AI時代を生き抜く実践ノート（2026-06-19）

読了目安: 約8分

今日の3テーマ

1. 【AI】コンテキストエンジニアリング入門 — LLMに「知識」をどう渡すか

所要時間: 30分で基礎を理解

Andrej Karpathy が提唱した「LLM Knowledge Base」パターンが注目されています。LLMへ渡す情報（コンテキスト）の整理・構造化こそが、AIの回答品質を左右するという考え方です。「プロンプトの書き方」だけでなく、何を・どの形式で・どのサイズで渡すかが重要になってきました。

手順 (4ステップ)

1. 情報収集と前処理: 対象ドメインのドキュメント（FAQ、仕様書、過去のチャット履歴など）を集め、不要なHTMLタグや重複を除去してテキスト化する
2. チャンキング: 長い文書を500〜1000文字程度の小さな塊（チャンク）に分割する。段落・章単位が自然な区切りになりやすい
3. ベクター検索の準備: 各チャンクをembedding（意味ベクトル）に変換してベクターDBに登録する（OpenAI Embeddings、Cohereなど）
4. 動的注入: ユーザーの質問に近いチャンクをベクター検索で取得し、LLMのシステムプロンプトに「参考情報」として注入する

ポイント: チャンクが大きすぎると関係ない情報が混入し、小さすぎると文脈が切れる。まず500文字/チャンクで試して精度を見ながら調整しましょう。

2. 【ソフトウェア技術】AI支援開発2026 — 「使う」から「使いこなす」へ

所要時間: 15分で現状把握

2026年、AI支援ソフトウェア開発はニッチから主流へ完全移行しました。Claude Code・GitHub Copilot・Cursor といったツールが開発現場に定着し、さらに「Claude CodeでOpenAI GPT-5を使う（LiteLLMプロキシ経由）」など、複数LLMを組み合わせる実践も広まっています。

手順 (4ステップ)

1. ツールの選定と導入: まず1つのAIコーディングツールを選ぶ（予算がなければGitHub Copilot無料枠、チームならClaude Codeが最近人気）
2. レビュー習慣の確立: AIが生成したコードは必ず自分でレビューする。「AIが書いた = 正しい」ではなく「AIが提案した = 候補」という意識を持つ
3. テスト同時生成: 実装コードを生成させる際、テストコードも一緒に出力させる。テストが通らなければAIに修正させるループを回す
4. 用途別LLMの使い分け: 単純なコード補完には軽量モデル、設計相談や難しいデバッグには高性能モデルを使い、コストと速度を最適化する

3. 【セキュリティ】Project Glasswing と生成AIセキュリティの新課題

所要時間: 20分で要点把握

Hacker Newsで話題の Project Glasswing（GoogleによるAI時代の重要OSSセキュリティ強化プロジェクト）と、生成AI開発特有のセキュリティ問題が重なって注目されています。AI普及で攻撃対象が広がる中、開発者自身が知っておくべきリスクとその対策を整理します。

主なリスク (2026年版)

手順 (4ステップ)

1. ホワイトリストで実行範囲を制限: Claude Codeなどのエージェントに許可するコマンドを .claude/settings.json などで明示的に制限する
2. 入力の分離: ユーザーの入力（信頼しない）とシステム指示（信頼する）を明示的に分離し、混在させない
3. 静的解析の自動化: AIが生成したコードをCIパイプラインでsemgrep・bandit等にかけ、セキュリティ問題を自動検出する
4. データ分類と送信先管理: 扱うデータを「公開可」「社内限定」「機密」に分類し、機密データはローカルLLM（Ollama等）のみで処理する

今日から試せること

• コンテキストエンジニアリング体験: 自分の業務マニュアルや過去の議事録をテキスト化し、Claude や ChatGPT に「参考情報:」として貼り付けて質問してみる。いつもより精度が上がるはず
• AI生成コードにsemgrepをかける: pip install semgrep && semgrep --config auto <ファイル名> で即座にセキュリティスキャン
• ローカルLLMを試す: Ollama をインストールし ollama run llama3 を実行するだけでローカルLLMが動く（機密データはこちらで処理）

AIによる考察

2026年は「AIツールをどう使うか」から「AIをどうセキュアに・賢く組み合わせるか」への転換点です。

Karpathyの「LLM Knowledge Base」パターンが示すように、今やLLMそのものよりも**LLMに何を渡すか（コンテキスト設計）**が開発者の腕の見せどころになっています。一方でAIエージェントの自律性が上がるほど、セキュリティのリスク面も比例して上がります。Project Glasswingのような取り組みが必要とされる背景には、「AIが使うOSSライブラリ自体がサプライチェーン攻撃のターゲットになりうる」という現実があります。

ジュニアエンジニアが今すぐ身につけるべきスキルセットは「コンテキストエンジニアリング × AI支援開発の効率化 × 最低限のセキュリティ衛生」の3点セットです。この3つは互いに補完し合い、AI時代の現場で価値を出し続けるための基盤になります。

関連記事 3本

1. Project Glasswing: Securing critical software for the AI era | Hacker News GoogleがAI時代に備え、重要なオープンソースソフトウェアのセキュリティを強化するプロジェクト。依存関係の監査・脆弱性の先手対応・コミュニティとの連携が柱。AI普及で攻撃対象が広がる中、重要インフラ級OSSの守り方を問い直す取り組み。 https://news.ycombinator.com/item?id=47679121

2. Karpathy 氏が言語化した「LLM Knowledge Base」というパターン | DevelopersIO 「LLMに知識をどう渡すか」を体系化したKarpathyの提唱パターンを解説。ベクター検索・チャンキング・プロンプト注入の最適化が品質向上の鍵。コンテキストエンジニアリングの実践的な出発点として参照価値が高い記事。 https://dev.classmethod.jp/articles/karpathy-llm-knowledge-base/

3. 生成AIを使ったソフトウェア開発におけるセキュリティの問題点 | DevelopersIO 生成AI開発に特有のセキュリティリスク（プロンプトインジェクション・データ汚染・コマンド実行の無制限）を整理し、対策手順を解説。コマンドホワイトリストやCI組み込みの静的解析など、今すぐ実践できる施策を紹介。 https://dev.classmethod.jp/articles/security-on-software-development-with-generative-ai/

リサーチノート: WebFetch で simonwillison.net・news.ycombinator.com・dev.classmethod.jp が HTTP 403 を返したため、WebSearch スニペットのみを一次情報として使用しました。各関連記事URLはWebSearchで確認済みですが、記事本文の詳細は未取得です。