2026-05-18 に digitaldemocracy2030/kouchou-ai の security update PR を review した際の観測メモ。main@3809a7a、pr-822、pr-823 を local worktree で比較し、apps/public-viewer には dependency bump とは独立した build-time gotcha があることを確認した。source-codeより
Observations
PR #822(utils/dummy-server):npm install && npx next buildでNext.js 16.2.6build 完了PR #823(apps/admin,apps/public-viewer):apps/adminはpnpm build完了apps/public-viewerは API なし build で/と/faqの static generation が 60 秒 timeout retry- 同 timeout は
main@3809a7a(Next.js 16.2.3) でも再現 - mock API を入れると timeout は消え、別の prerender error に進む
NEXT_PUBLIC_API_BASEPATHのみ設定しAPI_BASEPATHを空にすると、Reporterがnew URL("/meta/reporter.png", undefined)相当でERR_INVALID_URLを起こし root page build が失敗#823は CI success 後もreviewDecision: REVIEW_REQUIREDで merge が block され、head 更新後に approval を入れ直す必要があった- Codex が review comment / approval comment を残す時は、人間が後から見て由来を判別しやすいよう
by Codexのような署名を付けた方が運用上よい
Open Questions
- API なし build の 60 秒 timeout retry を CI failure としてどう扱うか
client-build.ymlにAPI_BASEPATHを渡すべきか、あるいはReporter側で fallback すべきか- AI エージェントの PR comment / review で、どの程度まで署名フォーマットを統一するか
Updates
- 2026-05-18: 初版作成
- 2026-05-18:
#823merge 時に head 更新後の approval 再取得が必要だったことと、Codex 署名の運用メモを追記