どうもー、おはようございます。マイクです。「zenncast」のお時間でございます。
今日は 2026年1月20日、火曜日の朝7時。みなさん、そろそろ目は覚めてきましたかね。
この番組では、エンジニアやクリエイターの皆さんに向けて、Zennで話題になっているトレンド記事を、ゆるっと楽しくご紹介していきます。

今日はですね、全部で5本の記事をピックアップしてきました。
AI時代のセキュリティの話から、Claude Codeの実践設定、nixでの環境構築入門、レトロデバイス復活のお話、そしてClaude Codeの機能整理ガイドまで、かなり盛りだくさんです。
通勤中や朝の支度のおともに、耳だけ貸してもらえればうれしいです。

まず1本目。
タイトルは「あなたの拾ってきた野良（マーケット）Skills、セキュリティトラブルを発生させていませんか？」。
これね、Claude CodeとかCodexで使う「Skills」、なんとなく「設定ファイル」ぐらいに思っている人、多いんじゃないでしょうか。この記事が強く言っているのは、「それ、ただの設定じゃなくて “実行可能な拡張機能” ですよ」ということ。
研究によると、収集されたSkillsの約4分の1に脆弱性があって、さらに約5％は明確に悪意ある挙動まであった、という結構ショッキングな数字が出ています。

リスクもいろいろあって、外部テキスト経由のプロンプトインジェクション、間接命令の混入、ファイルやトークンの情報ダダ漏れ、依存パッケージをすり替えるサプライチェーン攻撃などなど。
npmやPyPIって、長年の運用でスキャンや脆弱性DB、署名検証みたいな仕組みが整ってきてますよね。一方で、今のSkillsマーケットって、GitHub直リンク前提で、署名やスキャンがまだまだ未成熟。誰かが後からコード書き換えても、気づきにくい状態なんですよね。

で、結論はシンプルでして、「中身を自分でちゃんと読んで評価できないなら、野良Skillsは使わないほうがいい」。
当面は、AnthropicやOpenAIが出している公式Skills、もしくは自作、そして明確に信頼できる公式ソースに限定するのが現実的で安全だよ、という話です。
便利そうだからポチッと入れちゃう前に、「これ、実行コードなんだよな？」と一呼吸置く。AI時代の新しいリテラシーのお話でした。
....

続いて2本目。
タイトルは「Anthropicハッカソン優勝者のClaude Code設定集『everything-claude-code』を読み解く」。
これは、Anthropic x Forum Venturesのハッカソンで優勝した方が、10ヶ月以上ガチでプロダクト開発に使い込んできたClaude Code用のリポジトリを公開してくれて、それを解説している記事です。

構成としては、agents、skills、commands、rules、hooks、mcp-configs っていう６つの部品でできていて、タスクを専門エージェントに投げる前提のワークフローになっているのがポイント。
スラッシュコマンドでパッと呼び出して、ルールとフックで自動化することで、「人間は判断と設計に集中する」スタイルを目指しています。

面白いのが開発プロセスで、TDDをガチガチに回してるんですよ。RED→GREEN→REFACTORのサイクルを前提にして、テストカバレッジ80％以上を必須、コミット前にはセキュリティチェックも徹底。AIにコードを書かせつつも、品質管理は人間がきっちり握る、という姿勢が伝わってきます。

あと、「MCP有効にしすぎ問題」も重要なポイント。
MCPをたくさんつなぎまくると、コンテキストウィンドウが200kから70kぐらいまで一気に減っちゃうことがあるので、プロジェクトごとに10個以下、有効ツールは80個以下に絞る運用を推奨しています。
設定ファイル自体はホームディレクトリ配下の .claude 以下にコピーして、自分のワークフローに合わせてカスタマイズ前提で設計されているので、「丸パクリ」じゃなくて「良いところをつまみ食い」するのが合ってそうですね。
Claude Codeを本気で開発ツールとして使っていきたい人には、かなり実践的なベースキャンプになる内容です。
....

3本目。
タイトルは「2026 年に nix を始める方法」。
環境構築をしていて、「半年後の自分が見たら、これ何入れてどう設定したんだっけ？」ってなる人、けっこういると思います。筆者もまさにそのタイプで、再現性のない環境構築とか、設定ファイルとツールがバラバラに散らばっている状態に限界を感じて、nixとHome Managerでdotfiles管理を始めた、というお話です。

nixは、flake.nix っていうファイルに inputs と outputs を定義して、純粋関数っぽいビルドとサンドボックスで再現性を担保します。
Home Managerを組み合わせると、パッケージのインストールと設定ファイルの管理を一元化できて、home.nix にまとめたり、importを使って設定を分割したりできるようになる。

導入ステップも、割と現実的に書かれていて、まずは curl でnixを入れて、今ある .zshrc や .zshenv の内容を、programs.zshのinitContentとかenvExtraにほぼコピペで持っていけるよ、というアプローチ。
一方で、「experimental-features が足りないよ」というエラーとか、insecure directories問題みたいな、最初につまづきがちなポイントもきっちりフォローされています。

この記事の良いところは、「他人の巨大なdotfilesリポジトリを見て、うわ無理…ってならなくていいですよ」と言ってくれているところ。
最小構成から始めて、徐々に自分の生活に必要なものだけ増やしていく。その考え方と具体的な準備手順がセットになっているので、「2026年、そろそろnix触ってみるか」と思っている人にちょうどいいスタートガイドになっています。
....

4本目。
タイトルは「動かないデバイスもAntigravityがなんとかしてくれた」。
これはね、エモいです。レトロデバイス好きにはたまらない。
筆者は大学時代に遊んでいた GBA Boot cable を、昔はWindows XP時代に動かしていて、その後Windows 10でも自作でWinUSB対応に移植して、64bit環境で復活させた経験があるんですね。

で、時代が進んでWindows 11になったら、また動かなくなっちゃう。ここまではありがちな話なんですが、今回はそこで「Antigravity」という生成AI、具体的には Gemini 3.0 Pro High に、過去のソースコードと詳細なプロンプトを渡して、一緒にデバッグしてもらうんです。

ポイントは、単に「コード書いて」じゃなくて、printfによるログ出力を多用した昔ながらのデバッグ手順をAIに模倣させているところ。
仕様書をちゃんと読み切れなかったり、ちょっと不器用なところもありつつ、とにかくコードを読み解いて、試行錯誤しながら動くところまで持っていってくれる。そのプロセスを、Visual Studio 2026とWinUSBドライバの組み合わせでGBA Boot cableを復活させる、という具体的なストーリーで語っています。

筆者は最終的に、このAIを「開発パートナー」と呼んでいて、これがわりとしっくりきます。
古いデバイスや、昔の自分のコードベースを再生させるときって、「当時の自分」に相談したいじゃないですか。それができない代わりに、生成AIが横で一緒に試行錯誤してくれる。
レトロハードの復活とAIとの協働、というちょっと胸が熱くなる体験談でした。
....

ラスト5本目。
タイトルは「Claude Codeの機能が多くて混乱している人へ」。
名前だけ並べると、Custom Commands、Skills、サブエージェント、Hooks、CLAUDE.md、MCP…って、本当にカタカナ地獄になりがちなんですけど、この記事はそれを「誰が」「いつ」トリガーするか、という切り口で整理してくれています。

まず、ユーザーが明示的に実行するのが Custom Commands。
Claudeが自動判断で使うのが Skills とサブエージェント。
そして、システムのイベントで動くのが Hooks と CLAUDE.md。

中でもCLAUDE.mdは、「階層的な記憶ファイル」として振る舞うのが特徴で、プロジェクト単位、ローカル、ユーザー全体、みたいな感じで、具体的かつ検証可能なルールや暗黙知を書いておくことで、出力の品質を底上げしてくれます。
Skillsは自然言語から自動検出されるので、チームメンバー全体の品質を底上げしたいときに効きやすい。
Custom Commandsは、先ほどの !コマンドで環境情報を取りつつ、「これやって」が毎回同じ流れの定型作業に向いている、と。

サブエージェントや context: fork は、大規模な解析を独立したコンテキストで走らせるのに便利で、Hooksは PreToolUse / PostToolUse みたいなイベントで、自動チェックや保護処理を挟める。
MCPは、GitHubみたいな外部サービスとの連携を抽象化して、ユーザー・プロジェクト・ローカルごとにスコープを切れるので、組織的な運用もしやすくなります。

重要なのは、「とりあえず全部オン！」はやめましょう、という点。
コンテキストウィンドウを無駄に消費しないように、「1コマンド1責務」、必要な情報だけを渡す、サブエージェントをうまく使って負荷を分散する、という設計が大事です。
この記事のおすすめの始め方は、まずCLAUDE.mdを整えること。そこから必要に応じてSkillsやHooksを足していく、レイヤー構造的なアプローチを推奨しています。
Claude Codeを触っていて、「機能多すぎてわからん…」となっている人には、かなり視界がクリアになる整理記事だと思います。

さて、今日は
・野良Skillsのセキュリティリスクと、安全な付き合い方
・ハッカソン優勝者のClaude Code設定集に見る、本気のAI開発ワークフロー
・2026年にnixをミニマム構成で始めるための入門ガイド
・GBA Boot cable復活に見る、生成AIとのレトロデバイス開発
・Claude Codeの機能を「誰が・いつトリガーするか」で整理する使いこなし術
この5本をご紹介しました。

気になった記事があれば、詳しい内容は番組のショーノートにまとめてありますので、あとでゆっくりチェックしてみてください。
番組「zenncast」では、皆さんからの感想や、「こんなテーマ取り上げてほしい！」といったリクエストもお待ちしています。AIとの付き合い方や、環境構築の悩みなんかも、ぜひ教えてください。

それでは、そろそろお別れの時間です。
次回も、Zennのトレンド記事をネタに、みなさんの開発ライフがちょっと楽しくなるようなお話をお届けしていきます。
ここまでのお相手は、マイクでした。
また次回、お会いしましょう。