1. iTerm2に任意のコード実行が可能な脆弱性が発見される
iTerm2において、悪意のあるファイルの内容をターミナルに出力するだけで任意のコードが実行される脆弱性が公開されました。`cat`コマンドなどでファイルを表示する際、ターミナルのエスケープシーケンスを介してSSH統合機能を悪用し、偽のリモートスクリプトと通信させる仕組みです。修正パッチはリポジトリにコミットされていますが、安定版にはまだ反映されていません。アップデートが普及するまで、信頼できないファイルの内容を表示する際は注意が必要です。
2. Anthropicが「Claude Design」をリリース、UIやWebデザインの生成が可能に
Anthropicは、最新のビジョンモデル「Claude Opus 4.7」を搭載した専用アプリケーション「Claude Design」を公開しました。テキストプロンプトとインライン編集により、UIプロトタイプやWebサイトのデザイン、プレゼンテーション資料を生成できます。作成したデザインは標準形式でエクスポートできるほか、パッケージ化して「Claude Code」に渡し、そのまま実装へ進めることも可能です。現在はPro、Max、Team、Enterpriseの各プラン向けに順次提供されています。
3. Qwenチームが視覚と言語に対応した「Qwen3.6-35B-A3B」をオープンソースで公開
Qwenチームは、総パラメータ数350億、アクティブパラメータ数30億のスパースMixture-of-Experts(MoE)型ビジョン言語モデル「Qwen3.6-35B-A3B」を公開しました。このモデルはエージェント的なコーディング能力を備え、GSM8Kなどのベンチマークで高いスコアを記録しています。あわせてRed Hat AIが、LLM Compressorを用いたNVFP4量子化版をリリースしており、ローカルやクラウドでの効率的なデプロイが可能です。
4. ポータブルな仮想マシンを管理するCLIツール「Smol machines」が登場
カスタムLinux仮想マシンをローカルで管理・実行できる新しいCLIツール「Smol machines」がリリースされました。1秒未満のコールドスタートを実現し、ステートフルな仮想マシンを単一のポータブルなファイルとしてパッケージ化できます。DockerデーモンなしでmacOSやLinux上で動作し、ハードウェアレベルで隔離されたサンドボックス環境を提供するため、AIが生成した未検証のコードを安全に実行するのに適しています。また、virtio ballooningによる動的なメモリ割り当てでホストのリソース消費を最小限に抑えます。
5. NISTが脆弱性情報の付与方針を変更、優先度の高いCVEに限定へ
米国立標準技術研究所(NIST)は、脆弱性データベース(NVD)におけるメタデータの付与対象を、優先度の高いセキュリティ欠陥のみに制限すると発表しました。今後はCISAの「悪用が確認済みの脆弱性(KEV)」カタログ掲載分や、連邦政府機関が使用するソフトウェア、OSやファイアウォールなどの重要ソフトのみが対象となります。この方針転換により、数千件の低優先度脆弱性に詳細情報が付与されなくなるため、自動スキャンツールを利用している開発者はセキュリティパイプラインの調整が必要になる可能性があります。
6. 「Windsurf 2.0」がリリース、Devinとの統合やエージェント管理機能を搭載
次世代エディタのWindsurf 2.0が公開され、新たに「Agent Command Center」と自律型エンジニアリングエージェント「Devin」とのネイティブ統合が導入されました。カンバン形式のインターフェースでローカルおよびクラウドのエージェントセッションを管理し、進捗の追跡やタスクの解除が可能です。ユーザーはエディタから直接、複雑なデバッグやテスト、デプロイのワークフローをクラウド上のDevinに委託できるようになります。Devinへのアクセスは全プランに含まれ、順次ロールアウトされています。
7. NanoClawとVercel、AIエージェント向けの承認・ポリシー管理ツールを公開
NanoCoとVercelは、自律型AIエージェントのための標準化されたインフラレベルの承認システムを共同でリリースしました。エージェントに生のAPIキーや広範な権限を直接与える代わりに、構造化されたポリシー設定と承認ダイアログを導入するフレームワークです。15種類のメッセージングアプリと連携し、クラウドインフラ管理などのタスクを安全に実行できます。これにより、エージェントを制限されたサンドボックスから本番環境へと安全に移行させる道が開かれます。
8. Fish Audioが音声合成モデル「S2 Pro」を公開、感情表現の制御に対応
Fish Audioは、マルチスピーカーおよびマルチターンの生成に対応した新しいオープンウェイトの音声合成モデル「S2 Pro」をリリースしました。自然言語タグ([whisper]や[laughing]など)を使用して、韻律や感情をインラインで制御できるのが特徴です。処理速度は毎秒51文字で、ホスト型APIが提供されるほか、Hugging Faceで公開されているウェイトと微調整用コードを使用してセルフホストすることも可能です。
9. Perplexityが「Personal Computer」プラットフォームを発表、OSレベルの操作を自動化
Perplexityは、複雑なワークフローをOSレベルでオーケストレートするAIプラットフォーム「Personal Computer」の展開を開始しました。ローカルファイル、ネイティブアプリ、Web検索を統合し、推論パスを自律的に評価して多段階の目標を達成します。操作は監査可能なアクションと強制停止スイッチを備えた安全なサンドボックス環境で実行されます。現在はPerplexity Maxサブスクライバー向けに限定公開されており、Mac mini環境に最適化されています。