先週(2026年4月13〜19日)のGitHub周辺は、AIエージェントの深化とセキュリティインシデントという二つの大きな波に揺れた一週間でした。GitHub Copilotの新機能展開から、コーディングエージェントの認証情報漏洩リスクまで、開発者にとって目が離せないニュースが相次ぎました。本記事では主要トピックを整理して紹介します。
GitHub Copilotにモデル選択機能が登場
4月14日、GitHub.com上でAgentタスクに使用するAIモデルをユーザーが選択できるモデルピッカー機能がリリースされました。対象モデルはClaude Sonnet/Opus 4.5・4.6、そしてGPT-5.2/5.3/5.4-Codexと幅広く、既存のCopilotサブスクリプションの範囲内で利用可能です。
これにより開発者は、タスクの性質(コードレビュー、バグ修正、テスト生成など)に合わせてモデルを使い分けられるようになりました。「どのモデルが自分のプロジェクトに合うか」を実験できる機会が増えたことは、実務上の大きなメリットです。
Claude Opus 4.7のCopilot統合
4月16日にAnthropicがリリースしたClaude Opus 4.7は、即日GitHub Copilot(Pro+プラン向け)への統合が始まりました。SWE-Bench Proで64.3%を記録し、コーディングベンチマークで首位奪還した同モデルは、4月30日まで7.5倍のプレミアムリクエスト乗数が適用されます。
注目のトレンドリポジトリ
AIエージェント系の急騰
今週のGitHubトレンドを席巻したのはAIエージェント関連リポジトリです。
- NousResearch/hermes-agent:1週間で約2万スターを追加し、合計10万スター超えを達成。CLI・Telegram・Discord・Slack・WhatsApp横断で動作し、200以上のモデルをOpenRouter経由でサポートする汎用エージェント。
- forrestchang/andrej-karpathy-skills:Andrej Karpathy氏の「LLMがコーディングで陥りやすいミス」をまとめた単一のCLAUDE.mdファイルが4.4万スターを獲得。「暗黙の前提を避ける」「コードを最小限に保つ」など4原則を定義し、Claude Codeの精度向上に直結すると話題に。
- google-ai-edge/gallery:Gemma 4などのOSSモデルをAndroid/iOSでオフライン動作させるリファレンスアプリ。デバイスオンチinference(端末単体でのAI推論)の普及加速を象徴するリポジトリ。
開発効率化ツールも躍進
- Yeachan-Heo/oh-my-codex:OpenAI Codex CLIの上位互換として、構造化ワークフローコマンドとマルチエージェント協調を追加したTypeScriptプロジェクト。
- siddharthvaddem/openscreen:有料のScreen Studioの無料代替ツールとして1週間で1.2万スターを獲得。AI無関係ながらトップ5入りした数少ないリポジトリ。
セキュリティインシデント:認証情報漏洩と供給チェーン攻撃
AIコーディングエージェントの脆弱性
4月16日、研究者がAnthropic・Google・Microsoft製AIコーディングエージェント共通の深刻な脆弱性を公表しました。コードコメントやGitHub issueに埋め込まれた悪意ある指示を通じて、エージェントがGitHubトークンを外部送信してしまう「コメント&コントロール型プロンプトインジェクション」攻撃です。3社いずれもCVEを発行せず、静かにパッチを適用しており、透明性の観点から批判を受けています。
Axiosサプライチェーン攻撃
4月13日、OpenAIはmacOSアプリの署名証明書を扱うGitHub Actionsワークフロー内でmalicious axios(v1.14.1)が実行されていたと発表。すべての証明書をローテーション済みで、ユーザーデータの流出は確認されていませんが、5月8日までのアプリ更新を推奨しています。
まとめ
先週のGitHubは「AIエージェントの台頭」と「それに伴うセキュリティリスクの顕在化」が同時進行した週でした。モデル選択の自由度向上、エージェント系リポジトリの爆発的なスター急増、そして認証情報漏洩リスクの露呈——開発者として恩恵を享受しながらも、セキュリティ意識をアップデートし続けることが求められる局面に入っています。