AIコーディングツールが収益化、Gemini 3.5 Flash登場、難読化は無力化へ

1. AI — LLMがついに「本業コスト」になった

所要時間: 10分

AnthropicとOpenAIが2026年5月、事業として初めてプロダクトマーケットフィットを確立したとSimon Willisonが指摘しています。象徴的なのは Uber の事例：同社が報告した予想外のLLMコスト急増の大半は、エンジニアによる Claude Code の業務利用が原因でした。個人ツールがいつの間にか組織の主要インフラになっている現実が浮き彫りになっています。

さらに、Anthropicは SpaceXと月額12.5億ドル(約1,850億円) のクラウドサービス契約を2029年5月まで締結。SpaceXの「Colossus」クラスターを推論に使う規模感は、AIインフラが「スタートアップの実験」を超えたことを示しています。

ジュニアエンジニアが今押さえるべき手順

1. コスト可視化: チームのClaude Code/Copilot使用量をダッシュボードで確認する(会社請求書に「AI費用」の行が増えていないか確認)
2. 使用ポリシー確認: 所属組織のAIツール利用規約を読む(特に機密コードの貼り付けに関するルール)
3. プロンプトキャッシュの活用: 同じシステムプロンプトを繰り返すなら cache_control を使いコストを最大90%削減できる
4. モデル使い分け: 重いタスクにはClaude Sonnet/Opus、簡単なタスクにはHaikuを使い分けてコストを抑える
5. 月次レビュー: チームのLLM費用を毎月レビューし、ROI(費用対効果)を上司に説明できるようにする

2. ソフトウェアテクノロジー — Gemini 3.5 FlashとAIエージェント基盤の時代

所要時間: 8分

Google I/Oで発表された Gemini 3.5 Flash が注目を集めています。通常の「-preview」段階を飛ばして即座にGA(一般利用可能)になり、Googleは自社の無料コンシューマ製品群に広く投入する方針。スペックは 最大100万トークンの入力 と65,536トークンの出力に対応し、長文ドキュメントの処理も現実的になりました。

同時に Google Cloud Next '26 では「Gemini Enterprise Agent Platform」が発表されました。AIエージェントをセキュアに構築・統制するための法人向けプラットフォームで、Agent Identity（エージェントに対する権限管理）が4月にGAとなっています。Equifaxなど大企業も採用事例として登場しています。

ジュニアエンジニアが今押さえるべき手順

1. Gemini APIの無料枠を触る: Gemini 3.5 Flashには無料ティアあり。google-generativeai パッケージをインストールして動作確認
2. コンテキストウィンドウを使い倒す: 100万トークン = 約75万単語。ログファイルや長いドキュメントをそのまま渡すユースケースを試す
3. AIエージェントのセキュリティを理解する: Agent Identityはエージェントに「最小権限の原則」を適用する仕組み。IAM的な考え方を学ぶ

3. セキュリティ — 難読化は終わり、AI設定ファイルに新CVE

所要時間: 7分

「難読化はセキュリティではない」— これが2026年の現実です。HackerNewsで大きく話題になった研究で、AIがminified(圧縮・難読化)されたJavaScriptコードを完全に読み解けることが実証されました。webpackやterserで圧縮したフロントエンドコードも、LLMには「普通のコード」に見えます。秘密のロジックをバンドラーで隠す手法は今後通用しません。

同時に、Claude Codeの設定ファイルに関する脆弱性 が報告されています(CVE-2025-59536・CVE-2026-21852)。.claude/settings.json に不正なMCPサーバーや悪意のある hooks が仕込まれると、ローカルで任意コードを実行される可能性があります。

ジュニアエンジニアが今押さえるべき手順

1. Claude Code設定ファイルの確認: ~/.claude/settings.json と .claude/settings.json を開き、見知らぬMCPサーバーや未検証の hooks がないか確認する
2. リポジトリのClaudeファイルをレビュー: 他者から受け取ったリポジトリの .claude/ フォルダを信頼する前に必ず中身を確認する
3. 難読化への過信をやめる: フロントエンドのセークレット(APIキー、ロジック)はサーバー側に移動する
4. セキュリティスキャナーの設定: Dependabotやtrivyでドラッグ設定ファイルのスキャンを自動化する

今日から試せること

• Claude Codeを使っているなら ~/.claude/settings.json を今すぐ開いて中身を確認する
• Gemini APIの無料枠で100万トークンのコンテキストウィンドウを体験する（pip install google-generativeai）
• チームのLLMコストを確認し、予算超過がないかチェックする

AIによる考察

2026年5月は「AIが実験から本番インフラへ移行した転換点」として記録されるかもしれません。

Anthropicの利益化・UberのLLMコスト問題・SpaceXとの大型契約は、AIツールがソフトウェアエンジニアの生産性ツールから組織のライフラインになったことを示しています。個人の便利ツールが、気づけば月数億円規模の経費になる — この変化はITインフラの歴史でAWSクラウド移行と同じ構造的転換です。

セキュリティ面では、AIが「人間が読みにくいコード＝安全」という長年の思い込みを破壊しています。今後は「難読化ではなく設計で守る」というアプローチが主流になるでしょう。同時に、AIツール自体の設定ファイルが攻撃面になるという新たなリスクも出てきており、開発ツールのセキュリティが2026年後半の主要テーマになると予想されます。

関連記事

1. AnthropicとOpenAIはプロダクトマーケットフィットを見つけた

Simon Willison (2026-05-27)

AnthropicとOpenAIが初めて本格的なプロダクトマーケットフィットを確立した証拠として、UberのClaude Code費用急増とSpaceXとの月125億円超の推論契約を挙げる。LLMが企業インフラの一部として定着し始めた転換点を論じる記事。

🔗 https://simonwillison.net/2026/May/27/product-market-fit/

2. 過去6ヶ月のLLM動向を5分で — Simon Willison

simonwillison.net (2026-05-19)

Gemini 3.5 Flash・Gemma 4・Datasette Agentなど2026年前半のLLM主要アップデートを俯瞰。モデルの高性能化・低価格化・長コンテキスト化が同時進行しており、オープンウェイトモデルの台頭も加速していることを解説。

🔗 https://simonwillison.net/2026/May/19/5-minute-llms/

3. Claude Codeの設定ファイルに潜むリスクについて調べてみた

DevelopersIO (2026年5月)

.claude/settings.json に潜む2つのCVEを解説。悪意あるリポジトリのhooksやMCPサーバー設定経由でローカル環境で任意コードが実行される可能性を検証。設定ファイルの審査手順と防御策を具体的に紹介。

🔗 https://dev.classmethod.jp/articles/claude-code-settings-security-risk/

リサーチ注記: simonwillison.net・news.ycombinator.com・dev.classmethod.jpへのWebFetchがすべて403を返したため、WebSearchスニペットをもとにベストエフォートで執筆。