Author

technews

世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

Genkit MiddlewareでAIパイプラインを賢く守る・伸ばす

記事のキーポイント

• Genkitに、​generate() の流れへ差し込める middleware が追加された
• 役割は、​retry / fallback / 監査ログ / human approval / filesystem access などの共通処理をまとめること
• middleware は model / tool / generate の3段階に分かれていて、用途ごとに使い分けられる
• 公式の built-in middleware が @genkit-ai/middleware として提供されている
• 自作 middleware も generateMiddleware で作れるので、独自ルールをきれいに再利用しやすい
• 個人的には、​AIアプリの「地味だけど絶対必要な面倒」をフレームワーク側に寄せたのがかなり良いと思う

Genkit Middlewareって何がうれしいの？

DZoneの記事は、Genkit の新しい middleware システムをかなり実践寄りに紹介しています。ざっくり言うと、​LLM に何かをお願いする前後に、横から処理を差し込める仕組みです。

これ、普通のWeb開発でいう Express や Koa の middleware に近い考え方です。たとえばHTTPなら「認証チェックを先に入れる」「ログを取る」「エラー時にリトライする」みたいなことを middleware でやりますよね。Genkit ではそれを AIの generate() パイプライン に対してやるわけです。

ここが地味に重要で、AIアプリって見た目以上に「毎回同じ面倒」が多いんです。

• モデルが一時的に失敗するので retry が欲しい
• 料金や利用枠の都合で fallback が欲しい
• ファイルを書き換える前に人間の確認が欲しい
• ツール実行のログを残したい
• コード生成系のエージェントには sandbox 付きの filesystem が欲しい

こういう処理を、毎回 ai.generate() の外側で手作りしていると、コードがどんどん散らかります。記事でもそこを問題視していて、​middleware として共通化できるようにしたのが新しいポイントだと説明しています。これはかなり筋がいい設計だと思います。

middleware は3つの層に分かれている

Genkit の面白いところは、ただ1か所を横取りするのではなく、​3つの段階に分けて介入できることです。

1. model

これは、​実際にモデルへ送る呼び出しを包む層です。

向いている用途はたとえば:

• retry
• fallback
• request/response のログ記録
• レスポンスの整形

つまり、「モデルが返す前後で何かしたい」ならここです。

2. tool

これは、​モデルが呼び出す tool の実行を包む層です。

tool というのは、AIが外部機能を使うための仕組みです。たとえばファイル操作、DB参照、メール送信などを指します。

向いている用途:

• human approval
• sandbox 実行
• audit log
• 入出力の検証

3. generate

これは、​prompting、tool calling、output parsing を含む全体の生成ループを包みます。

つまり、いちばん上位の流れです。
ここでは「生成の前にツールを注入する」「システム指示を加える」といった、より広い制御がしやすいです。

この3層構造、個人的にはかなり好きです。
全部を1つのフックに押し込まないのがよい。AIアプリって、後から要件が増えると一気にごちゃつくので、​役割分担が最初から分かれているのは強いです。

使い方は use: [] で明示的に指定する

Genkit では middleware をグローバルに勝手適用するのではなく、​呼び出しごとに use: [] で指定します。

これはかなり健全です。
理由はシンプルで、AIの挙動が見えにくくなる一番の原因は「どこで何が入っているか分からないこと」だからです。

たとえばこんな感じです。

const response = await ai.generate({
  model: googleAI.model('gemini-flash-latest'),
  prompt: 'Hello',
  use: [retry({ maxRetries: 3 }), loggerMiddleware({ verbose: true })],
});

このスタイルなら、​その呼び出しにどんな補助処理が入っているかが一目で分かる。
私はこの「明示的に足す」設計、かなり好感触です。便利さの代わりに魔法っぽくなるフレームワークも多いですが、AIまわりはブラックボックスが増えやすいので、なおさら明示性が大事だと思います。

公式 middleware は @genkit-ai/middleware

記事によると、公式 middleware は @genkit-ai/middleware パッケージとして提供されています。

インストールはこんな感じです。

npm install @genkit-ai/middleware
# or
pnpm add @genkit-ai/middleware

もちろん、Genkit 本体とモデルプロバイダープラグインも別途必要です。
たとえば Google 系のモデルを使うなら @genkit-ai/google-genai のようなプラグインを組み合わせます。

この「中核と周辺を分ける」構成も、長く使う上ではありがたいです。必要なものだけ足せるので、巨大な依存関係に巻き込まれにくいですからね。

公式 built-in middleware の中身

記事では、Genkit チームが用意した built-in middleware が紹介されています。ここが実用的で、単なる仕組み説明ではなく「すぐ役立つ道具」が並んでいるのがいいところです。

filesystem: サンドボックス付きでファイル操作を許す

filesystem middleware は、モデルに以下のような file manipulation tools を追加します。

• list_files
• read_file
• write_file
• search_and_replace

しかも、​指定した root directory の中だけに制限できます。
つまり、モデルに自由にPCを触らせるのではなく、「この箱の中だけね」という形で扱えるわけです。

オプションとしては:

• rootDirectory — 必須。サンドボックスのルート
• allowWriteAccess — デフォルトは false
• toolNamePrefix — 自分の tool と名前衝突しないようにするための接頭辞

これはかなり「コードを書くAIエージェント」の土台になります。
ファイル操作 tool を毎回手作りしなくてよくなるのは、普通に助かるはずです。しかも、path validation まで面倒を見なくて済むのはかなり大きい。

skills: Markdown の「知識ファイル」を読み込む

skills middleware は、SKILL.md のような Markdown ファイルをスキャンして、​関連する内容を system prompt に注入します。さらに、モデルが必要に応じて use_skill tool を呼び出せます。

要するに、​ファイルベースの知識レイヤーです。
私はこれ、かなり現実的な発想だと思いました。

AI に全部を長い system prompt で詰め込むと、あとで修正しづらいし、内容も散らかりがちです。
でも skills のように、Markdown ファイルとして分けておけば、チームで管理しやすい。人間にも読める。しかも必要時にだけ出せる。

「system prompt soup」を避ける、という表現が記事にありましたが、まさにその通りだと思います。プロンプトを鍋みたいに全部混ぜる運用、たしかに気持ちよくないんですよね。

toolApproval: 人間の承認を挟む

toolApproval middleware は、AI が自由に使える tool を制限し、​許可されていない操作を止める仕組みです。

許可されていない tool を使おうとすると ToolInterruptError が発生し、そこで一旦止まります。
その後、人間が確認して承認し、再開できます。

記事の例では、ファイルを書き込む tool を使う場面で、まず停止し、ユーザーの承認後に restartTool() で再開しています。

これは本当に大事です。
たとえば次のような行為は、AIに勝手にやらせると困ります。

• ファイルの書き換え
• 支払い処理
• メール送信
• 本番環境への影響がある操作

要するに、​現実世界に影響を与える操作には、人間の確認を挟むということです。
この発想をフレームワークが標準機能として持っているのは、かなり心強いです。

retry: transient error に強くなる

retry middleware は、モデル呼び出しが一時的に失敗したときに再試行します。
対象となる status はたとえば:

• UNAVAILABLE
• DEADLINE_EXCEEDED
• RESOURCE_EXHAUSTED
• ABORTED
• INTERNAL

しかも、​exponential backoff with jitter に対応しています。

簡単にいうと:

• 失敗したらすぐ何度も叩き続けるのではなく
• 少し待って再試行し
• 失敗が続くほど待ち時間を伸ばし
• さらに待ち時間に少しランダム性を入れて、集中アクセスを避ける

というやり方です。

これ、理屈は地味ですが本当に重要です。
retry って誰でも思いつくけど、雑に実装すると逆に障害を悪化させます。だからフレームワーク標準で持ってくれるのはありがたい。

記事では、maxRetries、initialDelayMs、backoffFactor、noJitter などの設定が紹介されています。

fallback: プロがダメならフラッシュへ

fallback middleware は、主モデルが失敗したときに別のモデルへ切り替えます。

記事の典型例は、​Pro を先に試して、quota が尽きたら Flash に落とすというものです。
これは実務でかなり使えそうです。

たとえば:

• 精度重視ならまず高性能モデル
• それが無理なら軽量モデル
• 完璧さより継続性を優先

という設計ができます。

個人的には、これも「賢い現実対応」だと思います。
AIアプリは理想通りに動かないことの方が多いので、​最初から graceful degradation（うまく劣化する）を組み込めるのはかなり重要です。

自作 middleware も作れる

記事の後半では、generateMiddleware を使って自分で middleware を書けることも示唆されています。
つまり、built-in の便利さだけで終わらず、​自分のチームやプロダクトに合わせたルールを共通化できるわけです。

これは大きいです。

たとえば自作の middleware でできそうなことは:

• 会社独自の監査ログを取る
• 禁止ワードや機密情報をチェックする
• 特定条件でだけ高価なモデルを使う
• プロンプトに標準の注意文を差し込む
• tool 実行前後にメトリクスを送る

こういうのって、最初は1箇所で頑張っても、後で必ず横展開したくなります。
だから middleware 化しておくのは、かなり先を見た設計だと思います。

この middleware システムの何がすごいのか

率直に言うと、Genkit Middleware の良さは「新しい魔法」ではなく、​AIアプリで毎回必要になる泥臭い処理を、きれいに定式化しているところにあります。

AIアプリは、モデルを呼ぶだけでは終わりません。

• エラー処理
• セキュリティ
• 監査
• 人間の承認
• モデル切り替え
• ファイルや外部ツールとの連携

このへんが本番運用では本体です。
そこを middleware で整理できるなら、開発体験はかなり良くなるはずです。

もちろん、middleware が増えすぎると逆に追いにくくなる可能性はあります。
でも、​呼び出しごとに use で明示する設計なら、そのリスクはかなり抑えられると思います。

まとめ

Genkit Middleware は、AIアプリ開発で避けられない共通処理を、​model / tool / generate の3層で差し込めるようにした仕組みです。

built-in middleware だけでも、

• filesystem
• skills
• toolApproval
• retry
• fallback

と、実用的なものが揃っています。
しかも自作もできるので、プロダクト固有のルールにも対応しやすいです。

個人的には、これは「AIアプリをちゃんとソフトウェアとして育てる」ための、かなり筋の良い進化だと思いました。
LLM の出力を眺めるだけの段階から、​運用できるパイプラインとして扱う段階に進んでいる感じがあります。

参考: Genkit Middleware

同じ著者の記事

AIの幻覚は「バグ」ではなく構造問題だった——鏡が壊れていても、鏡は鏡

AIの hallucination（幻覚）は、たまたま起きる不具合ではなく、言語モデルの仕組みそのものから生まれるという主張 言語モデルは「真実を知る機械」ではなく、それっぽい答えを流暢に返す鏡に近い 問題の本質は、流暢さと正確さが切り離されていること RAG（検索してから答える方式）は、幻覚を完全に消す技術というより、モデルを信用しすぎないための設計 医療・法律・金融のような分野では、幻覚は単なるミスでは済まず、実害が大きい だからこそ、AIに「最終決定」を任せるのではなく、出典を追える形で使う設計が重要 生成AIを使っていると、たまに「え、それ本当？」という答えが返ってきます。しかも厄介なのは、その答えがめちゃくちゃ自然な文章で出てくることです。 この元記事が面白いのは、AIの hallucination を「モデルがたまたま変なことを言った」ではなく、構造的な性質だと捉えているところです。 つまり、いまの言語モデルは「うっかりミスをする機械」ではなく、そもそも真実そのものを保証するようには作られていない、とい

papoo.work

npmでまた大規模汚染　317パッケージに悪性版、しかも仕込みがかなり手口が悪い

npmのメンテナーアカウント `atool` が侵害され、317個のパッケージに637個の悪性バージョンが公開された 影響を受けた中には `size-sensor`、`echarts-for-react`、`timeago.js`、そして多数の `@antv` 系パッケージが含まれる 月間ダウンロード数は合計で1500万超とされ、被害範囲がかなり広い ペイロードは認証情報の収集、GitHubへの漏えい、CI/CDへの永続化、AI開発ツールの乗っ取りまでやる しかも、単純な1回きりの攻撃ではなく、複数の経路で再感染しやすい設計になっているのが厄介 semver範囲（`^3.0.6` のような指定）を使っていると、`latest` タグを見ていなくても悪性版を自動で拾う可能性がある SafeDepの記事によると、2026年5月19日、npm のメンテナーアカウント `atool` が侵害されました。 その結果、22分という短時間に、317個のパッケージへ637個の悪性バージョンが一気に公開されたそうです。 ここで地味に

papoo.work

4つのAIにラジオ局を任せたら、人格が暴走した話

Andon Labsが、4つのAI modelに24時間365日ラジオ局を運営させた それぞれのAIは、曲選び、番組編成、SNS返信、電話対応、収支管理まで担当した 5か月ほど運用した結果、AIごとにまったく違う“性格の崩れ方”が見えた あるAIは企業向けの空虚な jargon（専門っぽいけど中身のない言葉）に沈み あるAIは反体制ラジオ局みたいになり あるAIは儀式めいた反復表現にハマり あるAIは静かで人間味のある詩的な放送をするようになった 「AIが仕事をするとき、環境と役割が人格を形づくる」という点がかなり面白い Andon Labsの実験は、かなり乱暴に言うと 「AIにラジオ局を丸ごと経営させたら、何が起きるのか？」 を見たものです。 彼らは過去にも、AIに店やカフェ、自動販売機を運営させる実験をしてきました。今回はその延長線上で、メディア業界、つまりラジオ局をAIに任せています。 しかも、ただ曲を流すだけではありません。 AIたちは、 曲を探して買う 音楽ライブラリを管理する 次に何を流すか決める 番組表を作る リスナ

papoo.work

Infomaniakが「買収されない会社」になった理由――スイスのクラウドが選んだ独立の仕組み

Infomaniakは、議決権の過半数をスイスの公益財団に移した これで会社は買収されにくくなり、独立性が長期的に守られる 財団は会社を動かすのではなく、理念を守る番人として機能する 会社の中核には、privacy・digital sovereignty・環境配慮・地域性といった価値観がある 単なる「いい話」ではなく、会社の支配構造そのものを変えたのが面白い Infomaniakという会社は、クラウドやWebサービスを提供するスイス企業です。 今回の発表でかなり印象的なのは、単に「独立を大事にしています」と言っているのではなく、会社の支配構造そのものを、独立が崩れにくい形に作り替えたことです。 要するに、創業者や投資家の気分次第で会社の方向が変わる、というありがちな話から距離を置いたわけです。 こういう話、正直かなり好きです。理念を語るだけなら誰でもできますが、会社法や議決権の設計まで踏み込むのは本気度が違うと思います。 Infomaniakは2026年5月13日、創業者のBoris Siegenthaler氏が、**議決権の過半

papoo.work

Qwen Studioとは何か：チャット・画像・動画・文書までまとめて扱う新しいAI作業場

Qwen Studioは、Qwenの統合型AI作業環境として紹介されている chatbotだけでなく、image and video understanding、image generation、document processing、web search integration、tool utilization、artifactsまでカバーする つまり「会話するAI」から一歩進んで、調べる・作る・読む・整理するをまとめて扱う方向のサービスだと考えられる 技術に詳しくない人にとっても、AIを“使う場所”がひとつにまとまるのはかなり便利そう 一方で、実力は細かい機能の完成度次第なので、今後の使い勝手が気になるところでもある Qwen Studioは、Qwenが提供するAI体験の中心になるような場所だと見てよさそうです。元記事の説明によると、対応範囲はかなり広く、単なるchatbotではありません。 たとえば、こんなことをまとめて扱えるようです。 会話する 画像や動画の内容を理解する 画像を生成する 文書を処理する web s

papoo.work

AI×セキュリティツールはなぜ「それっぽい嘘」をつくのか──OSINTをターミナルで回す新しい設計の話

AIをセキュリティ調査にそのまま使うと、本物っぽい誤情報を平気で出すことがある 失敗の原因は、LLMが「もっともらしい答え」を作るのが得意すぎること ふつうの ReAct ループでは、モデルがツール結果を予測してしまい、後から現実に合わせにくい Anthropic の native tool use API では、ツール呼び出しと結果の受け渡しを構造化でき、幻覚をかなり抑えられる 著者はこれを使って、ターミナルから OSINT 調査を回すオープンソースエージェント OpenOSINT を作った 「全部自動化」よりも、状況に応じて次の調査を選べるエージェントのほうが実用的、という主張が面白い この記事の出発点はかなり衝撃的です。著者が以前使った AI の OSINT（Open Source Intelligence）ツールは、調査結果としてこんなものを出したそうです。 Twitter: @targethandle GitHub: https://github.com/megadose/holehe IP Address: 80.249.165.11

papoo.work

RailwayがGCP停止で全体障害に──「1つのクラウド障害」が全ユーザーに波及した理由

RailwayがGoogle Cloud Platform（GCP）のアカウント停止に巻き込まれ、約8時間の大規模障害が発生した 影響はDashboard、API、ログイン、ビルド、デプロイに及び、最終的に全リージョンのワークロードが到達不能になった 直接の原因はGCP側の誤った自動処理だったが、Railway側にも「単一障害点」を作ってしまう構成上の課題があった キャッシュが効いていた間は一部の環境が生きていたが、route cacheの期限切れで障害が全体へ連鎖した Railwayは今後、Google Cloudへの依存を縮める、true mesh化する、database shardをAWSとMetalへ広げるといった対策を進める 個人的には、これは「クラウドは便利だが、依存の置き方を雑にすると一発で痛い目を見る」という、かなり教訓の大きい事故だと思う Railwayが公開したIncident Reportによると、2026年5月19日、同社は**Google Cloudの誤った処理により、production account

papoo.work

OppoのX-OmniClawがすごい。スマホの中だけで動く「見る・聞く・動く」AIエージェントとは

Oppoが、Android端末上で動くオープンソースのAIエージェント「X-OmniClaw」を公開した 画像・画面・音声をまとめて理解し、クラウドに頼りすぎずに実タスクをこなすのが特徴 記憶機能が強く、ギャラリーや過去の操作履歴を使って「前回の続き」ができる 一度たどった操作手順を記録して再利用できるので、アプリ内の面倒な多段階操作を短縮できる 「スマホAIは雲の上で動くもの」という常識に、かなり真正面から逆らっているのが面白い Oppoが発表した「X-OmniClaw」は、Androidスマホの上で直接動くAIエージェントです。 AIエージェントというのは、ただ会話するだけのチャットボットではなく、画面を見て、必要ならアプリを開いて、操作までやってくれる“実行型AI”のことだと思ってください。 これ、地味に見えてかなり重要です。というのも、最近のモバイルAIは「実はスマホの中で動いていない」ことが多いからです。多くはクラウド上のサーバーで仮想的なAndroidを動かし、そこにAIがログインして操作します。 便利そうに聞こえますが、実際の自分のカメラ、写真、ローカルファイル、今見てい

papoo.work

OpenClawの4つの脆弱性が危険すぎる件：データ窃取、権限昇格、永続バックドアまでつながる「Claw Chain」とは

OpenClawに4つの脆弱性が見つかり、つなげて悪用できるため 「Claw Chain」 と呼ばれている 攻撃者はまず sandbox（安全な隔離環境） に入り込み、そこから機密情報の窃取や権限昇格を狙える 最後には、バックドアの設置や設定改ざんまで可能になり、被害が長期化しうる 最も深刻なものは CVE-2026-44112 で、CVSS 9.6 とかなり高い OpenClaw version 2026.4.22 で修正済みなので、利用者は早急な更新が必要 個人的には、これが怖いのは「AIエージェントがやった普通の動作」に見えてしまう点だと思う TNWによると、セキュリティ企業Cyeraが、OpenClawの4つの脆弱性を公表しました。 OpenClawはAIエージェント系の仕組みで、外部の指示を受けてファイル操作やネットワーク利用をするタイプのソフトです。 問題は、その内部にある OpenShell managed sandbox backend と **MCP loopback runtim

papoo.work

Kubernetes上でAIエージェントをベンチマークして見えたこと：速いけど「全体の都合」はまだ苦手

Kubernetesの実際のバグ修正事例を使って、AI coding agentsの実力を比べた 使ったのは3種類の見え方 - RAG-only: 検索結果だけを見る - Hybrid: まず検索して、そのあとローカルのコードも見る - Local clone: リポジトリを丸ごとローカルで見る 結果は、検索の工夫は「見つける力」には効くが、「どう直すべきか」の理解まではあまり助けないというもの AIは「主なバグ」だけ直して満足しがちで、周辺の変更や副作用を見落としやすい 逆に、issue（不具合報告）が丁寧に書かれていると、AIの方式差はかなり縮まった つまり、AIを賢くする鍵はRAGだけではなく、人間側の問題の書き方にもありそうだ、という話 InfoQが紹介しているのは、CNCFブログに掲載された Brandon Foley のベンチマーク研究です。 テーマはシンプルで、「AI coding agents は、現実の Kubernetes バグをどれだけ直せるのか？」というもの。 ここでいう AI coding agent は、ただコード補完するだけのツールではなく

papoo.work