今週(5/4〜5/10)はWordPress 7.0の目玉機能が直前で削除されるサプライズと、AIで作ったアプリが大規模なデータ漏洩を引き起こしているというセキュリティ警告が重なった週でした。CSSはスクワークルを実現する corner-shape の話題が盛り上がっています。
WordPress 7.0 RC3 公開 — 目玉の「リアルタイム共同編集」が直前削除
5月8日にWordPress 7.0のRC3が公開されましたが、同日にもう一つの大きな発表がありました。Matt Mullenweg氏が、今回の最大の目玉機能だったリアルタイム共同編集(RTC)の削除を発表したのです。
出典: WordPress.org News — RC3 / Make WordPress Core — RTC removed
削除の理由はレース条件、サーバー負荷、メモリ効率、ファズテストで繰り返し発生するバグ。共有ホスティング環境でのバックグラウンド同期が深刻なサーバー負荷を引き起こすことも判明しており、「あと1〜2ヶ月のパッチでは解決できない」と判断されました。7.0のRC4以降はRTCのコードそのものが除去され、7.1サイクルで再検討となります。
7.0に残る機能は新ブロック(パンくず・アイコン)、グリッドのレスポンシブ化、Web Client AI APIなど。5/20のリリース日は変わらず。
RTCがなくなったことで7.0のインパクトはかなり薄まりましたが、逆に「安定性優先」という判断は現場としてはありがたい面もあります。共有ホスト上の案件が多い場合は特に、RC3で明らかになったことを頭に入れてアップデート計画を立てたいところです。
💡 今すぐ試せる: 担当サイトのホスティング環境を確認し、WordPress 7.0対応の互換テストをステージング環境で予定しておく
バイブコーディングの落とし穴 — AIアプリ38万件で情報漏洩が発覚
イスラエルのサイバーセキュリティ企業RedAccessが、AIコーディングツールで作られた38万件以上のアプリを調査したところ、約5,000件以上が医療記録・金融情報・社内ビジネスデータなどの機密情報を公開状態でウェブ上に晒していることが判明しました。
出典: Axios — AI vibe coding privacy / eWeek
Lovable・Replit・Base44・Netlifyといったプラットフォームが対象で、デフォルトで「公開状態」になっているプライバシー設定のまま社内ツールを構築・公開しているケースが多数見つかりました。エンジニアリング・セキュリティのトレーニングを受けていない社員がAIツールで内部ツールをそのまま公開してしまうというパターンが根本原因です。
実際に確認された漏洩例には、どの船がどの港に向かうかを示す輸送会社の内部情報、ブラジルの銀行の財務情報、キャビネットサプライヤーの顧客名・連絡先入りのカスタマーサービスログなどがあります。
「バイブコーディング」でプロトタイプを素早く作れる時代になった一方で、セキュリティとアクセス制御の設計は人間が責任を持たなければいけない、という当たり前のことを改めて突きつけられた事件です。クライアントに内部ツールの作成を提案する際は、公開範囲の設定を最初の確認事項に入れておきたいですね。
💡 今すぐ試せる: 過去にAIツールで作成・公開したプロトタイプのアクセス設定を確認し、不要なら非公開に切り替える
CSS `corner-shape` Chrome 139で正式サポート — スクワークルがCSSだけで描ける
border-radius の「形状そのもの」を変えられる新プロパティ corner-shape が、Chrome 139でサポートが始まりました。
出典: MDN — corner-shape / Smashing Magazine
corner-shape は border-radius の数値はそのままに、角の「曲線の種類」だけを変えられます。指定できる値は以下の4種:
- round: 従来のborder-radiusそのまま(デフォルト)
- squircle: iOSアイコンやApple製品で使われる超楕円カーブ
- notch: 角を直線的にカットしたデザイン
- scoop: 内向きにへこんだ凹型コーナー
.card {
border-radius: 24px;
corner-shape: squircle; /* これだけでiOSアイコン風の角に */
}See the Pen CSS corner-shape デモ — squircle / notch / scoop by BaseKENT (@basekent) on CodePen.
現在はChrome 139+のみ対応で、Firefox・Safariは未対応。@supports not (corner-shape: squircle) でのフォールバックが必須ですが、フォールバックは従来の border-radius がそのまま機能するので追加実装コストは低めです。Appleが自社デザインで多用しているだけにWebKit対応も近いと見られています。
「border-radiusはあるのになぜかiOSアイコンっぽくならない」という悩みがこれで解消されます。squircleは見た目の印象が柔らかく上品になるので、制作物の質感を一段上げるのに使いたい機能です。
💡 今すぐ試せる: Chrome 139以降を開き、DevToolsで corner-shape: squircle をボタン要素に追加して見た目の変化を確認する
Figma FigJam × MCPアップデート — コーディングエージェントから図解を直接生成できるように
FigmaのMCPサーバーが大幅アップデートされ、Claude Code・Cursor・GitHub CopilotなどのコーディングエージェントからFigJamにアーキテクチャ図やER図を直接生成できるようになりました。
出典: Figma Blog — FigJam Your Coding Agent’s Whiteboard
一言でまとめると「コーディングエージェントとデザインツールがMCPで直結した」アップデートです。 具体的には以下の3点が変わりました。
generate_diagram ツールが更新され、データベースの関係性に対応したコネクタタイプが追加。コードベースやドキュメントを読み込んでER図・アーキテクチャ図を自動生成できます。Mermaid.jsコードをFigJamキャンバスに直接ペーストしてレンダリングすることも可能になりました。
また generate-project-plan スキルでは、会話・ドキュメント・コードベースを視覚的なプロジェクトボードに変換できます。
設計フェーズでコーディングエージェントとFigJamを行き来する手間がなくなるのは地味に大きいです。「ER図はコードから自動生成して、デザインチームとはFigJamで共有」というフローが自然に成立するようになってきました。
💡 今すぐ試せる: Claude CodeまたはCursorのMCP設定にFigma MCPサーバーを追加し、generate_diagram でサンプルのアーキテクチャ図を生成してみる
Remix 3 ベータ公開 — React と決別したフルスタックフレームワーク
4月30日にRemix 3のベータプレビューが公開されました。最大のポイントは、Reactへの依存を完全に取り除いたことです。
出典: Remix Blog — Remix 3 Beta Preview
Remix 3はReact Routerに吸収される形でRemix 2が実質消えていた流れを経て、Reactとは独立した「Webスタンダードファースト」のフルスタックフレームワークとして再設計されました。ルーティング・ミドルウェア・セッション・認証・フォーム・アップロード・DB管理・UIコンポーネントまでをひとつのエコシステムで提供します。
思想の柱は「Model-First Development」(AIがヒューマン・コンピューター・インタラクションを変えていく時代に対応した設計)と「Web APIs上に構築」(ブラウザ標準を最大限活用)。インストールは npx remix@next new my-app から始められます。
Reactなしで本番フルスタックアプリを作れるフレームワークが実際に動き始めた、というのはひとつの転換点かもしれません。まだベータなので即採用はできませんが、「Reactが唯一の選択肢ではない」という2026年のフロントエンドの空気感を象徴するリリースです。
💡 今すぐ試せる: npx remix@next new でサンドボックスプロジェクトを作り、ルーティングの設計を触ってみる(本番採用はRC以降推奨)
Google「Preferred Sources」グローバルロールアウト — 好みのサイトを検索結果で優先表示
Googleが「Preferred Sources(優先ソース)」機能のグローバルロールアウトを開始しました。ユーザーが信頼するウェブサイトをマークしておくと、Google検索でそのサイトの記事を優先的に表示する機能です。
出典: Numinix — May 2026 SEO Updates
個人が好みのメディアや専門家ブログを登録できるため、検索結果に「ユーザーごとのパーソナライズ層」が加わります。大手メディアだけでなく、特定ユーザーに深く刺さっている小規模メディアが、そのユーザーの検索結果では上位に出やすくなる可能性があります(全体SEOへの影響は現時点では未確認)。
「専門性の高いコンテンツを出し続けることで、読者に優先ソースとして登録してもらう」という戦略が生まれました。量を出すより、特定の読者層にとって「これだけ読めばいい」と思われるメディアであることが、SEO上の意味を持つようになってきます。メディア運営の方向性を考え直すタイミングかもしれません。
💡 今すぐ試せる: Google Search の設定(自分のアカウント)でPreferred Sources機能を探し、信頼しているサイトを数件登録して挙動を確認する
今週のひとこと
今週を2本に絞るなら「バイブコーディングのセキュリティ問題」と「WordPress 7.0のRTC削除」です。前者は今後のクライアント提案に直接影響し、後者は5/20リリース前の準備に関わります。WordPress 7.0が機能縮小で着地しそうなことよりも、バイブコーディングアプリの情報漏洩問題の方が長期的に影響が大きいかもしれません。「AIで速く作れる」が普及した分、「セキュリティを誰が担保するか」がWeb制作者の価値になっていく気がします。来週はいよいよGoogle I/O 2026(5/19〜20)が迫ってきます。
