AI時代を生き抜く実践ノート:オープンLLM革命、AI開発ツール課金改革、難読化セキュリティの終焉
AI時代を生き抜く実践ノート
2026-06-28
1. AI:オープンウェイトLLMが最前線に到達 — GLM-5.2とMITライセンスの衝撃
概要(所要時間:5分)
中国のAI企業Z.aiが GLM-5.2(753Bパラメータ、MoEアーキテクチャで40Bアクティブ)を MITライセンスで公開しました。コンテキスト窓は 100万トークン(前世代GLM-5.1の5倍)。同時期にOpenAIは GPT-5.6(Sol/Terra/Luna の3モデル構成)を発表し、米国政府がアクセスを管理する方向性も示唆されています。
ポイント: オープンウェイトモデルがクローズドモデルに真っ向勝負できるレベルに達した — これが2026年上半期最大のトレンドです。
ジュニアエンジニアでもわかる解説
「オープンウェイトLLM」とは何か?
| 種類 | 説明 | 例 |
|---|---|---|
| クローズドモデル | API経由でしか使えない | GPT-5.6, Claude |
| オープンウェイトモデル | モデルのパラメータを自分でダウンロード・実行できる | GLM-5.2, Llama |
「MITライセンス」は最も自由なオープンソースライセンスの一つ。商用利用も改変も無制限に可能です。
MoE(Mixture of Experts)とは? 753Bパラメータ全部を毎回動かすのではなく、入力に応じて一部(40B)だけを使う仕組み。計算コストを抑えながら大規模モデルの表現力を持てます。
今日から試せること
- Ollama で GLM-5.2 を手元で動かしてみる(M2 Mac以上推奨)
ollama pull glm5.2 ollama run glm5.2 - コンテキスト100万トークンを体感する — 長い技術仕様書やコードベース全体を1プロンプトに渡して要約させる
- Simon Willison のブログ(https://simonwillison.net)をRSS登録して最新LLM動向を毎日チェック
AIによる考察
2026年のLLM市場は「クローズド vs オープン」の対立から、**「どのオープンモデルを選ぶか」**の議論にシフトしつつあります。GLM-5.2のMITライセンス公開は、企業が外部APIへの依存なくフロンティアモデルを自社インフラで運用できることを意味します。GPT-5.6の政府管理というニュースと対比すると、「規制下の高性能モデル」と「自由なオープンモデル」の2軸が並走する未来が見えてきます。エンジニアとしては、オープンモデルを自在に扱うスキル(ファインチューニング・量子化・デプロイ)が今後の差別化ポイントになるでしょう。
2. ソフトウェアテクノロジー:GitHub Copilot が「AI Credits」制に移行 — 開発ツール課金の新常識
概要(所要時間:3分)
2026年6月1日、GitHub Copilotの料金体系が大改定されました。従来の「Premium Requests(プレミアムリクエスト)」から 「GitHub AI Credits(AIクレジット)」 方式へ。また Microsoft は MAI-Thinking-1(推論特化、1兆パラメータ/35Bアクティブ)と MAI-Code-1-Flash(コード生成特化、137B/5Bアクティブ)の2モデルをGitHub Copilot向けに投入しています。
ジュニアエンジニアでもわかる解説
「AIクレジット」方式とは?
旧来の「月X回まで使い放題」から、「クレジットを消費する従量制 + 月次付与量」 の組み合わせへ変わりました。
旧: Premium Requests = 高度な処理をX回/月まで
新: GitHub AI Credits = 各操作でクレジットを消費
例: コード補完 → 低消費
コードレビュー → 中消費
エージェントタスク → 高消費
なぜこの変更? AIモデルの能力が多様化し、「補完」「レビュー」「エージェント実行」でコストが大きく異なるため、一律カウントでは不公平になったからです。
今日から試せること
- 自分の Copilot 使用パターンを確認する — GitHub設定 → Billing → 今月のAI Credits消費内訳を見る
- MAI-Code-1-Flash を試す — Copilotのモデル選択で選択可能になっていれば、通常の補完タスクへの応答速度を比較
- クレジット消費の少ない使い方を習慣化 — 短いコードブロックへの補完は低コスト、長い生成タスクは必要な時だけ
AIによる考察
「AIクレジット」化は単なる課金方式の変更ではなく、AIの「使い方の巧拙」がコストに直結する時代の到来を意味します。闇雲に全操作をAIに投げるのではなく、どのタスクにどのモデルを使うかを判断する「AI活用設計力」が開発者に求められるようになります。
3. セキュリティ:難読化はもはや防衛策ではない — AIがJavaScriptを即座に解析
概要(所要時間:4分)
Hacker Newsで大きな注目を集めた議論:「AIはどんなminify済みJavaScriptも難読化解除できる」(April 2026)。ソフトウェアのコードを読みにくくすること(難読化・minification)はセキュリティ対策として機能しないことが、AIの進歩によって明確になりつつあります。
ジュニアエンジニアでもわかる解説
「難読化(obfuscation)」とは?
// 元のコード(読みやすい)
function validateUser(username, password) {
return users.find(u => u.name === username && u.pass === password);
}
// 難読化後(読みにくい)
var _0x1a2b=function(_0x3c4d,_0x5e6f){return _0x3c4d.find(function(_0x7a8b){return _0x7a8b['\x6e\x61\x6d\x65']===_0x3c4d&&_0x7a8b['\x70\x61\x73\x73']===_0x5e6f;});};
人間には読みにくいですが、LLMはこれを数秒で元の意味に復元できます。
何が問題か?
- フロントエンドに秘密のAPIキーや認証ロジックを埋め込んで「難読化で隠す」手法は 完全に無効化 されています
- セキュリティ監査の非対称性: 攻撃者はAIで即座に解析できるが、防衛側が「難読化で守れている」と思い込んでいる
正しいセキュリティの考え方(3ステップ):
- フロントエンドには秘密情報を置かない — APIキー、認証トークン、ビジネスロジックはサーバーサイドに
- セキュリティを「隠蔽」に依存しない — 難読化は帯域削減・IP保護の目的のみ、セキュリティ効果ゼロと割り切る
- バックエンドで認可・認証を厳格に実装する — ロールベースアクセス制御、レート制限、入力バリデーション
今日から試せること
- 自分のプロジェクトのフロントエンドコードを見直す —
process.env.SECRET_KEYなどがバンドルに含まれていないか確認 - ブラウザのDevToolsで自社サイトのJSを開く — 難読化されていても「Source map」があれば元コードが見える状態か確認
- ChatGPTやClaudeに難読化されたJSを貼り付けてみる — どれだけ簡単に解読されるか体感する(自社コードを本番キーなしで試す)
AIによる考察
「秘密をコードに隠す」という設計思想は2026年現在、完全に時代遅れです。AIがあらゆる難読化を突破できる以上、セキュリティの本質は「何を隠すか」ではなく「何をサーバーサイドに置くか」に集約されます。これはジュニアエンジニアが最初に身につけるべき最重要概念の一つです。
関連記事要約
-
GLM-5.2 is probably the most powerful text-only open weights LLM — Z.aiが753B MoEモデルをMIT公開。100万トークンコンテキスト、テキスト専用でオープンウェイト最強候補。 simonwillison.net
-
GitHub Copilot料金体系大改定 — Premium RequestsからGitHub AI Creditsへ — 2026年6月1日施行。モデル別コスト重みを反映した従量制クレジットに移行。開発者は使い方の最適化が必要。 DevelopersIO
-
Obfuscation is not security – AI can deobfuscate any minified JavaScript — AIによるJS難読化解除が現実になり、「隠すことで守る」セキュリティ戦略は完全に崩壊。設計思想の根本見直しが必要。 Hacker News
注: WebFetchが各ソースで403を返したため、WebSearchのスニペット情報をベースに執筆。詳細は各URLを直接ご確認ください。