Yakan AI Books

AI時代を生き抜く実践ノート: MAI-Thinking-1 / LLMライブラリ新機能 / AIが脆弱性を自動発見する時代

ai-survival

  • #AI
  • #LLM
  • #security
  • #Microsoft
  • #vulnerability
  • #open-source

AI時代を生き抜く実践ノート — 2026年6月11日

今日のポイント: 大型AIモデルが増殖し、AIが脆弱性を自動発見する時代が現実になった。エンジニアに必要な3つの知識を整理する。

1. AI: Microsoftの新モデル「MAI-Thinking-1」とは何者か

所要時間: 約3分

MicrosoftがAzure上で独自LLMファミリー「MAI(Microsoft AI)」シリーズを正式リリースしました(2026年6月2日)。2つのモデルが目を引きます。

手順: MAI-Code-1-FlashをGitHub Copilotで使う

  1. GitHub Copilotの設定を開く — VSCodeの左下歯車アイコン → 「Copilot」
  2. モデルを切り替える — Copilotチャットの右上「モデル選択」ドロップダウンを開く
  3. 「MAI-Code-1-Flash」を選択 — 通常のGPT-4oより軽量・高速でコード補完が得意
  4. 補完速度を体感する — 大きなファイルで補完させてレイテンシを比較する
  5. フィードバックを送る — 拇指ボタンで品質をMicrosoftに伝える(モデル改善に直結)

今日から試せること

GitHub Copilotのモデルをこの記事を読んだ直後に切り替えてみてください。同じプロンプトで「GPT-4o」「Claude Sonnet」「MAI-Code-1-Flash」の3つを試し、自分のコードベースに最も合うモデルを選ぶ習慣をつけましょう。

2. ソフトウェアテクノロジー: LLMライブラリ 0.32a3 の「何が変わったか」

所要時間: 約3分

Simon Willisonが開発するCLIツール「llm」(PythonからLLMをコマンドラインで呼び出すOSSツール)が6月9日に 0.32a3 をリリースしました。マイナーバージョンに見えて、実はLLMプログラミングの考え方が変わる後方互換性のあるメジャーリファクタです。

2つの核心的変更:

以前 0.32以降
モデルへの入力は「1つの文字列プロンプト」 入力をメッセージのシーケンス(system/user/assistantターンの配列)として渡せる
レスポンスは文字列ストリーム レスポンスを型付きパーツのストリームとして受け取れる(テキスト/ツール呼び出し/画像など)

「型付きパーツ」とは: AIの回答がテキストだけでなく「コード」「ツール呼び出し」「画像」などの種類情報付きで返ってくること。これにより後処理が格段に楽になります。

手順: llmをインストールして試す

  1. pip install llm==0.32a3 でインストール
  2. llm keys set openai でAPIキーを設定(または llm keys set anthropic)
  3. llm -m gpt-4o "Pythonでフィボナッチ数列を書いて" で動作確認
  4. Pythonコードから import llm; model = llm.get_model("claude-sonnet-4-6") でモデルを取得
  5. model.prompt([{"role":"user","content":"hello"}]) とメッセージシーケンス形式で呼び出す

今日から試せること

既存のLLM呼び出しコードで「プロンプト文字列を1つ渡している」箇所を見直し、systemプロンプトとuserターンをメッセージ配列に分けてみてください。コンテキスト管理が明示的になり、バグが減ります。

3. セキュリティ: AIが脆弱性を「自動」で見つける時代が来た

所要時間: 約4分

MicrosoftのセキュリティチームがMDASH (Multi-model Agentic Scanning Harness) と呼ぶシステムを2026年5月に発表・実績公開しました。「100以上の専門化されたAIエージェント」が協調し、脆弱性の発見から検証・実証コード生成まで自動化します。

何を発見したか:

ジュニアエンジニアが知っておくべきこと: 脆弱性は「人間が気づいた時だけ直す」ではなく、「AIが常時スキャンして見つける」フローに移行しつつあります。これはソフトウェアの品質を上げる側面と、攻撃者も同様のツールを使い始めている側面の両方があります。

手順: 自分のコードにAI脆弱性スキャンを試す

  1. GitHub Advanced SecurityのAIスキャンを有効化 — リポジトリ設定 → Security → 「Code scanning」→ GitHub Advanced Securityを有効化
  2. CodeQLクエリを実行 — デフォルトのクエリスイートを選択して最初のスキャンを走らせる
  3. 結果を確認 — 「Security」タブ → 「Code scanning alerts」で検出結果一覧を見る
  4. LLMに修正案を聞く — Copilotに脆弱箇所のコードを貼り、このコードのセキュリティ問題を指摘して修正案を教えて と質問する
  5. 修正をコミット — 提案されたパッチを確認・適用してプッシュ

今日から試せること

GitHubの自分のリポジトリで「Dependabotアラート」を確認してください。今すぐ Settings → Security → Enable Dependabot alerts を有効化するだけで、依存ライブラリの既知脆弱性を自動追跡できます。

AIによる考察

今週の3つのニュースを並べて見えてくる構造変化があります。

「AIがAIを評価し、AIがコードを書き、AIが脆弱性を探す」 というフルスタック自動化の萌芽です。

MAI-Thinking-1がClaude Sonnet 4.6を上回るという評価が出た瞬間、「どのモデルが最強か」という問いはほぼ意味を失い始めています。2〜3ヶ月ごとにリーダーボードが塗り替わる世界では、モデルへの依存度を下げ、モデルを切り替えやすい設計にすることが競争優位になります。その意味でllm 0.32の「メッセージシーケンス + 型付きパーツ」というAPIデザインは正しい方向です。

セキュリティについては二重の意味で重要です。攻撃者も同じAIツールを使える。防御はAIの速度で動かすしかない。今年のCritical RCE 4件はMicrosoftの社内AIが発見したから先手を打てましたが、同様のツールが攻撃側に流れたとき、パッチが間に合わない状況が常態化するかもしれません。自動スキャンをCI/CDに組み込むのは今すぐやるべきことです。

関連記事3本

1. Microsoft MAI モデル発表 (Simon Willison)

MicrosoftがMAI-Thinking-1(1Tパラメータ)とMAI-Code-1-Flash(137B)を発表。MAI-Thinking-1はブラインド人間評価でClaude Sonnet 4.6より優位と主張。CoTとMoEを組み合わせた独自アーキテクチャで推論精度を高めている。GitHub Copilot統合が主な展開先。 [引用元: https://simonwillison.net/2026/Jun/2/microsofts-new-models/]

2. Microsoft MDASH: AIで脆弱性を自動発見 (Microsoft Security Blog)

100超のAIエージェントを統合したMDASHがWindowsの認証・TCPスタックで16件(Critical 4件)のRCE脆弱性を自動発見。CyberGymベンチマーク88.45%、tcpip.sysに対して過去5年のMSRCケースを100%検出。AIによる攻撃自動化への対抗手段として脆弱性発見自体を自動化する先例。 [引用元: https://www.microsoft.com/en-us/security/blog/2026/05/12/defense-at-ai-speed-microsofts-new-multi-model-agentic-security-system-tops-leading-industry-benchmark/]

3. White House AI Innovation and Security 大統領令 (Inside Privacy)

米政府が2026年6月にAIイノベーション促進とセキュリティ強化を両立させる大統領令を発令。財務省・NSA・CISAが共同で「AIサイバーセキュリティクリアリングハウス」を設立、AIソフトウェアの脆弱性情報をパッチ優先度付きで産業・インフラ事業者と共有する仕組みを構築。 [引用元: https://www.insideprivacy.com/artificial-intelligence/white-house-releases-executive-order-on-advanced-ai-innovation-and-security/]

参考