セキュリティ研究者はTeamPCPとLapsus$の関連性を示唆しているが、正式な協力関係は確認されていない。 業界への影響と今後の展望 AI企業にとって訓練データの収集・選別・準備の手法は、数年間と数十億ドルの投資が積み重なった最重要機密であり、その情報が流出した場合、競合他社が開発期間を数カ月から数年単位で短縮できるリスクが生じる。Metaが主要AIラボとして初めてMercorとの協業停止を公表したことは、AI訓練データ調達における第三者ベンダーのセキュリティ管理の在り方に業界全体として向き合う必要性を示している。今後は、データ処理業務の内製化推進、外部パートナーへの厳格なセキュリティ要件設定、政府によるAI訓練データのセキュリティ基準と漏洩報告義務の整備加速といった動きが予想される。今回の事件はオープンソースのサプライチェーンが短時間で数千の組織に被害を拡大させうる現実を改めて浮き彫りにした。

概要 OpenAIは2026年4月3日、複数の幹部による役職変更を含む大規模な組織再編を発表した。最高執行責任者（COO）を務めてきたBrad Lightcapが「特別プロジェクト（special projects）」を主導する新役職に移行することが明らかになったほか、最高マーケティング責任者（CMO）のKate Rouchが癌治療に専念するため一時的に会社を離れることも報告された。急成長を続けるAI企業として、OpenAIは事業拡大に合わせた経営体制の見直しを進めている。 主な人事変更 Brad LightcapはOpenAIのCOOとして事業運営全般を統括してきたが、今回の再編で「特別プロジェクト」担当という新たな役割に移行する。特別プロジェクトでは「社内の複雑な取引や投資」を主導するほか、プライベートエクイティ企業との合弁事業を通じた企業向けソフトウェア販売の推進を担当するとされている。 Fidji Simoは神経免疫疾患である体位性頻脈症候群（POTS）の再発に伴い、数週間の医療休暇を取得することを発表した。Simoはかつてメタ（Meta）でFacebookアプリのトップを務めた後、Instacart CEOを経てOpenAIに入社し、アプリケーション部門CEO（CEO of Applications）として製品全般を統括してきた。休暇中はOpenAI共同創設者兼社長のGreg Brockmanがプロダクトチームを統括する。 CMOのKate Rouchは癌治療への専念を理由に一時的な離任を選択した。OpenAIは健康が回復した際の復帰を想定しており、同社が個人の事情に対して柔軟な対応を取っていることが示されている。 背景と今後の展望 OpenAIは近年、ChatGPTの急速な普及やGPT-4oをはじめとするモデルのリリースにより、事業規模が劇的に拡大した。従業員数や事業部門の増加に伴い、組織構造の最適化が継続的な課題となっている。今回の幹部人事刷新は、変化する事業ニーズに対応するための戦略的な再配置と見られており、OpenAIが今後も経営陣レベルでの柔軟な組織変更を続けていく姿勢を示している。

概要 2026年4月1日、SolanaベースのDeFiプラットフォーム「Drift Protocol」が大規模なサイバー攻撃を受け、約2億8,500万ドル（約285億円相当）の暗号資産が流出した。被害はわずか12分間・31回の引き出しトランザクションで完結しており、2026年最大かつSolana史上2番目の規模のDeFiハックとなった。ブロックチェーン分析会社のEllipticとTRM Labsは、本攻撃を北朝鮮（DPRK）国家支援ハッカーグループによる2026年18件目の関与事例として特定した。Driftは即座に全ての入出金を停止し、$DRIFTトークン価格は40%近く暴落、プラットフォームのTVL（Total Value Locked）は55%超減少して550百万ドルから250百万ドル以下に急落した。 攻撃の全容——数週間にわたる周到な準備 攻撃は即興ではなく、数週間にわたって綿密に準備された。3月11日、攻撃者はTornado Cashから10ETHを引き出して資金を調達。翌12日には偽トークン「CarbonVote Token（CVT）」を7億5,000万ユニット発行し、そのうち80%を自己保有した。Raydiumのプールに500ドル程度の流動性をシードし、ウォッシュトレーディングで約1ドルの価格履歴を人工的に作り上げてDriftのオラクルに正規資産と誤認させた。 3月23〜30日にかけては「Durable Nonce（持続的ノンス）」アカウントを作成し、事前署名済みトランザクションを仕込んだ。Durable Nonceとは、Solanaにおいて通常は1回限りの使い捨てであるトランザクションのノンスを再利用可能にする仕組みで、攻撃者は実行タイミングを自在にコントロールできる状態を準備した。決定的だったのは3月27日にDrift自身がSecurity Councilのマルチシグに対するタイムロック（遅延保護）をゼロに削除したことだ。この運用上の変更が、攻撃の最終フェーズを可能にした。 12分間の流出と資金洗浄 4月1日正午（東部時間）、攻撃者は準備した4つの持続的ノンスアカウントのうち2つをSecurity Councilのマルチシグ署名者に紐付けて一斉に実行した。31回のトランザクションで流出した主な資産は、JLPトークン4,270万枚（約1億5,900万ドル）、Wrapped Bitcoin（1,600万ドル超）、USDC・USDT・SOLなどのステーブルコインおよびネイティブトークン。USDCは計2億3,000万ドル超がCircleのCCTP（Cross-Chain Transfer Protocol）を経由してEthereumブリッジへ送られた。著名なオンチェーン調査者ZachXBTは、Circleが凍結できる6時間の猶予があったにもかかわらず対応せず、盗難USDCのブリッジを許したとして「業界にとっての悪質プレイヤー」と強く批判した。 業界への影響と今後のセキュリティ対策 本攻撃が示したのは、DeFiの脆弱性のパラダイムシフトだ。LedgerのCTO Charles Guillemetは「攻撃はスマートコントラクト自体ではなく、人的・運用レイヤーを標的にしている」と指摘。Trail of Bits（2022年）やClawSecure（2026年2月）による複数の監査を通過していたにもかかわらず防げなかったことから、「分散化の幻想」への批判がコミュニティで噴出した。Solana Foundationのリリー・リューは「これはSolanaネットワーク全体の問題ではなく、アプリケーション固有の障害」とフレーミングした。 再発防止策として、管理者アクションへのハードウェア署名義務化、ガバナンス変更への24〜48時間タイムロックの業界標準化、単独否決権を持つGuardianティアの設置、Squadsなど不変マルチシグソリューションの採用拡大といった対策が業界全体で議論されている。2025年のBybitハックとの類似性も指摘されており、北朝鮮系ハッカーがコードの脆弱性よりも運用セキュリティの隙を狙う戦術に移行していることが改めて浮き彫りになった。

概要 2026年3月、.NETエコシステムはメジャーリリースサイクル外にもかかわらず非常に活発な動きを見せた。中心となるのは**.NET 11 Preview 2**のリリースで、ランタイムの非同期処理改善、ASP.NET Coreへのネイティブ OpenTelemetryサポート、Kestrelの大幅なスループット向上など多岐にわたる機能強化が含まれている。加えて、C# 15の注目機能であるUnion Types、Entity Framework Core 11の進捗、Aspire 13.2のリリースもこの月のハイライトとなった。 ランタイムとASP.NET Coreの強化 Preview 2ではRuntime Async機能の開発が継続されており、非同期処理の仕組みをコンパイラが生成するステートマシンからランタイム側へ移行することで、スタックトレースの改善とオーバーヘッドの削減が実現される。JITの改善としては、境界チェックの除去、冗長なcheckedコンテキストの削除、新しいArm SVE2 intrinsics、キャッシュされたインターフェースディスパッチなどが追加された。 ASP.NET Coreでは、別途計装ライブラリを必要とせずMicrosoft.AspNetCoreアクティビティソースを直接購読できるネイティブ OpenTelemetryトレーシングが導入された。Kestrelでは不正なHTTPリクエストを例外なしで処理するコードパスが追加され、該当シナリオで最大20〜40%のスループット改善が報告されている。Blazor SSRではTempDataサポートによりPOST-Redirect-GETパターンが利用可能になり、WebAssembly向けの.NET Web Workerプロジェクトテンプレートも追加された。 C# 15 Union Typesと言語機能 C# 15の目玉機能として注目を集めるUnion Typesは、public union Pet(Cat, Dog, Bird);という簡潔な構文で1-of-Nの値を型安全に表現できる。各ケース型からの暗黙の変換、コンパイラによる網羅的なswitchの強制など、従来のDiscriminated Unionsパターンを言語レベルでサポートする。コンパイラがケースの見落としを防ぐため、構文的な便利機能にとどまらず本番環境で実用できる堅牢な機能として設計されている。 EF Core 11、Aspire 13.2、その他のアップデート EF Core 11ではMaxByAsyncとMinByAsyncが直接SQLに変換されるようになり、従来のOrderByDescending(...).First()といった回避策が不要になった。SQL ServerでのDiskANNベクターインデックスとVECTOR_SEARCH()サポートも追加され、専用のベクターデータベースなしに既存のSQL Server上でセマンティック検索やRAG型検索が実現できる。 Aspire 13.2はAspire Confで公開され、1,100件以上のIssueをクローズする大規模アップデートとなった。AIコーディングエージェントを意識した設計が取り入れられており、aspire startやaspire stopなど充実したCLIコマンドでエージェントによる環境管理が可能になった。TypeScript AppHostの追加により、.NET SDKを必要とせずTypeScriptだけでAspireのオーケストレーションが行えるようになった点も注目される。また、Rider 2026.1安定版はASM Viewer、ファイルベースのC#プログラム実行、混合モードデバッグ、C# 15の早期サポートなどを提供している。 今後の展望 Runtime Asyncや Union Typesといった大型機能はまだプレビュー段階にあり、.NET 11の正式リリースに向けてさらなる改良が続く見込みだ。3月には緊急パッチ（.NET 10.0.5）がわずか2日で対応された事例もあり、チームの迅速な対応力も改めて示された。開発者コミュニティにとっては、C# 15の型システム強化と観測可能性（OpenTelemetry）の標準化が特に実用面での恩恵をもたらしそうだ。

概要 AWSは2026年4月6日より、Amazon S3のカスタマー提供キーによるサーバーサイド暗号化（SSE-C）を新規バケットに対してデフォルトで無効化する。さらに、AWSアカウント内にSSE-Cで暗号化されたオブジェクトが存在しない既存バケットも同様の変更対象となる。一方、SSE-C暗号化オブジェクトを保有するバケットは引き続きSSE-Cをサポートし続けるため、現行の運用に即座の影響はない。この変更は4月6日以降、数週間かけて全AWSリージョンへ展開される予定だ。 技術的な変更内容 変更後、新規バケットの GetBucketEncryption APIレスポンスには BlockedEncryptionTypes に SSE-C が含まれるようになる。SSE-Cが無効化されたバケットへSSE-Cを指定してオブジェクトをアップロードしようとすると、HTTP 403 Access Deniedエラーが返される。 SSE-Cが必要なバケットでは、s3:PutEncryptionConfiguration 権限を持つユーザーが PutBucketEncryption APIを呼び出してSSE-Cを明示的に有効化する必要がある。既存のCloudFormationテンプレートや自動化スクリプトがSSE-Cを前提としている場合は、事前に設定の見直しが求められる。 背景：SSE-CからSSE-KMSへ SSE-Cは2014年6月にAmazon S3へ追加された機能で、顧客が暗号化キーを自分で管理できる仕組みとして提供された。しかし同年11月にAWS Key Management Service（AWS KMS）がリリースされて以降、SSE-Cの実用的な優位性は薄れてきた。 AWS KMSを使うSSE-KMSでは、きめ細かなIAMポリシーによるキーへのアクセス制御や、AWS CloudTrailによるキー操作ログの取得が可能だ。また、データを読み書きするユーザー・ロール・AWSサービスに対して、実際のキーを渡すことなくアクセス権を付与・剥奪できる。一方SSE-Cでは、S3がキーを保存しない設計上、SSE-C暗号化データへアクセスするたびに暗号化キーを都度提供しなければならず、複数のユーザーやサービスとの共有が現実的ではない。現在すでに数十万の顧客がSSE-KMSを採用しており、AWSは今回の変更を通じて暗号化オプションをより分かりやすく整理する狙いがあるとしている。 SSE-KMSで対応できないケースへの対処 Parquetファイル内の特定のカラムチャンクを異なるキーで暗号化するなど、SSE-KMSでは実現できない高度な要件がある場合は、クライアントサイド暗号化の活用が推奨されている。AWSはオープンソースの AWS Encryption SDK および S3 Encryption Client ライブラリを提供しており、AWS KMSや独自のキー管理ソリューションと組み合わせて利用できる。現在SSE-Cを使用しているかどうかは、CloudTrailによるアクセス監査やS3 Inventoryレポートのクエリで確認可能だ。

概要 Ciscoは2026年4月1〜2日、Integrated Management Controller（IMC）にCVSSベーススコア9.8の重大な認証バイパス脆弱性（CVE-2026-20093）が存在することを公表し、対処するパッチをリリースした。CVSSベクター CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H が示す通り、ネットワーク越しに低い攻撃複雑度で、認証も利用者操作も不要で悪用できる最高水準の危険度を持つ。 脆弱性はIMCのウェブ管理インターフェースにおけるパスワード変更リクエストの**不適切な入力検証（CWE-20）**に起因する。攻撃者は細工したHTTPリクエストを送信するだけで認証を完全に回避し、管理者アカウントを含む任意ユーザーのパスワードを変更した上でシステムへのフルアクセスを取得できる。Ciscoは公式声明で「攻撃者は認証をバイパスし、管理者ユーザーを含むシステム上の任意ユーザーのパスワードを変更してそのユーザーとしてシステムへアクセスできる」と述べている。 なぜ特に危険なのか IMC（別名CIMC）はHPのiLOやDellのiDRACに相当するCiscoのアウトオブバンドサーバー管理コントローラーである。ホストOSとは独立して動作するため、サーバーOSの電源がオフの状態でも攻撃が成立する。このレイヤーを侵害された場合、EDRやSIEM、OSレベルのセキュリティ対策はほぼ無力化され、ハードウェアへの永続的かつ深いアクセスを攻撃者に与えることになる。 SOCRadarのCISOであるEnsar Seker氏は「このレベルでの認証バイパスは、攻撃者にハードウェア自体の完全な管理権限を渡すことに等しい」とコメントしている。過去にはHPE iLOを標的としたiLOBleedインプラント（2022年）やIPMIインターフェースを狙ったJungleSecランサムウェア（2018年）など、アウトオブバンド管理インターフェースへの攻撃が現実の被害を生じさせた前例がある。 影響を受ける製品とパッチバージョン 以下の製品が影響を受ける（括弧内は修正済みバージョン）： 5000シリーズ ENCS（Enterprise Network Compute Systems） — 4.15.5以降 Catalyst 8300シリーズ Edge uCPE — 4.18.3以降 UCS C-Series M5・M6ラックサーバー（スタンドアロンモード） — 4.3(2.260007)、4.3(6.260017)、または6.0(1.250174)以降 UCS E-Series M3サーバー — 3.2.17以降 UCS E-Series M6サーバー — 4.15.3以降 また、UCS C-Seriesハードウェアをベースとした以下のCiscoアプライアンスも影響を受ける：Application Policy Infrastructure Controller（APIC）サーバー、Cyber Vision Centerアプライアンス、Secure Firewall Management Centerアプライアンス、Malware Analyticsアプライアンス。 対応と推奨事項 Ciscoはこの脆弱性に対してワークアラウンドは存在しないと明言しており、唯一の対策はパッチ適用済みバージョンへのアップグレードである。ネットワークレベルの緩和策も効果がないとされるため、影響を受ける製品を利用している組織は即時のアップグレードが強く推奨される。 なお、同じCiscoのアドバイザリ群では、Cisco Smart Software Manager（SSM）On-Premにも同じくCVSS 9.8のCVE-2026-20160が修正されており、こちらは未認証のリモートコード実行が可能な内部API露出に起因する。現時点では野生での悪用やPoC公開の報告はないが、Cisco脆弱性の迅速な武器化という過去の傾向から、Cisco PSIRTは即時パッチ適用を強く勧告している。本脆弱性はセキュリティ研究者「jyh」によって発見・報告された。

概要 2026年3月、GoogleのThreat Intelligence Group（GTIG）、Lookout、iVerifyの研究者が協力し、iOS向けの高度なエクスプロイトキット「DarkSword」を公表した。このマルウェアは少なくとも2025年11月から活動を確認されており、iOS 18.4〜18.7を搭載した未パッチのiPhoneを標的にする。ウォレータホール攻撃（水飲み場攻撃）と呼ばれる手法で、正規の侵害済みWebサイトを経由して配布され、ユーザーがアプリをインストールしたりリンクをクリックしたりしなくても、脆弱なiPhoneで該当サイトを訪れるだけで感染が成立する点が特に危険視されている。 Appleはすべての対象バージョンにパッチを提供済みで、iOS 15〜26向けにセキュリティアップデートを展開。しかし推定2億2,000万〜2億7,000万台のiPhoneが依然としてiOS 18系の未パッチ状態のまま残っているとされており、広範なリスクが続いている。 攻撃の仕組みと技術的詳細 DarkSwordは6つのCVE（CVE-2025-31277、CVE-2025-43529、CVE-2026-20700、CVE-2025-14174、CVE-2025-43510、CVE-2025-43520）を連鎖的に悪用する多段階のエクスプロイトチェーンで構成される。 攻撃はstatic[.]cdncounter[.]netから読み込まれるJavaScriptによるデバイスフィンガープリンティングから始まる。続いてSafariのJavaScriptCore JIT脆弱性を悪用してリモートコード実行（RCE）を達成し、GPUプロセスを経由してサンドボックスを脱出、さらにXNUカーネルのAppleM2ScalerCSCDriverを標的にした特権昇格を行うことでカーネルレベルのアクセス権を確立する。メインオーケストレーターコンポーネントpe_main.jsが各段階を制御し、JavaScriptエンジンをiOSの特権サービスに注入する仕組みとなっている。 暗号資産ウォレットへの脅威 侵害後は「GHOSTBLADE」と呼ばれるモジュールが展開され、以下の機密データを組織的に窃取する。 暗号資産ウォレット: Coinbase、Binance、Kraken、KuCoin、OKX、Mexcなど主要取引所のアプリ、およびLedger、Trezor、MetaMask、Exodus、Uniswap、Phantom、Gnosis Safeなどウォレットアプリのデータ（30以上のアプリに対応） キーチェーンデータ: パスワード、Wi-Fiパスワード、ネットワーク設定 メッセージ: SMS、Telegram、WhatsAppのデータベース その他: ブラウザ履歴、連絡先、位置情報履歴、写真、デバイス識別子 データ窃取が完了すると、DarkSwordは自ら一時ファイルや悪意あるプロセスを削除して痕跡を消去する自己クリーンアップ機能を持ち、フォレンジック調査を困難にしている。 地政学的背景と攻撃者 DarkSwordは国家レベルの攻撃者を含む複数の脅威アクターによって使用されており、ロシアの諜報機関と関連するとされるUNC6353グループによるウクライナユーザーへの攻撃が確認されている。そのほか、サウジアラビア、トルコ、マレーシアでの攻撃も観測されており、アジア太平洋地域を含む広範な地域に脅威が及んでいる。 推奨される対策 Appleは脆弱なすべてのiOSバージョンに対してパッチを提供済みであるため、即座にiOSを最新版に更新することが最善の対策となる。iOS 17以降はメモリ整合性強制（Memory Integrity Enforcement）機能が標準搭載されており、エクスプロイトの成功を困難にする。また、ロックダウンモードを有効化することで追加の保護が得られるとされている。暗号資産を保有するユーザーは、端末の更新とともに重要な秘密鍵をハードウェアウォレットへ移行するなどの対策も検討すべきだ。

概要 2026年3月31日、Kotlin 2.4.0-Beta1がリリースされた。今回のリリースでは、言語機能・標準ライブラリ・Kotlin/JVM・Kotlin/Native・コンパイラの各分野にわたる改善が行われている。最大のハイライトは、Kotlin 2.2.0で実験的機能として導入されたコンテキストパラメーターが正式に安定化（Stable）されたことだ。ただし、コンテキスト引数（context arguments）とcallable referencesについては引き続き安定版ではない。 言語機能の強化 コンテキストパラメーターの安定化に加え、アノテーションのuse-siteターゲットに関する機能群も安定化された。また、実験的機能として「明示的コンテキスト引数（Explicit context arguments）」が追加された。Kotlin 2.3.20でのオーバーロード解決の変更により、コンテキストパラメーターだけが異なる複数のオーバーロードが曖昧になる問題が発生していたが、この新機能により呼び出し側で明示的にコンテキストを指定することで解消できるようになった。この機能はコンパイラフラグ -Xexplicit-context-arguments で有効化できる。 標準ライブラリの新API 標準ライブラリには2つの安定版APIが追加された。1つ目は、JVM向けに UInt.toBigInteger() と ULong.toBigInteger() の拡張関数が追加されたことで、文字列を経由するワークアラウンドなしに符号なし整数を BigInteger へ直接変換できるようになった。2つ目は、ソート順の検証をサポートする拡張関数群（isSorted()・isSortedDescending()・isSortedWith()・isSortedBy()・isSortedByDescending()）で、イテラブル・配列・シーケンスに対応し、最初の順序違反を検出した時点で処理を短絡するため効率的だ。 Kotlin/JVMとKotlin/Nativeの改善 Kotlin/JVMでは、Java 26バイトコードをターゲットとしたクラスファイルの生成がサポートされた。また、Kotlin 2.2.0で導入されたKotlinメタデータへのアノテーション書き込み機能がデフォルト有効化され、アノテーションプロセッサーやツールがリフレクションやソースコード変更なしにアノテーション情報にアクセスできるようになった。Kotlin/Nativeでは、Swift PackageをGradle依存関係として宣言できる実験的機能が追加された。これにより、Kotlin Multiplatformプロジェクトのビルドスクリプト内で直接FirebaseなどのiOS向けライブラリを指定できるようになり、CocoaPodsからの移行ガイドも提供されている。 コンパイラの改善：klibのインライン化挙動が統一 Kotlin/Native・Kotlin/JS・Kotlin/Wasmでの .klib コンパイル時のインライン化挙動が改善された。従来これらのターゲットでは、インライン関数の展開はバイナリ生成時のみ行われていたが、今回から同一モジュール内のインライン関数については .klib コンパイル段階でもインライン化されるようになった（クロスモジュールのインライン化は引き続きバイナリ生成時）。これにより、Kotlin/JVMでのインライン化挙動との統一に向けた第一歩となる。問題が発生した場合は -Xklib-ir-inliner=disabled で無効化でき、将来リリース予定のフルクロスモジュールインライン化は -Xklib-ir-inliner=full でプレビューできる。

概要 Microsoftは2026年4月2日、AI部門「Microsoft AI（MAI）」が独自開発した3つの基盤モデルをMicrosoft Foundryで公開プレビュー開始した。音声認識モデル「MAI-Transcribe-1」、音声合成モデル「MAI-Voice-1」、テキスト画像生成モデル「MAI-Image-2」の3種で、いずれもすでにCopilot・Bing・PowerPointなど自社製品で実運用されてきたモデルを外部向けに開放する形となっている。MAI部門はMustafa Suleyman CEOの下で約6か月前に発足した組織であり、OpenAIやGoogleへの依存を減らしながらエンタープライズAI市場での自立と競争力強化を図る「AI自給自足」戦略の一環として今回の発表が位置づけられている。 各モデルの性能と技術仕様 MAI-Transcribe-1（音声認識）は25言語に対応した音声文字起こしモデルで、FLEURSベンチマークの上位25言語における平均単語誤り率（WER）3.8%を達成。OpenAIのWhisper-large-v3を全25言語で上回り、GoogleのGemini 3.1 Flashは25言語中22言語で超える。従来のAzure Fast比で2.5倍高速かつGPUコストを約50%削減しており、価格は$0.36/時間（音声）から。IVRシステム・コールセンターのリアルタイム文字起こしや、ライブキャプション・メディア字幕自動化などの用途を想定している。 MAI-Voice-1（音声合成）は単一GPUで60秒分の高品質音声を1秒以内に生成できる高効率アーキテクチャを採用。10秒の音声サンプルからカスタムボイスを作成できる「Personal Voice」機能を備え、責任あるAIポリシーに基づく承認プロセスを経て利用可能。CopilotのVoice機能やポッドキャスト生成機能をすでに駆動しており、価格は$22/100万文字から。 MAI-Image-2（テキスト画像生成）はMicrosoftの最高性能テキスト画像モデルで、Arena.aiのリーダーボードで画像モデルファミリー部門3位にデビュー。写実的な画像生成に加え、画像内テキストのレンダリング精度と複雑なレイアウト対応を強みとする。WPP（大手マーケティング企業）がキャンペーン向けクリエイティブワークフローの自動化に採用しており、価格はテキスト入力$5/100万トークン、画像出力$33/100万トークン。 戦略的背景と今後の展望 これらモデルはMicrosoft Foundryおよび新設された「MAI Playground」を通じて即日アクセス可能となっており、開発者はAPIを通じた本番統合も可能だ。MAI-Transcribe-1とMAI-Voice-1を言語モデルと組み合わせることで、音声エージェントの構築も実現できるとMicrosoftは説明している。今回の発表はOpenAIとの長年のパートナーシップを維持しながらも、モデル調達の多様化を図るMicrosoftの方針転換を象徴するものとして業界から注目されている。CohereやMistralなどオープンソース勢も音声認識分野で競合性能を持つモデルを投入しており、基盤モデル市場の競争はさらに激化する見通しだ。