コーディングのヒンデンブルク。

悪いことが起こってるみたいだね。本当に悪いことは、命や生計に対する脅威と考えるとちょっと怖い。次世代のモデルがこの問題に何をもたらすか見てみよう。

一度手を火傷するのはいいけど、会社だと学ばないよね。

[バウロファックスは] 配達証明と受取日確認の証明書付きで文書を送るサービスで、この確認には法的効力があります。

せめてチョコレートくらいくれてもいいよね。紙の文書があれば、すぐにでも安全になると思う :)

OWASPツールをエージェントと一緒にセットアップして、会社のツールをクローリングするのにどれくらいの労力がかかるのか、ちょっと興味あるな。これを考えたのは私だけじゃないと思うけど、地元のビジネスにとっては良い評判になるんじゃないかな。来年のテーマはセキュリティになる気がする。みんな、テクノロジーに関しては頭を使わなくなってるよね。

AEPDは…残酷だって知られてるね。いいね。もっと多くの国がこんなのを持ってほしいな。こういう組織はだいたい無気力で、市民の努力やメディアによって行動を強いられないと動かないから。

このスレッドで進展を教えてくれる？

昔、Wi-Fiがまだ新しかった頃に似たようなことがあった。オープンネットワークに参加したら、法律事務所だったんだ。彼らのコンピュータは全てSambaネットワークでCドライブが共有されてた。問題について知らせるREADME.txtファイルをドライブに書いたけど、しばらくしても変わらなかった。それで、直接その場所に行って話をしようと思ったし、最初の仕事を得るチャンスかもって思ってたんだけど…彼らはすごく怒って、いい契約者がコンピュータやネットワークを管理してるって言って、私が侵入したみたいに言われた。急いでその場を離れたよ…

こういうアプリを作ってる人たちは、データプライバシーのルールについて全然知らないことが多いよね。私は小規模ビジネスのオーナーが集まるフォーラムに参加してるんだけど、あるオーナーが自分のビジネスアプリをvibeコーディングで作ったってすごく自慢してた。最初の反応は「すごいな！」だったけど、データプライバシーのルールの話が出てきたら、全然知らなかったんだよね。これは心配だった。彼のビジネスだけじゃなくて影響があるから。指摘したときの彼の反応は、法律を知らないことが彼を守るって言ってた。結局、vibeコーディングのRedditのサブに助けを求めに行ったんだけど、戻ってきたら怒ってた。Redditの開発者たちが「ちゃんとした開発者を雇え」って言ったから。彼は、そういう開発者たちは妄想に取り憑かれてるし、もうすぐ死に絶える種族だと思ってる。AIが進みすぎて、開発者は1年後にはいなくなるって。

あんた最高だね。

この件に関しては、会社の名前を明かすのは非常に倫理的に問題があると思う。ちゃんと修正されたことを確認するまでは、訴えられるのが怖いよ。

参考までに、トバイアスを知ってるけど、彼がこれをでっち上げるなんてありえないと思う。おそらく、犯人に関する情報が漏れないように意図的に曖昧にしてるんじゃないかな。それはまあ、妥当だと思う。

うん、まだオンラインなら場所を守るために曖昧にするのは理解できるけど、全体的にあまり意味がわからないよね？言及されているタイムラインも変だし、彼はそれを作る前に話したの？それとも後？はっきりしない。彼は動画を見たと言ってるし。

「アプリケーション全体は、すべてのJavaScript、CSS、構造がインラインで書かれた単一のHTMLファイルだった。」 これはエージェントが作るものとは全然違う経験だ。私はしばしば彼らにそうするように頼むけど、彼らはたくさんのファイルと構造を使う傾向がある。 「彼らは、アポイントメント中に会話を録音する機能を追加した。」 つまり、医者の部屋にフロントデスク用のノートパソコンがあるの？それとも、会話を録音していて、後でシステムにフィードするために使ってるの？ 「すべての「アクセス制御」ロジックはクライアント側のJavaScriptに存在していて、データは見ようと思えば一コマンドでアクセスできる状態だった。」 これもエージェントが何かを作る普通のやり方じゃないよね。セキュリティの欠陥はあるけど、これはプログラミングを学び始めたばかりの人が作ったか、r/programmerhorrorで最もアップボートされた投稿みたいな感じで、AIとはあまり関係ない気がする。全体的に、この記事の主張にはもっと強い証拠が出てくるまで懐疑的だよ（医療システムにいい加減なものを使うのは支持してるわけじゃないけど）。

今、こういうことが起こってるって確信してるよ。

短い文章は良い文章だよね。それに、曖昧じゃなくて、ただ特定の情報を省いただけだよ。

そうじゃないと思うけど、これがAI生成のクリックベイトになったらめっちゃ面白いよね。

同意だね。明らかに事実を捏造する手前の、否定可能なところにあるよ。

ドイツだから、できるだけ一般的にした方がいいよ。名誉毀損やプライバシーに関する法律がかなり強いからね。

専門機関は、この手のことに関してはただの門番と金を求める存在に過ぎない。誰でもソフトウェアは書けるけど、セキュリティを考えたソフトウェアを書く人は限られてる。すでに法律や基準を守っているかどうかを理解するための認証もある。これらの有効性や価値について議論することはできるけど、インフラや法律、フレームワークはすでに存在してる。現状が守られていないのに、規制や官僚主義を増やしても意味がないよ。

兄弟が指摘したように、個人を特定できるデータの取り扱いに関する法律はすでにたくさんある。なぜか意識が欠けている気がするけど、高プロファイルな有罪判決がいくつか必要なのかも（それもそう遠くないと思う）。

ほとんどの国にはすでに法律や基準があるよ。この特定の例では、人々はプライバシーやデータ保護の法律を完全に無視してた。

規制は血で書かれていて、バイブコーディングが十分な問題を引き起こすまでには少し時間がかかるだろうね。

それに同意するし、この言葉を支持するよ。人々がこれをゲートキーピングと呼びたがるなら、それでもいい。プログラミング、ソフトウェアエンジニアリングは真剣な分野で、この狂乱は止めるべきだと思う。ソフトウェアの構築は、どんな真剣な活動と同じように規制され、適切に認定されるべきだ。

ソフトウェアエンジニアリングは、各国に専門機関が必要になってきているように見えるし、認定や基準も必要だと思う。人々が価値があると思うルールを自主的に作ろうとするのはいいけど、それにはさらなる制限的な行動は必要ないと思う。

ソフトウェアエンジニアリングは、各国に専門機関が必要になってきてる気がするし、認定や基準も必要だよね。あんまり役に立たないけど、会計士も認定や基準が必要だけど、それでも競争は100人の会計士が1つの仕事に殺到するレベルだし。これを防ぐには、弁護士みたいに人数を制限するしかない。コネや縁故が重要になってくると、基本的に世襲の貴族階級ができちゃうよね。未来の資本主義がもたらすのは、飢えぎりぎりのクソみたいな仕事をする農民に戻ることだと思うよ。

問題は、その人が自分の専門的な立場でも何をしているのか全然わかってなかったことだと思う。患者データ管理について知識が必要だったのに、全く知らなかった。私の見解では、彼らがやっていることが間違っていると気づいていなかったら、認定が必要だとも思っていなかったはず。もちろん、無制限にツールにアクセスできるようにしなければの話だけど。AIが何で、何でないか、データプライバシーが何を意味するかがもっと議論されるうちに、時間が経てば自然と解決すると思う。認定については完全に外しておいた方がいいと思う。実際のベストプラクティスが何か、またそれが重要かどうかすら合意できてないから。

問題はAIじゃなくて、この状況のどこかに賢い人がいないことだよ。AIが登場するずっと前に、ある医療会社がフロントエンドがバックエンドにSQLクエリを実行するように指示するサービスを作ってたのを見たことがある。

こういう作業には全然合ってないツールだよね。Claudeやopencodeとかは、実際にbashツールを使って、あとは漠然としたプロンプト（スキル、AGENT.md、MCPとか）を使って、望ましい行動に確率的に誘導するための力技のコーディングハーネスなんだ。ワークフローを制御して出力を検証するための専門的なハーネスを作らない限り、この問題は解決しないよ。今はLLMの使い方が西部開拓時代みたいなもので、そもそも存在しないはずの問題が出てきて、全然違うレイヤー（ハーネスの外）や全く間違ったツール（プロンプト）で解決しようとしてる。

一般的に、自分のCRMを作る理由って何？ERPや他のリソースプランニングシステムは、バックオフィスに合わせてカスタマイズできるからわかるけど、CRMには主に信頼性が必要だよね。

それはほとんどの場合、うまくいかないよ。しかも、以前よりもさらに優れたエンジニアリングプラクティスが必要なんだ。人々が技術的負債を理解せずにコードの変更を受け入れてしまっているからね。これには同意する。ローカルで実行できるモデルもあるし、今朝は128GBのRAMでGemma 4をテストしたよ。すごく遅くて、何かをリファクタリングするのに20分かかったけど、20秒じゃなくてね。でも、高価なクラウドサブスクリプションで動いている有料モデルと同じくらいの能力があるみたい。しかも、データはアップロードされていない。

実際にClaudeのコードを使ってサンプルアプリを作ることをお勧めするよ。基本を知らなくてもアプリを作れるからね。私の経験では、最大20,000行のコードまで対応できると思う。フィードバックをくれる人間が必要だけど、ソフトウェアの原則を理解している必要はない。

いろんなメモリハックやコードをインデックスするツールがあるけど、私が見つけた中で一番効果的なのは、待っててね…Jiraなんだ。みんなJiraを嫌うけど、大規模プロジェクトを管理するには成熟したプラットフォームだよ。まず、JiraのRovo MCP（またはCLI、どっちでもいいけど）を使って、Claude Codeにアーキテクチャや機能を計画・文書化させるんだ。それから、これらの項目を手動でレビューして編集する。次に、クリーンなセッションで、実装させたり、コメントで決定事項を文書化させたりする。こうすると、大きめのプロジェクトでもすごく信頼性が高くなるんだ。最初にこれをソロプロジェクトでやり始めたときは、「ああ、そうだよね」って感じだった。人間の開発者に全プロジェクトを頭の中に入れろって言わないのに、コーディングエージェントにそれを求めるのはおかしいよね。このメンタルモデルがツールを正しく使うのに本当に役立った。追記：それからコンテキストウィンドウの管理もある。私はいつもOpus 4.6 1Mを使ってるけど、250kを超えると新しいセッションを始めるのが下手だったってことになる。自動圧縮状態には決して到達しない。LLMは与えられたコンテキストが多いほどバカになるっていうのは普遍的な真実だと思う。みんなもコンテキストステータスバーの設定を実装して、使用状況をチェックした方がいいよ。

修正方法は、ユーザーが認証情報をダウンロードできないようにすることだね。理想的には、ウェブサーバーは認証情報を含むファイルにアクセスできないようにして、静的コンテンツの提供とキャッシュを扱い、動的コンテンツのリクエストはウェブアプリのコードにオフロードするべきなんだ。自動インデックスを無効にすることは、問題を見つけにくくするだけだよ。（補足すると、原則として悪くはないアイデアだけど、解決策 ではない。）もしファイルがまだそこにあってダウンロードできるなら、それは最初から可能であってはいけないことだ。

エージェントネイティブのDevOpsツールはおそらく必要だね。手動でやる理由はないはずだ。私が考えるに、CCのようなエージェントはデプロイメントのためのスキルを内蔵していて、AWSや他のシンプルなプロバイダーのビルディングブロックを使うんだ。支払いはOAuthを通じて、シームレスなチェックアウトができる。これが標準化されるべきだね。

面白いね、AIは難しい部分をうまくやったんだ。パスワードハッシュやスキーマ設計は良かった。でも、実際の「コーディング」知識とは言えない部分でつまずいてる。運用の直感に近い感じかな？バックアップフォルダがウェブルートにあるのはセキュリティの問題じゃなくて、「過去に痛い目にあったことある？」って質問だし、外科医はそれを知らなかった。だから質問もしなかったし、モデルもそれをカバーしていなかった。私の意見では、これが実際のパターンだと思う。モデルは聞かれたことについてはしっかりとセキュリティを確保するけど、聞かなかったことについては全く分からない。経験豊富な開発者は、過去の失敗を全て持ち込むけど、雰囲気でコーディングする人はプロンプトを持ってくるだけなんだ。

プルリクエストにはコードレビューがあるよ。でも、平均的にはかなりの自己満足があると思う。昔のちゃんとしたQAフェーズが一番の答えだったんじゃないかな。でも、それは高くて遅いんだよね。