今週は「ついに来る」と「すでに起きている」が混在した週でした。WordPress 7.0の正式リリースが1週間後に迫り、Googleがオープンモデルの新世代をApache 2.0ライセンスで投下。開発ツールの進化が加速する一方で、AIコードのセキュリティリスクに関する研究が警鐘を鳴らし始めています。
WordPress 7.0 正式リリースまで1週間 — 「CMSのAI標準装備」時代が始まる
4月9日、WordPress 7.0がWordCamp Asiaに合わせて正式リリースされます。RC2まで到達し、いよいよカウントダウンに入りました。
今回の目玉は5つです。AI Connector(OpenAI・Google・Anthropicに対応するAI統合基盤)、Real-Time Collaboration(HTTPポーリング方式の共同編集、初期は2人制限)、Command Palette(⌘K/Ctrl+Kで呼び出せるOmnibar統合)、Visual Revisions(ブロック単位の変更履歴を色分け表示)、そしてIcon Block + SVG API(REST API /wp/v2/icons でSVGアイコンを直接管理)。
実務者として特に注目しているのはAI Connectorです。プラグイン開発者はこれ以降、3社のAIサービスを統一インターフェースで扱えるようになります。「CMSにAIが標準装備される」というのは、「AIを使うかどうか」の話ではなく、「どう使いこなすか」に問いが変わる転換点。7.0以降に作られるプラグインやテーマのエコシステムは、AI前提で設計されていくはずです。
💡 今すぐ試せる: テスト環境にWP 7.0 RC2をインストールして、Command Palette(⌘K)とVisual Revisionsの動作を確認しておく。
Google Gemma 4 — Apache 2.0でローカル実行できる「最先端クラスのオープンモデル」
4月2日、Google DeepMindがGemma 4を発表しました。E2B(小型・実効2.3B)・E4B(中型・実効4.5B)・26B MoE(スパース大型)・31B dense(フル大型)の4モデル構成で、初めてApache 2.0ライセンスを採用しています。
Apache 2.0への変更は商業利用上の制限を大幅に緩和するもので、これまでGemmaを本番環境に投入しにくかった企業にとって選択肢が広がります。全モデルが画像・動画・音声(小型モデルのみ)のマルチモーダルに対応し、高度な推論とエージェントワークフローに最適化されています。
「バイト単位で最も高性能なオープンモデル」とGoogleは謳っています。Hugging Faceに即日公開され、ローカル実行も可能。自前のハードウェアでフロンティア水準のAIが動く選択肢が増えてきました。クラウドAPIに依存しないワークフローを設計したい場合、試す価値は高い。
💡 今すぐ試せる: Hugging FaceでGemma 4の小型モデルをダウンロードしてOllamaで動かし、Claude/GPTとの応答を比較してみる。
Figma Make Kits & Make Attachments — デザインシステムをAIプロトタイピングに接続する
4月2日、Figmaが「Make Kits」と「Make Attachments」をリリースしました。
Make Kitsは、デザインシステムのコンポーネントとコーディングガイドラインをFigma Make(AIプロトタイプ生成機能)に連携させる仕組みです。組織全体に公開でき、AIが既存デザインシステムに沿ったプロトタイプを生成するようになります。Make Attachmentsはプロンプトに既存ファイルを添付できる機能で、PRD・ブランドガイドライン・コード・SVG・動画等を参照させることで、再プロンプトの手間を減らします。
先週のAIエージェントによるキャンバス直接編集と合わせて見ると、Figmaの方向性がはっきりしてきました。「AIが勝手に作る」のではなく、「チームが育てたデザインシステムをAIが理解して作る」。この違いは実務での品質に直結します。Make Kitsを整備したチームほど、AIの出力品質が上がる構造です。
💡 今すぐ試せる: FigmaのMake設定画面でMake Kitsの設定欄を確認し、既存コンポーネントライブラリを接続してみる。
GitHub Copilot エージェントモードがJetBrainsにも正式対応 — 開発ツール選択の壁が下がる
GitHub Copilotのエージェントモードが、これまでのVS Codeに加えてJetBrains製IDEにも正式対応(GA)しました。Java・Kotlin・Pythonの開発者を中心に使用ユーザーが多いJetBrainsへの展開は、エージェントモードの対象範囲を大きく広げます。VS Code以外を使う開発者へも、将来的に選択肢がさらに広がるトレンドです。
あわせてエージェントによるコードレビューも正式化。プロジェクト全体のコンテキストを収集してから修正提案を行い、その提案をコーディングエージェントに直接渡してfix PRを自動生成する流れが整いました。
コードレビューもエージェントに委ねられる時代に入ってきました。「AIに任せる範囲」の議論が、コード生成からレビュープロセスにまで広がっています。人間がレビューすべき「判断が必要な部分」を絞り込む意識が、これから大切になりそうです。
💡 今すぐ試せる: JetBrains IDEのGitHub Copilotプラグインを最新版に更新し、エージェントモードの設定を確認する。
Chrome 2026年4本目の緊急セキュリティパッチ — ゼロデイが悪用された状態で発覚
4月4日、Googleがまた緊急パッチを公開しました。CVE-2026-5281(深刻度:高)と番号付けされたこの脆弱性は、WebGPU実装のDawnにおけるuse-after-freeバグで、すでに野放しで悪用が確認された状態での修正となりました。
2026年に入ってから、これで4本目の緊急セキュリティパッチです。高深刻度の脆弱性が立て続けに発覚・悪用される状況は続いており、Chrome 147(4月7日リリース)では21件の脆弱性修正が含まれています。
「知らないうちに古いChromeを使っている」が一番リスクの高い状態です。自動更新が有効であれば対処されますが、社内環境やCI/CDのヘッドレスブラウザが古いまま放置されていないか確認したい。WebGPUは高性能なグラフィックスAPIとして活用が広がっているだけに、同類の攻撃面への注目は続くと思います。
💡 今すぐ試せる: ChromeでHelp → About Google Chromeを開き、最新版(147以降)に更新されていることを確認する。
「バイブコーディング」のセキュリティリスク — AI生成コードの脆弱性問題が実証研究に
AIに自然言語で指示してコードを書かせる「バイブコーディング」の急速な普及に伴い、そのセキュリティリスクを論じる研究が相次いでいます。Harvard Gazetteの記事は「民主化の可能性と責任の問題が同時に浮上している」と指摘。Checkmarxの実証研究では、5つのバイブコーディングツールで生成されたコードから69件の脆弱性(うちクリティカル6件)が発見されています。AIエージェントが生成したコードのうちセキュアだったのは10.5%程度とする研究結果も出ています。
2月には、バイブコーディングで構築されたSNS「Moltbook」でSupabaseのデータベースがパブリック読み書き可能のまま放置されていた事例が発覚。「コードが動く」と「コードが安全」は別の話であることが、改めて可視化されました。
「GitHubに投入されるコードの51%がAI支援」という数字と組み合わせると、問題の規模が見えてきます。バイブコーディングを否定するのではなく、「AIが書いたコードをレビューし、セキュリティを確認する目」を磨くことが実務者に求められています。Cursor/Copilotで生成したコードをそのままcommitする前に、何を確認すべきかを自分なりに決めておきたいところです。
💡 今すぐ試せる: 直近でAIに書かせたコードを1つ選び、OWASP Top 10の観点からセキュリティレビューを手動でやってみる。
今週のひとこと:「動く」と「安全」の間にある責任
WordPress 7.0リリース直前、Gemma 4登場、Copilotのエージェント化拡大——ツールの進化は止まりません。一方でバイブコーディングのセキュリティ研究が示すように、「AIが作れる範囲が広がる」ほど、「人間が確認すべき責任の範囲」も広がっています。便利さと安全性を両立させるワークフローを、自分なりに設計し続ける必要がある週でした。
