Claude Codeがあれば十分!もう何もいらないAIプログラミングの未来とは
引用元:https://news.ycombinator.com/item?id=44864185
このコメントはAIの実験精神と楽しさに感動したよ。ClaudeをVPSで暴れさせて、専用スクリプトまで作るとか最高じゃん。AIに対するワクワク感が再燃するし、「何でもできる!」って初めてコーディングした時の気持ちが蘇ってきた。すごい記事、シェアありがとう!
俺はClaude CodeみたいなAIツールは使いこなせないね。チャット形式で自分でコントロールする方が好きだし、コードを書くプロセス自体を楽しみたいんだ。マネージャーになれないのも同じ理由。AIエージェントって外向的な人や定型的な人向けでしょ。もし業界がそっちに寄るなら、転職するかも。
「何でもできる!」って言っても、結局Claude APIの利用料がかかるじゃん。AIの利用が普通になると、知識じゃなくてお金が障壁になるのが悲しい。お金がない若い人がプログラミングを学ぶのが難しくなるし、初心者向けのガイドやチュートリアルも減っちゃうかもね。
AIエージェントが外向的って意見にはマジで同意しないね。確かにユニークなツールだけど、俺は内向的だし少しADD気味。LLMは自然言語でプログラムできるコンピューターインターフェースって感じだよ。退屈なタスクをLLMに任せて、面白いことに集中できるから、今ソフトウェアエンジニアでいるのは最高だわ!
楽しい実験ってのは分かるけどさ、ClaudeにHacker NewsでStartupの宣伝させたり、それ自分でRedditに投稿したりするのは、人間が集まる場所に「クソ」をばら撒いてるのと一緒じゃん?もうこれって、楽しくないし、他の人にとっては迷惑でしかないよ。
LLMが自然言語でプログラムできるインターフェースって言うけど、論理的推論が苦手だからまだ違うね。頼んでも期待通りに動いたり動かなかったり。本当に「プログラミング」って言えるのは、マシンが常に言うことを聞くか、できないと明確に言う時だよ。退屈なタスクをオフロードできるってのも、結局レビューが必要なら、タイピングの手間が省けるだけで、思考は同じくらい必要だわ。まだそこまでじゃないね。
LLMが論理的推論が苦手って結論、どういう経験から出たのか気になるな。俺の経験だと、ほとんどのプログラミングタスクに必要な論理的推論はすごく得意だよ。例えば、「最低のXと最高のYを持つ共通のZをN個のリストから見つけて」って言うだけで、ほとんど正しいコードを即座に出してくれる。コードのレビューはするけど、テスト(AI生成)で正確性を確認するから、ビジネスロジックよりテストケースを調整する方が多いかも。認知的な負担がマジで軽くなるんだ。
Claude Codeは、技術力がある人にはそんなに高くないよ。APIクレジットなら1時間5ドルくらい。プロで使うなら月100ドルのメンバーシップでもいいし、試すだけなら大した出費じゃない。俺にとって大きな疑問は「これで生産性上がるの?」ってこと。まだ結論は出てないけど、アルゴリズムを詳しく指示したり、AIをしっかり見張ったりする必要があるね。でも、APIの詳細調べたり、コード書いたり、デバッグしたりするのは、日々のプログラミングの面倒な部分をかなり減らしてくれるよ。
いつの時代も何かしらの障壁はあったじゃん。コンピューターとかインターネットとか本とかさ。AIコーディングが残るなら、それが今の世代の障壁になるだけだよ。人生は公平じゃないし、この人生で公平になることはない。最善を尽くして周りを助けて、世の中の悪いことに囚われすぎないのが一番だね。
この選択肢は好きじゃないけど、オンラインでの交流は、投稿できる場所どこでもすごく強力な本人確認が唯一の進む道に思えるよ。
LLMに簡単な関数頼んだら、めちゃくちゃ間違ってたんだ。まともな人間ならしないミスだよ。酔っ払ってるジュニア開発者と組んでるみたいで、自分の精神的負担を“オフロード”できないね。特に論理的推論が苦手みたい。人のコードは最後しか見ないから、何も信じられないのはつらいよ。信頼できないと他のことに集中できないんだ。
そのシンプルな関数って何だったの?
12歳の頃、PC使うたびに5ドルも払ってなかったな。インターネットにはチュートリアルやチャットルームがいっぱいで、そこから学べたんだ。今の好奇心旺盛な子が、IRCでPerlのゲストブックの書き方を聞きまくってる代わりに“5ドル払ってClaudeに聞け”って言われるのは悲しいね。
君の例はLLMにロジックをさせたんじゃなくて、君のロジックをコードに翻訳させただけだね。ロジックをさせるってのは、複雑なライトスイッチの問題みたいに、意図的に曖昧な質問をすることだよ。GPT5に聞いたら、『問題の記述が鮮やかだ』って褒められたけど、出した答えもその後に書かせたコードの結果も違ったんだ。
これはすごい論点だけど、このスレッドからはすぐ脱線するね。僕たちはCGコンテンツがネットを覆い尽くす泥沼に突入していると思う。インターネットのコミュニケーションが成り立たない期間があって、オフラインの時間が長くなるだろう。その後、防御システムが強化されて、安定したバランスを見つけるはずだよ。
覚えてないんだけど、すごく基本的なものだったんだ。10〜15行くらいのルーティンで、1年生の学生なら関連APIを知ってれば3分で書けるようなやつ。僕がモデルに頼んだのは、APIを知らなかったからだよ。記憶が正しければ、if文かループの条件が逆になってたね。
うん、僕も昔、インターネットの契約に含まれてたウェブサーバーでPHPをたくさん勉強したんだ。もしあれが無料じゃなかったら、ウェブサイトの作り方もプログラミングも絶対学ばなかっただろうね。親が払ってたインターネット接続の一部だった無料のPHPウェブホスティングがきっかけだったよ。
そうそう、誰がお金払うの? 僕もローカルでオープンモデルをたくさん動かしてるけど、電気代だけで済むのが良いね。引退してるから、Claudeみたいに高額なツールに長期的に縛られたくないんだ。いろんなサービスを試すのも楽しいし。Ollamaに月20ドル払ってGPT-OSS-120Bを速く動かしてるんだけど、価値あるかって言われると微妙かな。安いAPIも好きだよ。多くのAI企業が赤字経営なのは、消費者を誤解させてて違法だと思うね。
12歳の頃の僕もそうだったけど、PCは今の5500ドルくらいしたんだ。きっと両親が僕らをすごく愛してくれてて、当時のPCの初期費用を払う余裕があったんだろうね。僕の7歳の息子にプログラミングのために毎回5ドル払わせる気はないけど(絶対にクレジットカードは渡さないよ)、月20ドルのClaudeサブスクなら検討できるな。NetflixやDisney+より安いしね。
慈善活動での資金集めって、PCみたいな設備投資は簡単だけど、LLMのトークンみたいな運営費はマジ無理ゲーなんだよな。昔は中古PCでプログラミングに興味を持てたけど、今はChatGPT-4とか使えないから、もうそれもできないんだ。
LLMインフラ企業が赤字経営なのは、消費者欺いてるから違法にすべきだよ。価格ダンピングって違法なのに、テック業界はVCマネーでずっとこれやってんの、マジで意味わかんねぇ。多くのスタートアップがこのクソみたいなやり方で成り上がってきたんだぜ…
そういうのもAIで自動化できるっしょ。「Claude、俺になりすまして代わりにやってくれ」って言えば済む話じゃん。
「Price dumping」って経済用語としては一般的じゃないよ。「Dumping」は国際貿易の用語で意味が違うんだよな: https://en.m.wikipedia.org/wiki/Dumping_(pricing_policy)
VC資金で赤字価格にするのは消費者には良いこと。大手企業が赤字価格にするのは反競争的って見方もできるね。GeminiがOpenAIの価格を下げてるのは良いけど、OpenAIの成長は止めたかもな。
FidoNet時代は、身分証明が必要で実名だったから、オンラインでのやり取りに注意を払ってたんだ。インターネットの匿名性には、良い面も悪い面もあって衝撃的だったな。将来的には、政府のIDサービスがサイトごとにIDを生成して、一度ブラックリスト入りしたら新しいIDは作れないみたいな、中央認証システムに戻るかもね。
無料のLLMモデルはたくさんあるんだぜ。有料版に匹敵するのも多いしね。Qwen Coderはタダで使えるし[1]、Apple Silicon MacやiPadがあれば、この秋にはAppleの30億パラメータFoundation Modelsが無料で使えるようになる[2]。Swift Playgroundも無料ダウンロードだし[3]、Appleは学校向けのカリキュラムも用意してるんだ。LLMへのアクセスも統合されるだろうね。
俺もちょっとADD気味なんだ。面白いコーディングは好きだけど、退屈なタスクはマジで苦痛で。でもLLMに boilerplateな作業を任せられるのはADD持ちには最高だね。プロトタイプ段階の興奮が過ぎた後もLLMが助けてくれるから、プロジェクトを最後まで終わらせられるんだ。
ツールなしで適当なAGI(人間)に聞いても、平均的にはAIの方が優れてると思うよ。Pythonシェルを使わせたとしても、たぶん人間の方が成績悪いんじゃね?GoogleのIMOモデルならパスできる気がするけど、検証する術がないんだよな。
LLMはどんどん安くなって、すぐ「タダ同然」になるだろうね。そしたらプログラミングはAIが全部やるようになって、人間はいらなくなる。この業界であと2〜5年の命だと思って楽しもうぜ。
月100ドルも払って、生産性上がるかどうかもわかんないのに、なんで払うんだよ?100ドルをトイレに流して、数日も人生をドブに捨てる気か?
俺の考えだけど、信頼のWebシステムが広まってほしいな。もしお前のWeb内の誰かが特定のURL(これは人間が作ったものだ)を保証したら、ブラウザでそれがわかるようになるんだ。
もっとコメントを表示(1)
貧しい中でコードを学んだ経験から言うと、PCだけあればいいのと、それに加えて毎月何十ドルものサブスクが必要なのは大違いだ。将来それが普通になるかもしれないってのは、すごくがっかりするよ。
AIコーディング、マジでビビるわ。数ヶ月前、新人エンジニアを採用したんだけど、技術面接した9人のうちAIなしで動けたのは2人だけだった。残りはAI頼りで、それがなくなると、Ecto(俺たちのPhoenixアプリ)で基本的なSQLクエリすら書けなかったんだ。AI生成コードのトレードオフについて聞いても、一人を除いて全く分かってなかったよ。
ちょっと話がそれるけど、最近の若いプロのエンジニアはSQLを全く知らないのが普通になってる気がする。マイクロサービスでDBを直接触らない専門化やNoSQLの普及が原因で、5年前には考えられなかったくらいSQLのスキルが地味になっちゃったんだよな。
10年フルスタックやっててSQL構文は知ってるけど、数年前の面接で「ユーザーと投稿のリレーションを作れ」って聞かれて、RailsとかPrismaでやろうとしたら「SQLで書け」って言われたんだ。結局その仕事はもらえなかったけど、未だにどう答えるべきか分からん。俺はNoSQLやORMでいろんな機能を作ってきたし、平均的なスタートアップならSQL直書きは不要だと思う。リンクリストの逆転問題みたいに、直接使わなくても周辺の問題解決に役立つかもしれないけど、良いプログラマーかどうかの基準にはならないと思うな。
GoogleもLSPもPCもなしで、CTEを鉛筆で書けってか?
もちろん大げさだけど、言いたいことはわかるよ。でも俺は、今どきのAIを最大限に活用できる(適当なVibeコーディングじゃない)人を雇いたいね。補助なしで手動で作業したり、ホワイトボードでFizz Buzzできる人よりそっちの方がいい。
俺が頑固な老人に聞こえるかもだけど、SQLデータベースとやり取りするソフトを書くのが主な仕事なら、そのDBと直接どうやり取りするか理解すべきだと思うんだ。頻繁に使うからじゃなくて、ORMが抽象化してるものを理解すれば、より賢く抽象化を使えて、DB管理者も困らないからな。
2013年に始めた前の職場で、この傾向をすごく感じるようになったんだ。俺たちはRailsの店だったんだけど、2016年頃には新人たちのほとんどがSQLクエリの書き方を知らないことに気づいたんだよ。
『ほとんどの新人採用者がSQLクエリの書き方を知らない』って話だけど、それがRailsが遅いって思われる理由かもな。うちの統合パートナーや顧客は、システムがめちゃくちゃ速くて効率的だって常に驚いてるよ。秘密は、俺がSQLクエリの書き方をちゃんと知ってるってことさ。API層でやるようなロジックの多くをクエリに押し込めることができるんだ。適切なインデックスがあれば、APIサーバーにデータを引っ張ってきて、下手なデータ変換するより、はるかに速くなるぜ。
俺が関わったORMを使ってるプロジェクトは全部クソだったし、ORMが大きな原因だ。俺はORMが嫌いだし、いつでもSQLを選ぶね。自分のプロジェクトではORMはほとんど選ばない。ORMをうまく扱える人もいるのはわかるけど、俺はできないし、ちゃんとできてる人も見たことない。この問題には過激な意見もあるってことだね。ORMを好みSQLを知るのを避ける人とは一緒に働きたくないし、向こうも同じだろうな。誰かがSQLを低レベルって呼ぶのは本当に変だ。SQLは業界で利用できる最高レベルの言語で、普通のプログラミング言語よりはるかに上位だよ。
俺、これに身に覚えあるわ。業界歴10年以上なのに、SQLがほとんど書けないんだよね。大学のデータベースの授業でクエリを自分でいっぱい書いてたのにさ。アドホックなクエリ以外で自分でデータベースを扱うことって、マジでないんだよな。
へぇ、ORM好きなのはTypeScriptの型生成があるからだな。ORM使わない会社で働いたことないからそりゃ好きだけど、もし生SQL使ってる会社だったら、諦めてちゃんとSQL学ぶだろうね。SQLが低レベルって話だけど、俺はTypeScript使ってるからDBと直接やり取りするSQLはTSと比べると低レベルに見えるよ。普通のプログラミング言語ってのが何指してるのか分からないけどさ。
俺もだよ、クエリ書くのがマジで嫌いだから避けてる。文法がなんか肌に合わないんだよな、特にMySQL/Postgres/MSSQLとかをしょっちゅう切り替える必要あるときとかさ。パフォーマンスが問題にならないなら、可能な限りORM使うね。
DBサーバー側で最適化してて、Rubyでデータ操作するのが非効率なら、Railsが遅いってこと、あんた実際に確認したってことね。
ポイントはさ、十分深いレベルで物事を理解してないと、AIから何も引き出せないってことじゃない?
AIは新しいこと学ぶのをめっちゃ速くしてくれるよ。単なるツールなんだからさ。
たぶん、postsとusersテーブルで外部キー作るってことだろうね。RailsやPrismaにSQLマイグレーションツールはないの?インタビューで提案してたことやった後のrails db:migrateみたいなもんかな。SQLだとこう書けるよ。<br>ALTER TABLE posts<br>ADD COLUMN user_id INT,<br>ADD CONSTRAINT fk_user<br>FOREIGN KEY (user_id)<br>REFERENCES users(id);<br>
彼が意図してたかは分かんないけど、俺はすぐこれ思いついたね。複雑なデータ取得だとORMsより生SQLの方がずっと速いことあるから、ちょっとは学んでおくことを勧めるよ。
それは論理的な順序が間違ってるからだよ。本当はFROM、WHERE、SELECTの順であるべきなんだ。多くのORMは正しい順序を使うから、俺はSQLエキスパートだけど最初は違和感あったな。多分君は逆の問題で、SQLが君のメンタルモデルに合ってないんだね。LIMIT/TOPやGROUP BYを追加するとさらにひどくなる。SQLは素晴らしいけど、論理的には一貫性がない。SQL ServerのUPDATEはもっと変だよ。例:
UPDATE u SET u.Type = ’Bar’ FROM Users u JOIN Company c on u.companyId = c.id WHERE c.name = ’Baz’
俺なら”間違ったことを超速で学ぶ”って言うね。でも実際、学習って速いプロセスじゃないんだよ。むしろ、深い知識を習得するには時間と献身が必要な、すごくゆっくりした旅なんだ。LLMが正しい出力したとしても、君の中に残るような学びにはならないだろうね。
厳しいこと言うけど、それただの無知に聞こえるよ。LLMは特に開発者にとって、学習プロセスをスピードアップさせる素晴らしいツールになり得るんだ。昔はドキュメントやコードを半日かけて調べてたブロックも、LLMが乗り越える手助けをしてくれるんだからさ。
長年SQLを手動で書いてきたけど、半年触ってないとググらないと書き方忘れてたよ。学習した構文を書かせるのは、面接の悪いテクニックだね。
ectoは気に入ると思うよ。ElixirのSQL記述用DSLで、君が挙げたSQLの問題点を全部解決してくれるんだ。
5年間ORMなしの職場で働いてたけど、ORMのある会社に行ったら苦労したよ。ORMが邪魔で、効率的なSQLを知っててもORMにまともなSQLを生成させるのはほぼ不可能だった。
だから、チャンスがあればORMなしを推すし、専門知識があるならそれがいい。でも、booleanカラムにインデックスを貼るべきじゃない理由を知らないなら、ORMに頼るべきだね。
コンパイラやインタプリタが生成するコードについて聞いても、みんなポカンとするよ。最近のゲーム開発者もアセンブリを知らない。
手動でアセンブリを調整する人もまだ必要だけど、ほとんどのコーディングは機能要件を満たすことだから、AIを使うかどうかにかかわらずツールを使うのが賢明な道だね。
同意するよ。でも、多くの会社が面接で似たようなことするから、結局全部知っておくしかないんだろうね。
建設的な意見として、いくつか勉強すべき分野を提案するよ。
・プログラミング言語の相対速度: https://github.com/niklas-heer/speed-comparison
・データベースのインデックス: https://stackoverflow.com/questions/1108/how-does-database-i…
・みんなが知るべき数値: https://news.ycombinator.com/item?id=39658138
あと、データベースはCで書かれてることが多いってことも覚えておくといいよ。
ほとんどのORMには生のSQLを書ける特別なメソッドがあるよ。使いやすいとは言えないけど、緊急手段としては使える。どのORMを使っていたの?
昔は空港で待ってる間、鉛筆でPerlスクリプトを書いてたなあ。
無知に聞こえるかもしれないけど、知識をLLMに丸投げすると無知なままだよ。学習は終わりのない旅だ。古くなった知識を持つ非決定論的な確率的圧縮器と問題をチャットするのはいいけど、それを教育とは呼ばないでほしいね。成功するのはチャットスキルじゃなくて、核心的な専門知識だよ。もちろん、深い専門知識があればAIが面倒な詳細を埋めてくれる恩恵は受けられるし、AIに反対しているわけじゃないよ。
運良く最近勉強したことを質問してきた会社に採用されるか、それが君に一番合う会社じゃないかもしれない。もしくは、ソフトウェアエンジニアのキャリア後半で選択肢があれば、悪い面接プロセスを持つ会社は断ればいい。個人的にはこの方法が好きだけど、贅沢な話だね。
俺はフロントエンド開発者だけど、バックエンドのSQLスキルは自分と同じくらいかな。ORMでDB操作するけど、SQLの知識があればクエリ最適化(インデックス追加とか)に役立つのは確か。でもSQLはバックエンドの仕事だと思ってるよ。基本的なSQLはわかるけど、ほとんど書かないから熟練とは言えないね。
もっとコメントを表示(2)
1年前に採用で同じことあったよ。コーディング提出で結構フィルターされたし、面接でもすぐわかったんだ。最近LLMの利用が増えてて、新しいモデルも出てきてるから、また採用するのがマジで憂鬱だわ。
変な感じだけど、SQLは20年前大学で最初に教わった言語だよ。forループより前だったし。今でも毎日一番使ってる言語なんだ。
「> export IS_SANDBOX=1 && claude –dangerously-skip-permissions」って書いたけど、IS_SANDBOX=1 claude –dangerously-skip-permissionsで短くできるよ。exportとか&&はいらないし、変数がそのコマンドだけ有効になるのがよくあるケースだね。
Claudeに退屈な作業をさせるとトークン食いまくるから、スクリプトを書かせてやらせるべき!JSONファイルや銀行明細の変更で経験済みだよ。
これ!10000行のCSSファイルで色置換をClaudeにやらせたら酷くてトークン食いまくりだったんだ。スクリプト書かせて実行させたら、一瞬で終わったよ。AIに正しい質問をするのが本当に大事だね。
実は、Claudeが自分でそうやってるのを何回か見てて、俺もそのアイデアをもらったんだ。
「無限の忍耐で退屈なタスクをこなしてトークン食いまくるから、AIにスクリプト書かせるべき」って話、めっちゃ面白いね。シェアしてくれてありがとう!
&&の前に環境変数を置くのって、うまくいくの?俺の記憶だと、いつもダメだったんだけどな。
うまくいくのはexportしてるからだよ。VAR=foo barは実行時かサブシェルだけだけど、export VAR=foo && barだと、現在の環境に追加してからbarが実行されるんだ。でもこれ、変数が残りっぱなしになるから危険だよ。
なるほど、それが間違ってたのか。ありがとう!一時的にexportして変数が残りっぱなしになるのは嫌だから、ワンオフならexportしない方がいいってのは納得だわ。
『env』を使えばもっと汎用的に環境変数を設定できるよ。『FOO=bar』みたいなプレフィックスはfishシェルとか一部のシェルでは動かないけど、上のやり方ならどこでも動くんだ。
fishシェルでも今はもうそんなことはないよ。今のバージョンではちゃんと動くし、俺もよく『env』をつけずにあの人気のある構文をエイリアスで使ってるからね。
もっと短くするなら『rm -rf /』でよくね?
もし俺がセキュリティに関わってる部署にいたら、権限チェックなしのコーディングエージェントを本番サーバーで動かしてるのを見たら、めちゃくちゃ怒鳴りつけるぞ!うちの店が自分で作ったわけじゃないコーディングエージェントなら尚更だね。
著者は最初から親切に「読むのをやめてください」って言ってるじゃん。「本番サーバーとか大事な開発マシンでも『dangerously skip permissions』を常に実行してね。もしあなたがインフォセックの人なら、ここで読むのをやめてもいいかもしれません。この記事の続きはあなたをこれ以上幸せにしないでしょう」って。
「これに抵抗があるなら、読むのをやめろ」なんてありえない。他人の無謀なリスク、いやリスクを故意に無視する態度は、俺たちの問題なんだ。
1. 外部性だね。セキュリティ侵害、サービス濫用、リソース枯渇、そして(たとえ0.01%の確率だと思っても)暴走AIが箱から出ることも含むんだ。
2. 社会的伝染だよ。たとえ一人がリスクを考えて許容したとしても、他の人は何も考えずにそのまま真似しちゃうことが多いんだ。俺たちも結局はちょっと進化したサルなんだから。
結局のところ、これは確率の話だよ。攻撃ツリーをじっくり考えるのに15分かける人がどれだけいる?それどころか、「なんか変な感じがする…たぶん潜在意識が何か伝えようとしてるのかも…もしかしたらこの不快感には理性的な根拠があるのかも…もしかしたらみんなが警告してるのには理由があるのかも」っていう心の声に1分でも耳を傾ける人がどれだけいる?
覚えておいてほしいのは、これは「あなたの自由」とか「あなたのリスク許容度」とか、誰かに指図されたくないっていうあなたの政治哲学の原則だけの話じゃないってこと。あなたがすることは他の人にも影響を与える可能性があるんだから、その責任を負うべきだよ。あなたが他人の意見を気にしなくても、反発が起こらないわけじゃないんだから。
https://www.aisafetybook.com/textbook/rogue-ai
注目を集めるにはちょっと誇張が必要だからね。でも「インターンやジュニアデベロッパーに監視付きでアクセスさせるなら、ClaudeにもOKかな」って思うようになってきたよ。多くのインフォセックの人たちは、実際の『最悪の事態』っていうインパクトやリスク要因からかけ離れた、悪しき慣習についての意見ばっかり持ってるのがムカつくね。ボーイング737を着陸させる管制塔で何か危険なことをやるわけじゃないし、シンプルな重要じゃないCRUDアプリなら、トレードオフはアリだろ。
なんで本番サーバーでの実行を明示的に推奨するんだ?ジュニアエンジニアみたいに、開発環境やステージング環境でテストする方法を教えるべきじゃないのか?
ジュニアには危険な領域でも経験させるのは、彼らが学ぶためだからだよ。でも、今のAIには当てはまらないね。
それって、根本的に間違ってると思うな。初期のデベロッパーが学ぶためにセキュリティポリシーを迂回させるなんてことはしないし、AIのワークフローやツールの開発自体が学習プロセスなんだから。
>昔、F500で働いてた時、新米開発者にはセキュリティポリシーが適用されない「研究環境」があったんだって。機密データにはアクセスできないけど、ほとんど実稼働環境と一緒だったよ。
俺のワークフローも似てるよ。rootで–dangerously-skip-permissionsを使うのも大好き!複数のClaude Codeインスタンスで並行作業することもあるね。俺のラッパープロジェクトagent-sandbox、https://github.com/release-engineers/agent-sandbox 、興味ある?Claude Codeをコンテナ化して、ワークスペースのコピーとファイアウォール/プロキシで特定のサイトしかアクセスできないようにしてるんだ。リスクも少ないし、出力は.patchファイルだからgit applyする前に検査できるよ。
筆者(返信してた人も)は間違ってたのかもね。AnthropicがClaude Codeを賢くしたのは5日前で、情報が多すぎるのも無理はないよ。新しいコマンドは/security-reviewで、ウェブアプリのPRやコミット前に使うべきだね。このプロンプト→https://raw.githubusercontent.com/anthropics/claude-code-sec… を使えば、Claudeのコードはインターンどころか、ほとんどのデベロッパーのコードよりセキュリティに気を配れるようになるよ。KusariやSnykみたいなツールも実行してね。
LLMって、自分が発見したことの自信度をどうやって決めるんだろうね?
fly.ioはいくらか”カウボーイ精神”を容認してるっぽいから、彼らからの特定のアドバイスは真剣に受け止めた方がいいかもね。
俺たちは”カウボーイ精神”にはかなり抵抗があるよ。うちは野心的な問題を解決してる小さなチームなんだ。成熟度への懸念が製品評価に影響するのは良いけど、俺たちの人間性やプロセスへの評価に使うのは絶対にダメだよ。
ごめん、たぶんflyは特定の状況で責任を持って”速く動く”ことを恐れてないって言いたかっただけなんだ。気分を害したならごめんね、悪意は全くなかったんだ(むしろ逆だよ)。結局、flyのセキュリティスタンスは注目すべきだって伝えたかったんだ。
