AIエージェント時代の新標準はどれだ?
Cursor vs ZED vs GitLab 徹底比較
SpaceXが約9兆円規模でCursorを買収し、ZEDは「コミットの先」を録るDeltaDBを公開、GitLabはDuo Agent Platformで開発ライフサイクル全体をAIに委ねはじめた——。2026年、ソースコードを書き・レビューし・保管するレイヤーで、三者三様の覇権争いが起きています。本記事は、エンジニアが「自分のチームはどれを選ぶべきか」を判断するための実用ガイドです。
Cursor
ZED / DeltaDB
GitLab
// 目次
価値は「開発者が実際に作業するレイヤー」へ移動した
2026年6月のわずか数日間で、業界の地図が書き換わりました。SpaceXが6月12日に史上最大規模のIPOで約750億ドルを調達し、そのわずか4日後の6月16日、Cursorを開発するAnysphere社を約600億ドルの全株式取引で買収すると公表。ベンチャー企業の買収としては史上最大とされます。ほぼ同時期、ZEDは編集操作を丸ごと記録するDeltaDBのウェイトリストを開き、GitLabは2026年1月にDuo Agent Platformを一般提供(GA)へ。三者が、それぞれ別の角度から同じ獲物——「コードが生まれる場所」——を狙っています。
共通する本質はひとつ。AIが安価に・大量にコードを書くようになると、価値はモデルそのものよりも「開発者が実際に作業し、コードが書かれ・レビューされ・保管されるレイヤー」に集まる、ということです。SpaceXがCursorに払った金額は、その不動産の値段だと考えると腑に落ちます。本記事は、この三者を「エディタ(Cursor)」「履歴基盤(ZED)」「統合プラットフォーム(GitLab)」という別レイヤーとして整理し、フェアに比較していきます。
Cursor:MIT卒4人から、4年弱で6兆円超の主役へ
Anysphere社は2022年、MIT卒の4名——Michael Truell(CEO)、Sualeh Asif、Aman Sanger、Arvid Lunnemark——によって設立されました。OpenAI Startup Fundがリードした初期の資金調達を経て、エディタ「Cursor」は2023年3月にローンチ。そこからの売上成長は、ビジネスソフトウェア史上でも屈指の急角度を描きます。
年間経常収益(ARR)の推移が雄弁です。2025年1月に約1億ドル、年央に約5億ドル、2025年11月に10億ドル超、そして2026年2月には20億ドル。Anysphereは2026年末までに60億ドル超を見込むとされ、買収時点では年換算で約40億ドル、うち約26億ドルが企業向けでした。Fortune 500の相当数で開発者が利用し、1日あたり約1億5,000万行の企業コードが生み出されているとも報じられています。
強みと弱み:速いが、利益率の罠があった
+実装スピードが圧倒的
「テストを直して」「このモジュールを新APIに移行して」——短い指示で複数ファイルを一気に書き換える。日々の実装を最速で前に進める体験は、現時点で頭ひとつ抜けている。
+巨大な導入実績
数万社の企業顧客と、Fortune 500の広い層。エコシステムと事例の厚みは、チーム導入時の安心材料になる。
−利益率を競合に握られていた
中核コストである推論を、競合アプリも持つモデル提供元から小売価格で買う構造。売上が伸びてもシェアは41%前後から26%前後へ低下したと報じられ、これが売却の一因とされる。
−所有者が変わった不確実性
SpaceX傘下入りで計算資源面の不安は解消に向かう一方、統合の行方とガバナンスは未知数。クリティカルパスのツールが週末ひとつで親会社を替える時代になった。
成長中の企業が売却に動いた理由は「利益率の罠」です。中核コストがモデルAPIで、その提供元が競合アプリを出しているとき、粗利は構造的に頭打ちになります。Cursorの脱出路は、計算資源を原価で供給できる買い手の傘下に入ること。多くのスタートアップに2兆ドル企業の買い手は控えていないため、「推論レイヤーを自分で握れるか」がエージェント型AI時代の戦略的な分かれ目になりました。
ZED:コミットではなく「操作」を録る次世代SCM
2026年6月11日、高速エディタ「Zed」を手がけるZed Industriesが、異なる発想のバージョン管理システムDeltaDBのウェイトリストを公開しました。共同創業者Nathan Sobo氏は、コードを生み出す「会話」こそが今やソフトウェアの真の源になりつつあり、コミット中心に作られたGitはそれを捉えるように設計されていなかった、と説きます。
Gitがコミット時点のスナップショットを保存するのに対し、DeltaDBは作業を一つひとつの編集操作(デルタ)の流れに分解し、それぞれに安定した識別子を与えます。エージェントのメッセージと、それが生んだ編集を並べて記録するため、両者が離れ離れになりません。技術的には2011年に定式化された操作ベースのCRDT(コンフリクトフリー・レプリケーテッド・データ型)の上に構築されており、Redis・Riak・Azure Cosmos DBなどの分散DBでも使われてきた実績のある考え方です。
操作モデルが解き放つもの
+壊れない参照
コメントやリンクは行番号ではなくデルタに紐づくため、周囲のコードが動いても生き残る。コード変換をまたいで有効な文字単位のパーマリンクが実現する。
+会話とコードの溶接
任意の行からそれを生んだ会話へ、任意のメッセージから現在のコードへ往復できる。「なぜこう書かれたのか」が履歴に常駐する。
+同時編集ワークツリー
CRDTベースのワークツリーにより、複数の人間とエージェントが同じファイルを同時編集できる。ファイルは実体のまま、エージェントは端末経由で操作する。
−実装の難度とプライバシー
ストレージ層全体への操作ベースCRDT適用は難しく、レビュアーも率直に指摘。試行錯誤の途中経過まで自動で記録される点には、プライバシー上の懸念も挙がっている。
重要なのは、DeltaDBがGitを廃止するものではなく、Gitと相互運用するものとして位置づけられている点です。狙いはGitやCIを置き換えることではなく、コミット前の協働を捉えやすくすること。GitとCIはチェック実行役として残り、「どう作られたか」の日々の記録が操作ストリームへ移ります。Zedはエディタ同様、OSS化+任意の有料サービスというモデルを計画しており、ベータは公開から数週間以内に提供されるとされていました。価格やOSS化の正式日程は発表時点で未確定で、GitHubやGitLabはコメントしていません。「真剣な仮説だが、実装は未証明」——これが2026年6月時点の正直な評価です。
GitLab:エディタではなく「開発ライフサイクル全体」を獲る
CursorとZEDがエディタと履歴という「点」を攻めるのに対し、GitLabは計画→コーディング→CI/CD→セキュリティ→デリバリーという開発ライフサイクル全体を一つの基盤で押さえにきています。その中核が、2026年1月15日に一般提供(GA)が始まったGitLab Duo Agent Platformです。
これは複数のAIエージェントを開発ライフサイクル全体に組み込むAIネイティブ基盤で、課題・マージリクエスト・パイプライン・セキュリティ検出結果といった文脈を横断し、Web UIとIDEの両方でマルチステップの推論を行います。GitLab提供のFoundational Agent・Planner Agent・Security Analyst Agentに加え、AIカタログで作るカスタムエージェント、さらにAnthropic Claude CodeやOpenAI Codex CLIなどを統合した外部エージェントも組み合わせて使えるのが特徴です。MCPクライアントを通じてJira・Slack・Confluenceなど外部システムとも安全に連携できます。
GitLabの決定的な武器:統制とセルフホスト
GitLabが他の2者と一線を画すのは、データを外に出さない統制です。GitLab DuoはAI機能へ入力したコードやデータをモデルの学習に使わない方針を明示。さらにDuo Agent Platform Self-Hostedでは、推論を自社ハードウェア上で実行し、データレジデンシー要件・エアギャップ環境・コンプライアンス規制を抱える組織でも、複数のオープンソースモデルから選んでエージェント型タスクを動かせます(GitLab 19.0で対応モデルが拡充)。機能ごとにセルフホストモデルとGitLab管理モデルを組み合わせるハイブリッド運用も可能です。
+ライフサイクル全体を統制
計画からセキュリティまで一基盤。エージェントが横断的に文脈を持つため、手動のコンテキスト切り替えが減る。
+セルフホスト+データ非学習
規制・機密環境でも、データを外に出さずにAIエージェントを運用可能。エンタープライズの導入障壁を正面から解消する。
−ライセンス体系が複雑
Duo Core / Pro / Enterprise、クレジット消費、Self-Hostedアドオン——機能と課金の対応関係を理解するのに学習コストがかかる。
−エディタ単体の俊敏さでは見劣り
「とにかく今すぐ実装を速くしたい」という一点突破では、専用エディタのCursorに体感速度で及ばない場面がある。
GitLabの賭けは「エディタ戦争には深入りせず、その上下にある計画とデリバリーとセキュリティを統制する」こと。Cursorが速さ、ZEDが来歴を取りに行くなら、GitLabは統制とコンプライアンスという、大企業ほど効いてくる軸を握りにいっています。
3者スペック比較表
下表は意図的に単純化しています。実際の製品はより複雑で、特にZEDの列は「初期設計と意図」を表すもので、本番での実証済み挙動ではありません。優劣の採点表ではなく、アーキテクチャがどこで分岐するかの地図として読んでください。
| 比較軸 | Cursor | ZED / DeltaDB | GitLab |
|---|---|---|---|
| 本質的なレイヤー | AIエディタ(実装) | 履歴・来歴基盤 | 統合プラットフォーム |
| 主な狙い | 実装速度の最大化 | 会話とコードの溶接 | ライフサイクル全体の統制 |
| 履歴の単位 | Gitコミットに準拠 | 操作(デルタ) | Gitコミット+MR/課題文脈 |
| AIエージェント | 中核機能 | 中核機能 | Duo Agent Platform(GA) |
| セルフホスト | 基本クラウド | OSS化を計画 | Self-Hosted対応 |
| データ非学習・統制 | 提供元方針に依存 | ローカル中心 | 明示的に非学習 |
| Gitとの関係 | Git利用 | 相互運用(置換せず) | Gitホスティング本体 |
| 成熟度 | 大規模実用 | ベータ・未証明 | エンタープライズ実績 |
| 向いている層 | 個人〜少人数の高速実装 | 来歴重視の先進チーム | 統制が要る組織・大企業 |
結論を先取りすると、この三者は「どれか一つを選んで終わり」ではなく、別レイヤーとして組み合わせるのが現実的です。Cursorで書き、(将来的に)操作レイヤーで来歴を録り、GitLabで統制とデリバリーを締める——という重ね方が、もっとも素直なシナリオになります。
Gitはなぜエージェントに軋むのか
Gitは史上最も成功したインフラの一つで、以下は弔辞ではありません。ただGitは2005年、「開発者がまとまった作業をしてから、意図的にスナップショット(コミット)を保存する」という前提で設計されました。コミット間は設計上「見えない」のです。この前提が、エージェント開発では軋みます。
01スナップショットは途中を捨てる
Gitはコミット時点の状態を記録し、そこに至る過程を捨てる。エージェントが一指示で何十もの中間編集を生む今、最も役立つ「順序」が失われる。
02課題やPRの概念がない
開発者は課題とプルリク単位で考えるが、Gitにその表現は無い。PRはスナップショットに議論を後付けで再接続するための、上に乗せた層にすぎない。
03参照が行番号でずれる
コメントやリンクは行番号に紐づき、コードが動いた瞬間にずれる。「このコードを、どこへ動いても」という持続的な指し方ができない。
04会話が別の場所に住む
コードを生んだ理由——人間でもエージェントでも——はPRスレッドやチャット、あるいはどこにもない。コードと根拠が別々に住み、Gitは両者を結ばない。
人間が人間の速度で全行を書き、文脈を頭で抱えていた時代には大きな問題ではありませんでした。しかしエージェントが12秒で5ファイルを書き換え、意図の記録が「打って忘れた一文」だけになると、これは重大な欠落になります。DeltaDBはまさにこの欠落を突いて生まれたのであり、GitLabのDuoは「課題・MR・パイプラインの文脈を横断する」ことでGitの上に統制を足そうとしている——と整理すると、三者の立ち位置が一枚で見えてきます。
記事で語られた「主役」を、自分の手で確かめる
買収が起きた理由を最短で理解する方法は、AIコーディングエージェントで実際に一日コードを書いてみること。まずはCursorでワークフローがどれだけ会話に移るかを体験してみてください。
2026年のサプライチェーン攻撃が突きつけた教訓
所有とアーキテクチャが争われる裏で、「信頼」が公然と崩れました。エージェントと操作ベース履歴がどう書くかを変えるなら、一連のサプライチェーン攻撃は自分の秘密情報がどこに置かれているかを真剣に問い直させました。二つのインシデントが象徴的です。
Shai-Hulud:「死人のスイッチ」を持つnpmワーム
2025年11月、GitLabの脆弱性研究チームがnpmエコシステムで進行中の大規模攻撃を報告しました。Shai-Huludと呼ばれる進化型のマルウェアで、GitHub・npm・AWS・GCP・Azureから認証情報を収集し、攻撃者管理下のリポジトリへ送信、被害者の他パッケージを自動感染させるワーム的挙動を示しました。最も不気味なのは「死人のスイッチ」——拡散と送信の両チャンネルを同時に失うと、感染端末のデータ破壊を発動し、復旧をほぼ不能にする仕組みです。
Nx Console侵害:エディタ拡張が侵入口に
Nxエコシステムは1年で2度狙われました。2026年5月18日、攻撃者は盗んだ貢献者トークンで悪性のNx Console v18.95.0をVS Codeマーケットプレイスに公開。稼働は約11分でしたが、影響を受けたインストールはマーケット報告の数十件から、メンテナーの解析では6,000件超に及んだ可能性も指摘されています。ペイロードはGitHub・npm・AWS・HashiCorp Vault・Kubernetes・1Password、さらにAIコーディング支援ツールの設定ファイルまで認証情報を収集。TeamPCPと名乗る集団が犯行を主張し、CISAも注意喚起を出しました。
このNxの連鎖では、「公開直後のパッケージは導入しない」という待機型の安全策が設定されていたのに、固定していたパッケージマネージャのバージョンがその設定に対応しておらず、警告も出さずに無視されていました。防御は存在したのに静かに失敗したのです。エージェントが依存解決やコマンド実行を代行する権限を持つほど、単一トークンの被害範囲は広がります。来歴(プロベナンス)はもはやコンプライアンスのチェック項目ではなく、「信頼して使い続ける」か「再構築する」かを分ける生命線です。
チームが実際に採った防御プレイブック
端末上の認証情報を全ローテーション
GitHub・npm・SSH・クラウド(AWS/GCP/Azure/Kubernetes)・Vaultトークン、暴露時間内に存在した.envの中身まで。触られたと思うものだけでなく全てを。
新規パッケージは導入を待つ
CISAの指針どおり、公開直後のパッケージは導入前に待機し、コミュニティが悪性リリースを先に検知できるようにする。最小公開経過時間の設定が実際に効いているか検証する。
信頼できるバージョンに固定
バージョン固定は、未審査・悪意ある分岐パッケージをビルドが取り込むのを防ぐ。既知で信頼できるソースからのみ取得する。
被害範囲を最小化する
トークンを狭くスコープし、CIの秘密と開発端末を分離。侵害された端末は掃除ではなく、ローテーション後の再構築を前提に扱う。
AIツールの設定も「秘密」として監査
エージェントや支援ツールの設定ファイルは実際の認証情報を持ち、明確な標的になった。設定ディレクトリを使い捨てのdotfileではなく機微な面として扱う。
GitHubから離れるべきか:セルフホストとProject Switch
悪いセキュリティイヤーへの自然な反応は「GitHubを離れるべきか?」です。正確に言えば、主要インシデントはサプライチェーンの汚染——汚染パッケージとトロイ化した拡張——であり、GitHub本体の侵害ではありません。リポジトリの置き場所を変えても、悪性npmパッケージが開発者のラップトップからトークンを盗むのは止められません。移行はパッチではなく、統制とアーキテクチャの選択です。
とはいえ代替への関心は本物で、集中リスク・データ主権・「結局このツールは誰が所有するのか」という買収シーズン特有の警戒が背景にあります。主な選択肢を整理します。
| 選択肢 | 形態 | 向いているケース |
|---|---|---|
| GitLab | SaaS / セルフマネージド | CI/CD統合・プロジェクト統制・エンタープライズ級のセルフホスト経路が欲しい |
| Forgejo | OSS・セルフホスト | 軽量でコミュニティ統治、ベンダーロックインを避けたい |
| Gitea | OSS・セルフホスト | 最小構成で素早く立てたい小規模チーム |
| Codeberg | ホスト型(Forgejoベース) | 自前サーバ運用なしで非営利・コミュニティ運営のホストを使いたい |
| 素のセルフホストGit | SSH+自社インフラ | 最大の統制と最小の攻撃面、配管を自分で持つ覚悟がある |
Forgejoは特筆に値します。軽量フォージ系譜のコミュニティ統治型OSSで、単一の商用ベンダーに運命を委ねずにリポジトリの自前運用先が欲しいチームの選択肢です。トレードオフはお馴染みのもの——パッチ・バックアップ・稼働率という運用負担を自分で背負うこと。セルフホストは第三者プラットフォームのリスクを減らす代わりに、自分の運用リスクを増やします。割に合うチームもあれば、合わないチームも多い、というのが正直なところです。
Project Switch:移行は「組織丸ごと」ではなく「1プロジェクト」から
もし移行を検討するなら、意味のある最小単位は組織全体ではなく1プロジェクトです。フラグデーではなく、パイロットとして進めます。
低リスクの1プロジェクトを選ぶ
実テストになる程度に活発で、しかし詰まっても致命的でないリポジトリを選ぶ。重要な資産に触れる前に、これを端から端まで移行する。
履歴ごとミラーする
最新状態だけでなくGit履歴全体を移し、対応するなら課題やMR/PRもインポート。大容量ファイルやタグが生き残るか確認する。
CIをコードとして再構築
パイプラインを新基盤の設定へ移植し、1スプリント旧システムと並走させて出力を比較してから切り替える。移行が実際に詰まるのはここ。
秘密情報は全て再発行
トークンをコピーしない。新拠点で狭くスコープした認証情報を新規発行する。移行は被害範囲を縮める絶好の機会。
既定を切り替え、読み取り専用ミラーを残す
日々の既定を新プロジェクトに切り替えつつ、確信が持てるまで旧側を読み取り専用の退避先として残す。そして削除ではなくアーカイブする。
あなたのチームはどれを選ぶか
「新標準はどれか」という問いに、単一の勝者を立てるのは誠実ではありません。三者は別レイヤーで戦っているからです。目的別に、現時点での実用的な指針を示します。
個人〜少人数で、とにかく実装を最速にしたいチーム。日々のコーディングをエージェントに任せる体験は現状で頭ひとつ抜けています。SpaceX傘下で計算資源面の改善も期待できる一方、所有者交代に伴う方針変更には目を配りましょう。
AIが書いた「なぜ」まで履歴に残したい先進チーム。操作単位の来歴とPRの再考は、エージェント比率が高いほど効きます。ただしベータで未証明、プライバシー設計も含めて本番投入は慎重に。今は「思想を学び、来歴を重視する文化を作る」段階として価値があります。
計画からセキュリティまで一基盤で統制したい組織・大企業。Duo Agent PlatformのGAとセルフホスト、データ非学習方針は、規制・機密環境で決定打になります。ライセンスの複雑さは学習コストとして織り込みましょう。
「この買収はTeslaで見た垂直統合のパターンを踏襲している。AIにはその背後を支えるインフラ——エネルギー・データセンター・接続性——が必要で、この水準の統合は大きな競争優位になり得る。」
「開発者はコミット単位で考えていない。課題とPR単位で考えている。Gitにはそのどちらの表現も無い。」
知能は安くなり、コードはますますエージェントが書き、「なぜ」の記録はコミットから会話へ移り、信頼は前提ではなく設計するものになった。バージョン管理が変わるのは、Gitが悪くなったからではない。バージョン管理される対象——ソフトウェアと、それを生む対話——が根本的に変わったからです。
転職の視点:今、何を学んでおくべきか
この地殻変動は、キャリアにも直結します。三者比較から導ける、転職市場で効く学びどころを整理します。
- エージェント運用の実務知識:「AIに書かせる」だけでなく、エージェントの出力をレビューし、来歴を残し、被害範囲を管理する設計力。書く速さより、安全に速く回す統制力が評価されます。
- サプライチェーン・セキュリティ:認証情報のローテーション、バージョン固定、最小公開経過時間、トークンのスコープ設計。2026年のインシデントを経て、これらは「あれば良い」から必須スキルに変わりました。
- プラットフォーム横断の理解:エディタ(Cursor)・履歴(ZED的発想)・統合基盤(GitLab)を「別レイヤーとして組み合わせる」発想。単一ツールの使い手より、レイヤーを設計できる人が重宝されます。
- セルフホスト/OSSフォージの運用:Forgejoやセルフホスト型GitLabを立て、運用できる力は、規制業界・データ主権を重んじる組織で強い武器になります。
共通項は明快です。「ツールに使われる人」ではなく「ツールを設計・統制する人」へ。AIが実装を担うほど、人間の価値は判断・設計・統制へ移っていきます。
読むより、触って確かめる
6兆円の買収が起きた理由を最短で理解する方法は、AIコーディングエージェントで一日コードを書いてみること。まずはCursorで、どれだけのワークフローが「会話」へ移るかを体験してください。
Cursor AIを試す →![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/552dd711.67147af4.552dd712.79392bd1/?me_id=1398750&item_id=10000057&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fmiis%2Fcabinet%2F08139671%2F13353307%2F6month_lumina.jpg%3F_ex%3D240x240&s=240x240&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
