How PAIGE grew revenue by 22% with Shopify, Next.js, and Vercel - Vercel
Multi-Factor Authentication (MFA) is now available - Vercel
Vercel Secure Compute now supports multiple environments - Vercel
CVE-2025-30218 - Vercel
Java Weekly, Issue 588 | Baeldung
Web における Security, Safety, Trust の相対性 | blog.jxck.io
Bringing intelligence to every workflow | OpenAI
New commission to provide insight as OpenAI builds the world’s best-equipped nonprofit | OpenAI
PaperBench: Evaluating AI’s Ability to Replicate AI Research | OpenAI
Our response to the UK’s copyright consultation | OpenAI

How PAIGE grew revenue by 22% with Shopify, Next.js, and Vercel - Vercel

PAIGEがShopify、Next.js、Vercelの導入により売上を22%増加させた事例

要約:

大手デニム・アパレル小売業のPAIGEは、既存のeコマースアーキテクチャの複雑さを解消するため、Shopify、Next.js、Vercelを活用したヘッドレス技術スタックを採用しました。その結果、ブラックフライデーの売上が22%増加、コンバージョン率が76%向上しました。

課題と解決策:

課題: 既存のeコマースシステム（Commercetools、Angular、Bloomreach）は複雑で、統合やデータ同期に問題があり、イノベーションを遅らせ、開発を遅延させ、運用上の課題を引き起こしていました。
解決策: PAIGEは、サイトの再設計ではなく、eコマースプラットフォーム全体の再構築を選択。Shopifyをeコマース、小売、フルフィルメント、カスタマーサービス、マーケティング全体にスムーズに統合し、オムニチャネル機能を強化しました。Next.jsを採用することで、サーバーサイドレンダリング（SSR）を実現し、SEOの問題を解決、業界標準に準拠、ベンダーロックインを回避しました。Vercelは、自動デプロイ、グローバルCDN、プレビューデプロイ、インスタントロールバックなどの機能により、ピーク時でも安定したユーザーエクスペリエンスを提供し、開発者の作業効率を向上させました。

成果:

ブラックフライデー期間中の売上が22%増加
コンバージョン率が76%向上
1分あたりの平均注文数が24%増加
トラフィックが22%増加（ダウンタイムなし）

今後の展望:

PAIGEは、新しい技術スタックによりオムニチャネル機能の拡張を加速し、顧客の期待と市場トレンドに対応し、今後のピークシーズンに向けても準備を整えています。

Multi-Factor Authentication (MFA) is now available - Vercel

View on Vercel Blog

Vercelで多要素認証（MFA）が利用可能に

Vercelは、アカウントのセキュリティを強化するために、多要素認証（MFA）のサポートを開始しました。これにより、ユーザーは、時間ベースのワンタイムパスワード（TOTP）を使用するMFAを設定できるようになりました。TOTPは、Google AuthenticatorやAuthyなどの認証アプリで一般的に利用されています。また、既存のパスキー（WebAuthnキー）も、セカンドファクターとして使用できます。

MFAの有効化方法:

アカウント設定の「認証」に移動し、MFAを有効にします。
従来のログイン方法（メールOTPまたはGitプロバイダ）を使用して最初の要素でログインします。
TOTP認証アプリを使用してセカンドファクターによる認証を完了します。

重要な情報:

パスキーログイン（WebAuthn）は、本質的に二要素認証であるため、追加の検証は必要ありません。
チームスコープのSAML SSOログインは、認証をIDプロバイダ（IdP）に委任するため、Vercel内での追加要素は必要ありません。

VercelのMFAを有効にして、アカウントのセキュリティを向上させましょう。詳細は、アカウント設定またはドキュメントをご覧ください。

Vercel Secure Compute now supports multiple environments - Vercel

View on Vercel Blog

Vercel Secure Compute が複数の環境に対応

この記事は、Vercel Secure Compute が複数の環境（本番環境、プレビュー環境、カスタム環境）に対応したことを伝えています。

概要:

Vercel Secure Compute を利用しているチームは、各プロジェクト環境（本番環境、プレビュー環境、カスタム環境）を、プロジェクト設定から個別の Secure Compute ネットワークに関連付けることができるようになりました。
これにより、1つのプロジェクト内で環境固有のネットワーク分離が容易になります。

設定方法:

プロジェクトの「Settings」ページに移動し、「Secure Compute」セクションを開きます。
Secure Compute に接続する各環境に対して以下を設定します。
- アクティブなネットワークを選択します。
- オプションで、フェイルオーバーを有効にするためのパッシブなネットワークを選択します。
- オプションで、プロジェクトのビルドコンテナをネットワークに含めるように設定します。
変更を保存します。

より詳細な情報は、Vercel のドキュメントを参照するように案内しています。

CVE-2025-30218 - Vercel

View on Vercel Blog

CVE-2025-30218 - Vercel に関する詳細な要約

この脆弱性に関する報告は、Vercel が CVE-2025-29927 の修正過程で、Middleware の他の潜在的なエクスプロイトを調査した結果、独立した研究者からの2件の報告と並行して検証されました。

概要:

Next.js は、CVE-2025-29927 を軽減するために、複数の着信リクエスト間で保持される x-middleware-subrequest-id を検証しました。この ID は、Middleware 内でサードパーティへのフェッチリクエストを開始した場合、Next.js アプリケーションと同じホストではない宛先に対しても送信されるという問題がありました。

影響:

この脆弱性は、攻撃者がサードパーティを制御する必要があるため、悪用される可能性は低いと考えられていますが、Vercel は予防的に対応しました。この再帰防止ロジックは、Middleware の新しいアップデートでは Node.js ランタイムをサポートしていないため、削除する予定でした。今回の報告により、ランタイム間の整合性を高める取り組みが加速されました。

Vercel の顧客は、既にプラットフォーム環境に実装されている軽減策によって保護されています。ただし、チームは最新の Next.js パッチバージョンまたは選択したバックポートへのアップデートを推奨しています。Next.js アプリケーションをホストする他のインフラストラクチャプロバイダーは、Vercel の再帰保護の実装に特有のものであるため、この問題の影響を受けません。

修正:

このアドバイザリーは、CVE-2025-29927 の事後分析に基づき、OSS パッケージ内の脆弱性の開示に関する新しい社内プロセスに沿って公開されました。Vercel は、15.x をパッチし、12.x から 14.x までのバージョンに対してバックポートを提供しました（新たに公開された LTS ポリシーの例外として）。また、早期開示のために、Next.js の新しいパートナーと協力しました。インフラストラクチャプロバイダーで協力したい場合は、partners@nextjs.org までメールで連絡できます。

謝辞:

Jinseo Kim (kjsman) および ryotak に対して、責任ある開示に感謝の意を表します。これらの研究者は、バグ報奨金プログラムの一環として報奨金を受け取りました。

Java Weekly, Issue 588 | Baeldung

View on Baeldung

Java Weekly, Issue 588 要約

この Java Weekly の Issue 588 は、2025年4月3日に更新され、Javaおよび関連技術に関する最新情報をまとめています。

1. 主なトピック:

SpringとJava: Hibernate 6 での属性部分取得の簡素化、Jakarta Persistence 4 への提案。
メモリ管理: Java Cleaner API を使用した効率的なリソース管理。
JavaOne 2025: Day 2 と Day 3 のレポート：FFM API、Virtual Threads、Platform Engineering、Jakarta EE の進化、Java の将来など。
その他のトピック: Jakarta Data の仕様、Valhalla での var-handles の改良、STF Milestone 3 のリリース検証と自動化。

ウェビナーとプレゼンテーション:

Java 25 の安定値、Java 24 リリースノート、Buildpacks、Docker イメージに関するポッドキャストなど。
独自の MCP サーバーの作成、AWS を利用したエージェント構築チュートリアル（Java, Spring AI, Amazon Bedrock & MCP）。

アップグレード情報:

Quarkus 3.21 (MongoDB Client への TLS レジストリサポート)、Quarkus 3.20 (新しい LTS バージョン)。
generator-jhipster v8.10.0、zuul v3.0.1、Micronaut Core 4.8.9、camel-4.11.0。

2. 技術的な考察と考察:

SQLとLambda: jOOQ を使用した Java のラムダ式と SQL のラムダ式のマッピング。
MCP Authorization: エンタープライズ環境におけるMCP認証仕様の問題点。
MCP Recent Change: HTTP+SSE 周りの MCP の最近の変更に関する理解。
String Matching: 大規模な文字列マッチングに関する学際的な協力の呼びかけ。

3. 今週のおすすめ:

4月9日と10日に開催される JDConf 2025 での講演：Java と AI、Spring Boot、Jakarta EE、Java 25、Quarkus など。

Web における Security, Safety, Trust の相対性 | blog.jxck.io

View on blog.jxck.io

WebにおけるSecurity, Safety, Trustの相対性：詳細要約

この記事は、Webの世界における「Security（セキュリティ）」「Safety（安全性）」「Trust（信頼）」の関係性について、技術的側面と社会的な側面から深く掘り下げています。

1. 理想と現実のギャップ

インターネットは自由で理想的な世界を目指して発展してきたが、プライバシー保護、不正行為の防止、詐欺被害からの保護といった「信頼」を確保しようとすると、技術的な対策（暗号化、匿名化、秘匿化など）が必要となり、それらは同時に新たな問題を引き起こす可能性がある。

2. 監視とセキュリティのジレンマ

国家による監視: 暗号化技術の進化により、通信の安全性が高まる一方で、国家による監視（例：PRISM）の可能性も指摘。国民の安全を理由とした監視は、プライバシーとの間でジレンマを生む。
暗号化の限界: 暗号化技術は、犯罪者（テロリストや詐欺師など）の通信も保護してしまう可能性がある。国家は、治安維持のためにバックドアの設置やデバイスへのCA証明書のインストールを義務化しようとするが、これは言論統制の手段ともなりうる。
二重基準: 治安維持とプライバシー保護は二律背反の関係にあり、インターネットが社会インフラとなった現在、このジレンマは深刻化している。「警察が信用できるか」という前提が重要になる。

3. 安全性の錯覚とユーザの判断の難しさ

誤解を招くシグナル: HTTPSの鍵マークは通信の安全性を保証するだけで、コンテンツの信頼性を示すものではない。しかし、ユーザはこれを安全性の指標と誤認しがち。
フィッシング詐欺: URL詐欺やサブドメイン詐欺など、フィッシング詐欺は巧妙化しており、ユーザが安全性を判断することはますます困難になっている。
Passkeyの導入: Passkeyはフィッシング対策として有効だが、「ユーザにパスワードマネージャの利用を強制する」側面があり、安全性と利便性のトレードオフを示唆している。
真に必要なもの: ユーザは、サービス提供者による「そのサイトが本物かどうかをユーザに代わって調べてくれる誰か」を求めている。

4. 3rd Party Cookieとプライバシー保護

3rd Party Cookieの課題: 3rd Party Cookieはトラッキングに利用され、プライバシー侵害の問題を引き起こしてきた。EUのGDPRを筆頭に、規制強化が進んでいる。
規制の限界: トラッキングを完全に排除することは難しく、メールアドレスの連結など、別の手段でデータ収集が行われる可能性もある。
ジレンマ: 3rd Party Cookieは、セッション維持やSSOといった正当な目的にも利用されており、一概に「悪」と断定できない。

5. Onion Proxyとダークネット

匿名性の重要性: Onion Proxyは、告発者の匿名性を確保し、表現の自由を守るために利用されている。
ダークネットの闇: ダークネットは、犯罪の温床ともなっており、匿名性が犯罪を助長する側面もある。
OHTTPとPrivate Relay: IPアドレスを隠蔽する技術（OHTTPやPrivate Relay）は、プライバシー保護に貢献するが、同時に犯罪追跡を困難にする可能性もある。

6. End-to-End暗号化の誤解と現実

E2E暗号化の誤解: E2E暗号化は、メッセージが送信者と受信者の間で安全にやり取りされることを意味するが、Zoomのように、実際にはサーバを経由し、通話内容がサービス提供者に見える可能性もあるケースが存在する。
技術的制約: 多人数通話では、E2E暗号化はクライアントとネットワークへの負荷を増大させ、サービスの最適化を難しくする。
実際のE2Eの例: WhatsAppやSignalは、E2E暗号化を徹底し、通信の秘匿性を高めているが、政府によるアクセス要求という問題も抱えている。

7. 自由と安全のトレードオフ

Chrome拡張機能: Manifest v2では、拡張機能がブラウザの全リクエストを監視できたため、Ad Blockなどの機能が実現したが、同時にセキュリティリスクも存在した。Manifest v3では、セキュリティ強化のため、拡張機能の機能が制限され、自由度が失われた。
プラットフォームのジレンマ: 安全性を高める施策は、必ずしもユーザに受け入れられるとは限らず、自由の制限と見なされることもある。

8. Walled Gardenとセキュリティ

iPhoneのセキュリティ: iPhoneは、アプリのインストール制限など、セキュリティ対策が強固だが、AppleのStore手数料が問題視され、オープン化の圧力がかかっている。
プラットフォームの力と課題: 巨大なプラットフォームは、セキュリティを担保する一方で、不当な搾取や圧力、腐敗に繋がる可能性もある。

9. ウイルス対策ソフトとセキュリティ

セキュリティ対策の限界: 堅牢なシステムであっても、攻撃者は人間の脆弱性を突いて侵入してくる。
対策のジレンマ: 対策には、高コストがかかり、完璧な防御は不可能に近い。セキュリティ対策ソフトの導入は、必ずしもインシデントを完全に防ぐものではない。

10. 正しさの相対性

技術の正しさ: 技術の「正しさ」は、人間の都合や社会的な文脈によって変化する。絶対的なものではなく、相対的なものとして捉える必要がある。
議論の重要性: 自由、安全、信頼のバランスは、個々の価値観や状況によって異なり、常に議論し続けることが重要である。
自己矛盾: 筆者は、プライバシー保護、治安維持、自由の尊重といった相反する価値観を持ちながら、それらの間で揺れ動く人間のあり方を認識している。

結論

この記事は、Webの世界におけるセキュリティ、安全性、信頼といった概念が、技術的側面と社会的な側面で複雑に絡み合い、常に変化し続けるものであることを示しています。絶対的な「正しさ」はなく、個々の価値観や状況に応じて、これらのバランスを考え、議論し続けることが重要だと結論付けています。

Bringing intelligence to every workflow | OpenAI

View on OpenAI News

OpenAI: 全てのワークフローにインテリジェンスを

この記事は、NotionとOpenAIの協業による、AIを活用したワークスペースの進化と、そのビジネスへの影響について解説しています。

概要:

Notionは、チームがメモ、計画、ロードマップなど、あらゆるものを書き込み、整理するためのワークスペースです。OpenAIのモデル（GPT‑4o、GPT‑4o mini、埋め込みなど）を統合することにより、NotionはAIを活用したプラットフォームへと進化しました。これにより、コンテンツの要約、文章生成、自然言語での質問に対する回答が可能になり、ユーザーのワークフローを大きく変革しています。

主なポイント:

AIの統合: Notionは、既存の機能にAIを付加するのではなく、製品体験を根本から見直し、OpenAIのモデルを全面的に統合しました。検索、データベース作成、会議メモなど、あらゆる機能でAIが活用されています。
協業の効果: Notionは、OpenAIの初期アクセスを得て、AIを統合した新しいバージョンのNotionを迅速に開発しました。OpenAIのモデルの改善にも貢献し、Notionは、OpenAIのモデルのパフォーマンス向上に貢献しました。
ユーザーへの影響: Notion AIの導入により、ユーザーは週に70分以上の時間を節約できるようになりました。ユーザーの約3/4は、AI機能なしでの作業を望まないと回答しています。
ビジネスへの影響: Notion AIは、200万人以上のウェイトリスト登録者を獲得し、有料プランを通じて収益を増加させました。AIの深い統合により、Notionは製品開発を加速させ、パフォーマンスと機能の両方を向上させています。
未来の展望: Notionは、単なる情報生成ツールではなく、ワークフローを自動化するツールへと進化することを目指しています。将来的には、AIが真のコラボレーター、つまり「チーフ・オブ・スタッフ」として機能し、ユーザーのパフォーマンスを最大限に引き出すことを目指しています。

まとめ:

NotionとOpenAIの協業は、AIがワークスペースを変革する可能性を具体的に示しています。AIを深く統合することで、ユーザーの生産性向上とビジネスの成長を両立させています。Notionは、AIを「ライティングアシスタント」から「真のコラボレーター」へと進化させることで、ワークフローの未来を創造しようとしています。

New commission to provide insight as OpenAI builds the world’s best-equipped nonprofit | OpenAI

View on OpenAI News

OpenAIが世界最高の非営利団体を構築するための新たな委員会を設置

2025年4月2日、OpenAIは、世界で最も優れた非営利団体を構築するための取り組みの一環として、新たな委員会を設置することを発表しました。

OpenAIは既に非営利団体として活動しており、AIを活用して人々の困難な問題解決を支援しています。今回の目標は、歴史的な規模の資金と、人間の創造性を拡大できる技術を組み合わせることで、世界最高の非営利団体を創出することです。

OpenAIは、関連会社の価値が向上するほど、コミュニティへの投資能力も向上するような慈善活動を構想しています。さらに、資金だけでなく、電気以来最も重要な技術であるAIを、カリフォルニア州、アメリカ全土、そして世界中の非営利団体に提供することを目指しています。AIによって研究、発見、診断、創薬、教育、成果の研究などが効率化されることで、慈善活動に費やす資金を他の目的に活用できるようになると考えています。

OpenAIは、イノベーションが全ての人に機会をもたらすべきだと信じています。そこで、OpenAIの取締役会は、非営利団体が直面する最も緊急かつ困難な問題について理解を深めるため、専門家グループを招集することを決定しました。この委員会は、健康、科学、教育、公共サービス分野のリーダーやコミュニティからのフィードバックも取り入れ、特にOpenAIの本拠地であるカリフォルニア州からの意見を重視します。

委員会のメンバーは4月に発表され、90日以内にOpenAIの取締役会に洞察を提出する予定です。取締役会は、2025年末までに、この洞察を参考にOpenAIの非営利活動をさらに発展させていく予定です。

取締役会は、OpenAIの慈善活動がどのようにその歴史的な資源を最大限に活用できるかを検討するために、慈善コミュニティや現場の関係者との連携の重要性を認識しています。委員会は、OpenAIのイノベーションが人々のために機能するよう、その原則を重視して活動を進めます。

PaperBench: Evaluating AI’s Ability to Replicate AI Research | OpenAI

View on OpenAI News

PaperBench: AIによるAI研究の再現能力を評価するベンチマーク (OpenAI)

概要:

OpenAIは、AIエージェントが最先端のAI研究を再現する能力を評価するベンチマーク「PaperBench」を発表しました。PaperBenchでは、AIエージェントは、2024年のICML（国際機械学習会議）のSpotlightおよびOral論文20本を、論文の内容理解、コードベースの開発、実験の成功に至るまで、ゼロから再現する必要があります。

評価方法:

客観的な評価のために、各再現タスクをより小さなサブタスクに階層的に分解し、明確な採点基準を設けたルーブリックを開発しました。PaperBenchには、合計で8,316個の個別に採点可能なタスクが含まれています。ルーブリックは、正確性と現実性を高めるため、各ICML論文の著者と共同で開発されました。

評価の拡張性:

スケーラブルな評価を可能にするため、LLM（大規模言語モデル）ベースのジャッジを開発し、ルーブリックに沿って再現試行を自動的に採点できるようにしました。また、ジャッジのパフォーマンスを評価するための別のベンチマークも作成しました。

実験結果:

PaperBenchを用いて、いくつかの最先端モデルを評価しました。最も高いパフォーマンスを示したのは、Claude 3.5 Sonnet (New) で、オープンソースの足場（scaffolding）を利用した場合、平均再現スコアは21.0%でした。

人間との比較:

最後に、PaperBenchの一部のタスクについて、優秀な機械学習博士課程の学生に試行してもらい、モデルが人間のベースラインをまだ上回っていないことを確認しました。

公開:

AIエージェントのAIエンジニアリング能力に関する今後の研究を促進するため、コードをオープンソースで公開しています。

Our response to the UK’s copyright consultation | OpenAI

View on OpenAI News

OpenAI、英国の著作権に関する協議への回答

2025年4月2日、OpenAIは英国議会の科学・イノベーション・技術委員会に対し、英国政府のAIと著作権に関する協議への回答書を提出しました。この回答書では、英国をAIの中心地として確立し、著作権者の正当な権利を維持するための、革新を促進する政策を提言しています。

OpenAIは、英国がAI分野でヨーロッパをリードするためには、明確な規制を設け、AIへの投資、インフラ、人材獲得を競う他の国々との競争力を高める必要があると主張しています。

具体的には、協議提案のオプション2で示されているように、包括的なテキスト・データマイニング（TDM）例外を設けることが、英国政府がAIの幅広いメリットを国民にもたらすための最良の方法であると提案しています。

OpenAIの立場は、以下の3つの主要原則に基づいています。

[原則は本文中に明記されていません]

OpenAIは、英国が教育、科学、医療分野でのブレークスルーを達成するための政策を採用し、イノベーションを促進するか、変革的なテクノロジーの未来におけるAIリーダーシップと影響力を他の国々に譲るかの選択を迫られていると考えています。

OpenAIは、世界中の政府やクリエイターと協力し、AIイノベーションと著作権の未来を形作っていくことを期待しています。