執筆:Claude
一、経緯
2026年3月31日未明、あるツイートが開発者コミュニティに大きな波紋を広げた。
ブロックチェーンセキュリティ企業のインターンであるChaofan Shou氏は、Anthropicの公式npmパッケージにソースマップファイルが含まれており、Claude Codeの完全なソースコードがインターネット上に公開されていることを発見した。彼は直ちにX(旧Twitter)でこの発見を公表し、直接ダウンロードできるリンクを添付した。
この投稿は、開発者コミュニティに信号弾のように衝撃を与えた。数時間のうちに、51.2万行を超えるTypeScriptコードがGitHubにミラーリングされ、数千人の開発者によってリアルタイムで分析された。
これは、Anthropicで1週間足らずの間に発生した2件目の重大な情報漏洩事故である。
わずか5日前(3月26日)、AnthropicのCMS設定ミスにより、3,000件近くの内部ファイルが公開され、その中には近日公開予定の「Claude Mythos」モデルのブログ記事の草案も含まれていた。
2. 情報漏洩はどのように発生したのか?
今回の事故の技術的な原因は滑稽なほど単純だ。根本的な原因は、npmパッケージにソースマップファイル(.mapファイル)が誤って含まれていたことにある。
この種のファイルの用途は、圧縮・難読化された本番コードを元のソースコードにマッピングし、デバッグ時にエラーの行番号を特定しやすくすることです。しかし、この .map ファイルには、Anthropic 自身の Cloudflare R2 バケットにある zip アーカイブへのリンクが含まれていました。
Shou氏や他の開発者たちは、ハッキングの手法を用いることなく、このzipファイルを直接ダウンロードしました。ファイルはそこにあり、完全に公開されていたのです。
問題となったのは@anthropic-ai/claude-codeのv2.1.88で、59.8MBのJavaScriptソースマップファイルが同梱されていました。
AnthropicはThe Registerへの声明の中で、「2025年2月にも、より古いバージョンのClaude Codeで同様のソースコード漏洩が発生していた。」これは、同じミスが13ヶ月の間に2度起きたことを意味する。
皮肉なことに、Claude Code内部には「Undercover Mode(潜入モード)」と呼ばれるシステムがあり、Anthropicの内部コードネームがGitのコミット履歴から誤って漏洩するのを防ぐために特別に設計されていた……そして、エンジニアはソースコード全体を1つの.mapファイルにパッケージ化してしまった。
この事故のもう一つの要因は、ツールチェーンそのものにある可能性がある。Anthropicは年末にBunを買収しており、Claude CodeはまさにBunを基盤として構築されている。2026年3月11日、Bunのイシュー追跡システムにバグ報告(#28001)が提出され、Bunが本番環境でもソースマップを生成・出力しており、公式ドキュメントの記述と矛盾していることが指摘された。このイシューは現在も未解決のままである。
これに対し、Anthropicの公式な回答は簡潔かつ控えめなものだった。「ユーザーデータや認証情報は一切関与しておらず、漏洩もしていない。これはリリースパッケージングプロセスにおける人為的なミスであり、セキュリティ上の脆弱性ではありません。このような事態が再発しないよう、対策を推進しています。」
三、何が漏洩したのか?
コードの規模
今回漏洩した内容は、約1900ファイル、50万行を超えるコードに及びます。これはモデルの重みではなく、ツール呼び出しフレームワーク、マルチエージェントオーケストレーション、権限システム、メモリシステムなどのコアアーキテクチャを含む、Claude Codeの「ソフトウェア層」全体のエンジニアリング実装である。
未公開の機能ロードマップ
これは今回の漏洩において最も戦略的価値の高い部分である。
KAIROS 自律型デーモンプロセス:150回以上言及されているこの機能コード名は、古代ギリシャ語で「適切なタイミング」を意味するに由来し、Claude Code が「バックグラウンド常駐エージェント」へと根本的に転換することを表しています。KAIROSにはautoDreamというプロセスが含まれており、ユーザーが離席している間に「記憶の統合」を実行します。これは、断片化された観察を統合し、論理的な矛盾を解消し、曖昧な洞察を確定的な事実として定着させるものです。ユーザーが戻った際、エージェントのコンテキストはクリーンかつ高度に関連付けられた状態になっています。
内部モデルコードネームとパフォーマンスデータ:リークされた情報により、CapybaraがClaude 4.6のバリエーションの内部コードネームであることが確認された。FennecはOpus 4.6に対応し、未公開のNumbatは現在もテスト中である。コードのコメントからは、Capybara v8の虚偽陳述率が29~30%であることが明らかになっており、v4の16.7%と比較して悪化している。
アンチ・ディスティレーション(Anti-Distillation):コード内にANTI_DISTILLATION_CCという機能フラグが存在します。これを有効にすると、Claude CodeはAPIリクエストに偽のツール定義を注入し、競合他社がモデルトレーニングに利用する可能性のあるAPIトラフィックデータを汚染することを目的としています。
Beta API 機能一覧:constants/betas.ts ファイルには、100万トークンのコンテキストウィンドウ(context-1m-2025-08-07)、AFKモード(afk-mode-2026-01-31)、タスク予算管理(task-budgets-2026-03-13)など、一連の未公開機能が含まれています。
組み込まれたポケモン風のバーチャルパートナーシステム:コード内には、種のレア度、シャイニームーブ、プログラムによる属性生成、そしてClaudeが最初の孵化時に作成した「魂の記述」を含む、完全なバーチャルパートナーシステム(Buddy)さえも隠されていた。パートナーの種類は、ユーザーIDのハッシュに基づく確定性擬似乱数生成器によって決定され、同一のユーザーは常に同じパートナーを獲得する。
4. 同時発生したサプライチェーン攻撃
今回の事件は孤立した出来事ではありません。ソースコードが流出したのと同時期、npm上のaxiosパッケージも別のサプライチェーン攻撃を受けていました。
2026年3月31日00:21から03:29(UTC)の間に、npm経由でClaude Codeをインストールまたは更新した場合、リモートアクセス型トロイの木馬(RAT)を含む悪意のあるバージョン(axios 1.14.1または0.30.4)を意図せず導入した可能性があります。
Anthropicは、影響を受けた開発者に対し、ホストが完全に侵害されたものと見なし、すべての鍵を更新し、OSを再インストールすることを推奨しています。
これら2つの事象が時間的に重なったことで、状況はさらに混乱し、危険なものとなっています。
5. 業界への影響
Anthropicへの直接的な損害
年間売上高190億ドルに達し、急成長期にある企業にとって、今回の情報漏洩は単なるセキュリティ上の過失にとどまらず、戦略的知的財産の流出でもあります。
少なくとも一部のClaude Codeの能力は、基盤となる大規模言語モデルそのものではなく、モデルを囲むソフトウェア「フレームワーク」に由来している——それはモデルがツールをどのように使用すべきかを指示し、モデルの行動を規範化する重要なガードレールと指針を提供するものである。
これらのガードレールと指示は、今や競合他社に丸見えとなっている。
AIエージェントツールエコシステム全体への警鐘
今回の情報漏洩はAnthropicを沈没させることはないだろうが、すべての競合他社に「生産レベルのAIプログラミングエージェントをいかに構築するか」、そして「どのツール分野に重点的に投資すべきか」という無料のエンジニアリング教材を提供することになった。
漏洩した内容の真の価値はコードそのものにあるのではなく、機能タグが明らかにした製品ロードマップにある。KAIROS、アンチディスティレーション(蒸留防止)メカニズム——これらは競合他社が予測し、先手を打つことができる戦略的な詳細だ。コードは再構築できるが、戦略的なサプライズが一度漏洩すれば、取り戻すことはできない。
六、エージェントコーディングに対する深い示唆
今回の情報漏洩は、現在のAIエージェントエンジニアリングにおけるいくつかの核心的な命題を映し出す鏡である:
1. エージェントの能力の限界は、モデルそのものではなく、「フレームワーク層」によって大きく左右される
50万行に及ぶClaude Codeのコード公開は、業界全体にとって重要な事実を明らかにした。すなわち、同じ基盤モデルであっても、ツールオーケストレーションフレームワーク、メモリ管理メカニズム、権限システムが異なれば、エージェントの能力は全く異なるものになるということだ。これは、「誰のモデルが最も強力か」がもはや唯一の競争軸ではなくなり、「誰のフレームワークエンジニアリングがより優れているか」も同様に極めて重要であることを意味します。
2. 長期的な自律性が次の核心的な戦場となる
KAIROS デーモンプロセスの存在は、業界の次の競争が「エージェントが監視なしでも継続的かつ効果的に動作できるようにすること」に集中することを示している。バックグラウンドでの記憶統合、セッション間の知識移転、アイドル時の自律的推論——これらの能力が成熟すれば、エージェントと人間の協働の基本モデルを根本から変えることになる。
3. アンチディスティレーションと知的財産保護がAIエンジニアリングの新たな基盤課題となる
Anthropicがコードレベルでアンチディスティレーションメカニズムを実現したことは、新たなエンジニアリング領域が形成されつつあることを示唆している。それは、自社のAIシステムが競合他社によってトレーニングデータの収集に悪用されるのをいかに防ぐかという点だ。これは単なる技術的問題にとどまらず、法とビジネスの駆け引きにおける新たな戦場へと発展していくだろう。
4. サプライチェーンのセキュリティはAIツールのアキレス腱である
AIプログラミングツール自体がnpmのような公開パッケージマネージャーを通じて配布される場合、それらは他のオープンソースソフトウェアと同様に、サプライチェーン攻撃のリスクに直面する。しかし、AIツールの特殊性は、バックドアが仕込まれた場合、攻撃者が得られるのはコードの実行権限だけでなく、開発ワークフロー全体への深い浸透であるという点にあります。
5. システムが複雑になればなるほど、自動化されたリリース監視が必要となる
「設定ミスのある.npmignoreや、package.jsonのfilesフィールド一つで、すべてが露呈してしまう可能性があります。「AIエージェント製品を開発するあらゆるチームにとって、この教訓を学ぶためにこれほど高い代償を払う必要はないはずです。CI/CDパイプラインに自動化されたリリース内容の審査を導入することは、後手後手の対策ではなく、標準的な実践となるべきです。
エピローグ
今日は2026年4月1日、エイプリルフールだ。しかし、これは冗談ではない。
Anthropicは13ヶ月の間に、同じ過ちを二度も犯した。ソースコードはすでに世界中にミラーリングされ、DMCA削除要請はフォークの速度に追いつかない。本来ならイントラネットの奥深くに隠されていたはずの製品ロードマップが、今や誰もが参照できる資料となっている。
Anthropicにとって、これは痛ましい教訓となった。
業界全体にとっては、予期せぬ透明性の瞬間であり、現在最も先進的なAIプログラミングエージェントが、一体どのように一行一行構築されてきたのかを垣間見ることができた。
Miyuki
Weiliang
Catherine
Anais
Alex
Kikyo