**執筆:Claude**1. 発端----2026年3月31日未明、あるツイートが開発者コミュニティで大きな波紋を呼びました。Chaofan Shouはブロックチェーン・セキュリティ企業のインターンで、Anthropic公式のnpmパッケージに付属していたsource mapファイルによって、Claude Codeの完全なソースコードがインターネット上に公開されていることを発見しました。彼はすぐにX上でこの発見を公開し、あわせて直接ダウンロードできるリンクを添えました。この投稿はロケット花火のように開発者コミュニティで爆発的に拡散しました。数時間のうちに、51.2万行を超えるTypeScriptコードがGitHubにミラーされ、数千人の開発者がリアルタイムで分析しました。これはAnthropicが1週間足らずで起こした2件目の重大な情報漏えい事故です。ちょうど5日前(3月26日)、AnthropicのCMS設定ミスにより、約3000の社内ファイルが公開され、その中には近日公開予定の「Claude Mythos」モデルの草稿となるブログ記事が含まれていました。2. 漏えいはどのように起きたのか?-----------今回の事故の技術的な理由は、思わず笑ってしまうほどのものでした。根本原因は、npmパッケージに誤ってsource mapファイル(.mapファイル)が含まれていたことです。こうしたファイルの用途は、圧縮・難読化された本番コードを元のソースコードに対応付け、デバッグ時にエラーの行番号を特定しやすくすることです。そしてこの .mapファイルには、Anthropic自社のCloudflare R2ストレージ・バケット内にあるzip圧縮パッケージへのリンクが含まれていました。Shouや他の開発者は、何のハッキング手段もなく、このzipパッケージを直接ダウンロードしました。ファイルはそこにあるだけで、完全に公開されていました。問題のバージョンは @anthropic-ai/claude-code のv2.1.88で、59.8MBのJavaScript source mapファイルが付属していました。The Registerへの回答の中で、Anthropicはこう認めています:「2025年2月にも、より以前のClaude Codeバージョンで同様のソースコード漏えいが発生していました。」つまり、同じミスが13か月の間に2回起きたということになります。皮肉なことに、Claude Codeの内部には「Undercover Mode(潜入モード)」と呼ばれる仕組みがあり、Anthropic内部のコードネームがgitのコミット履歴にうっかり漏れるのを防ぐよう設計されています……そしてエンジニアは、まるごとソースコードを .mapファイルにまとめてしまいました。事故のもう一つの引き金になった可能性があるのは、ツールチェーンそのものです。Anthropicは年末にBunを買収しており、Claude CodeはまさにBunをベースに構築されています。2026年3月11日、Bunのissue追跡システムでバグ報告(#28001)が投稿され、Bunは本番モードでもsource mapを生成・出力すると指摘されており、公式ドキュメントの説明と食い違っていました。このissueは現在もオープン状態のままです。これに対するAnthropic公式の返答は短く、抑制されたものでした。「ユーザーデータや認証情報は関与しておらず、漏えいもしていません。これはリリース時のパッケージング過程における人為的ミスであり、セキュリティ上の脆弱性ではありません。再発防止のための措置を進めています。」3. 何が漏えいしたのか?--------### コード規模今回漏えいした内容は、約1900のファイル、50万行を超えるコードに及びます。これはモデルの重みではなく、Claude Code全体の「ソフトウェア層」のエンジニアリング実装です。つまり、ツール呼び出しフレームワーク、多マルチエージェントのオーケストレーション、権限システム、メモリシステムなどの中核アーキテクチャが含まれます。### 未公開の機能ロードマップ今回の漏えいのうち、最も戦略的価値が高いのがこの部分です。**KAIROS 自主防護プロセス**:言及回数が150回を超えるこの機能代号は、古代ギリシャ語の「適切な時機」に由来し、Claude Codeが「常駐バックグラウンド・エージェント」へ根本的に移行することを示しています。KAIROSにはautoDreamというプロセスが含まれており、ユーザーが暇なときに「記憶の統合」を実行します。断片化した観察を統合し、論理的な矛盾を解消し、曖昧な洞察を確定的な事実として固めるのです。ユーザーが戻ってきた時点で、エージェントのコンテキストはすでにクリーニングされ、高度に関連性のある状態になっています。**内部モデル代号と性能データ**:漏えい内容によりCapybaraがClaude 4.6系統の内部代号であることが確認され、FennecはOpus 4.6に対応し、まだ未リリースのNumbatはテスト段階にあります。コードコメントでは、Capybara v8の存在29-30%の虚偽陳述率が露出しており、v4の16.7%と比べると退歩しています。**反蒸留メカニズム(Anti-Distillation)**:コード中にはANTI_DISTILLATION_CCという名称の機能フラグが存在します。これを有効にすると、Claude CodeはAPIリクエストに偽のツール定義を注入します。目的は、競合相手がモデル学習のために利用しうるAPIのトラフィックデータを汚染することです。**Beta API機能一覧**:constants/betas.tsファイルは、Claude CodeとAPI協議におけるすべてのbeta機能を明らかにしています。100万tokenのコンテキストウィンドウ(context-1m-2025-08-07)、AFKモード(afk-mode-2026-01-31)、タスク予算管理(task-budgets-2026-03-13)など、未公開の一連の能力が含まれています。**埋め込まれたポケモン風のバーチャル・パートナーシステム**:コードには、さらに完全なバーチャル・パートナーシステム(Buddy)まで隠されており、種のレア度、光る変種、プロシージャル生成の属性、そしてClaudeが最初の孵化時に書いた「魂の説明」が含まれています。パートナーの種類は、ユーザーIDに基づくハッシュの決定的な疑似乱数生成器によって決定され、同じユーザーは永遠に同じパートナーを得ます。4. 並行するサプライチェーン攻撃----------今回の事件は孤立して起きたものではありません。ソースコード漏えいと同じ時間枠の中で、npm上のaxiosパッケージが独立したサプライチェーン攻撃の標的になりました。2026年3月31日00:21から03:29 UTCの間に、もしClaude Codeをnpm経由でインストールまたは更新した場合、意図せず、遠隔アクセス型トロイの木馬(RAT)を含む悪意あるバージョン(axios 1.14.1 または 0.30.4)を導入してしまう可能性がありました。Anthropicは、影響を受けた開発者に対し、ホストを完全に侵害されたものとして扱い、すべてのキーをローテーションし、OSを再インストールするよう助言しました。この2件の事件が時間的に重なったことで、状況はさらに混乱し、危険なものになりました。5. 業界への影響--------### Anthropicへの直接的な損害年換算の売上が190億ドルで、高速成長の真っただ中にある企業にとって、今回の漏えいは単なるセキュリティ上の手違いにとどまらず、戦略的な知的財産の流出による痛手です。**少なくとも一部のClaude Codeの能力は、基礎となる大規模言語モデルそのものではなく、モデルの周囲に構築されたソフトウェア「フレームワーク」から生まれています**。それは、モデルがどのようにツールを使うべきかを指揮し、重要なガードレールと指示を提供して、モデルの振る舞いを規範づけるものです。これらのガードレールと指示は、今や競合他社に丸見えです。### AIエージェントのツール・エコシステム全体への警告今回の漏えいはAnthropicを倒すものではありませんが、競合他社すべてに無料のエンジニアリング教材を提供する結果になりました。すなわち、プロダクション級のAIプログラミング・エージェントをどう構築するか、そしてどのツールの方向性に重点投資すべきか、という点です。漏えいコンテンツの真の価値は、コードそのものではありません。機能フラグが明らかにした製品ロードマップにあります。KAIROS、反蒸留メカニズム——これらは競合相手が今から予測し、先回りして対応できる戦略的な詳細です。コードはリファクタリングできますが、戦略的な驚きが一度漏れたら、取り戻すことはできません。6. エージェント・コーディングへの深い示唆----------------------今回の漏えいは、鏡のようなもので、現代のAIエージェント工程におけるいくつかの中核命題を映し出しています。**1. エージェントの能力の境界は、多くの部分で「フレームワーク層」によって決まり、モデルそのものではない**Claude Codeの50万行コードの露出は、業界全体に意味のある事実を示しました。同じ基礎モデルでも、異なるツール編成フレームワーク、メモリ管理メカニズム、権限システムを組み合わせれば、エージェントの能力はまったく異なるものになります。つまり「誰のモデルが最強か」だけが唯一の競争軸ではなく、「誰のフレームワーク工学がより洗練されているか」も同様に重要だということです。**2. 長期にわたる自律性が次の主要な戦場になる**KAIROSの防護プロセスが存在することは、業界の次の競争が「エージェントが無人監督でも継続して効果的に動けるようにすること」に集中することを示しています。バックグラウンドでの記憶統合、会話をまたいだ知識の移植、暇な時間での自律的な推論——これらの能力が一度成熟すれば、エージェントと人類が協働する基本のあり方を根本から変えるでしょう。**3. 反蒸留と知的財産の保護は、AI工学の新しい基礎科目になる**Anthropicはコードレベルで反蒸留メカニズムを実装しており、競合相手が学習データ収集のために自社のAIシステムを利用しないようにするにはどうすればよいか、という新しい工学領域が形成されつつあることを示唆しています。これは単なる技術問題ではなく、法律とビジネスのせめぎ合いという新たな戦場へ発展していくはずです。**4. サプライチェーンのセキュリティは、AIツールのアキレス腱**AIプログラミング・ツール自体が、npmのような公開ソフトウェアのパッケージ管理器を通じて配布される場合、それらは他のオープンソースと同様に、サプライチェーン攻撃のリスクにさらされます。そしてAIツールの特殊性は、一度バックドアが仕込まれると、攻撃者が得るのはコード実行権だけでなく、開発ワークフロー全体への深い侵入である点にあります。**5. 複雑なほど、より自動化されたリリースの番人が必要**「設定ミスの.npmignore、またはpackage.json内のfilesフィールド1つで、すべてが露出する。」AIエージェント製品を構築するあらゆるチームにとって、この教訓は、こんなに高額な代償を払って学ぶ必要はありません。CI/CDパイプラインにおいて自動化されたリリース内容の審査を導入することが、標準の実践となるべきで、手遅れの後に取り繕う対処策であってはなりません。エピローグ--今日は2026年4月1日、エイプリルフールです。でもこれは冗談ではありません。Anthropicは13か月の間に同じミスを2回犯しました。ソースコードはすでに世界中にミラーされています。DMCA削除要請も、forkの速度には追いつきません。本来は社内ネットワークに深く隠されているはずだった製品ロードマップが、今や誰もが参照できる資料になっています。Anthropicにとって、これは痛みを伴う教訓です。業界全体にとって、これは思いがけず透明性が増した瞬間です。つまり、いま最先端のAIプログラミング・エージェントが、どのように1行ずつ作り上げられていくのかを垣間見ることができるのです。
Claude Codeソースコード流出事件全記録:一つの.mapファイルが引き起こしたバタフライ効果
執筆:Claude
2026年3月31日未明、あるツイートが開発者コミュニティで大きな波紋を呼びました。
Chaofan Shouはブロックチェーン・セキュリティ企業のインターンで、Anthropic公式のnpmパッケージに付属していたsource mapファイルによって、Claude Codeの完全なソースコードがインターネット上に公開されていることを発見しました。彼はすぐにX上でこの発見を公開し、あわせて直接ダウンロードできるリンクを添えました。
この投稿はロケット花火のように開発者コミュニティで爆発的に拡散しました。数時間のうちに、51.2万行を超えるTypeScriptコードがGitHubにミラーされ、数千人の開発者がリアルタイムで分析しました。
これはAnthropicが1週間足らずで起こした2件目の重大な情報漏えい事故です。
ちょうど5日前(3月26日)、AnthropicのCMS設定ミスにより、約3000の社内ファイルが公開され、その中には近日公開予定の「Claude Mythos」モデルの草稿となるブログ記事が含まれていました。
今回の事故の技術的な理由は、思わず笑ってしまうほどのものでした。根本原因は、npmパッケージに誤ってsource mapファイル(.mapファイル)が含まれていたことです。
こうしたファイルの用途は、圧縮・難読化された本番コードを元のソースコードに対応付け、デバッグ時にエラーの行番号を特定しやすくすることです。そしてこの .mapファイルには、Anthropic自社のCloudflare R2ストレージ・バケット内にあるzip圧縮パッケージへのリンクが含まれていました。
Shouや他の開発者は、何のハッキング手段もなく、このzipパッケージを直接ダウンロードしました。ファイルはそこにあるだけで、完全に公開されていました。
問題のバージョンは @anthropic-ai/claude-code のv2.1.88で、59.8MBのJavaScript source mapファイルが付属していました。
The Registerへの回答の中で、Anthropicはこう認めています:「2025年2月にも、より以前のClaude Codeバージョンで同様のソースコード漏えいが発生していました。」つまり、同じミスが13か月の間に2回起きたということになります。
皮肉なことに、Claude Codeの内部には「Undercover Mode(潜入モード)」と呼ばれる仕組みがあり、Anthropic内部のコードネームがgitのコミット履歴にうっかり漏れるのを防ぐよう設計されています……そしてエンジニアは、まるごとソースコードを .mapファイルにまとめてしまいました。
事故のもう一つの引き金になった可能性があるのは、ツールチェーンそのものです。Anthropicは年末にBunを買収しており、Claude CodeはまさにBunをベースに構築されています。2026年3月11日、Bunのissue追跡システムでバグ報告(#28001)が投稿され、Bunは本番モードでもsource mapを生成・出力すると指摘されており、公式ドキュメントの説明と食い違っていました。このissueは現在もオープン状態のままです。
これに対するAnthropic公式の返答は短く、抑制されたものでした。「ユーザーデータや認証情報は関与しておらず、漏えいもしていません。これはリリース時のパッケージング過程における人為的ミスであり、セキュリティ上の脆弱性ではありません。再発防止のための措置を進めています。」
コード規模
今回漏えいした内容は、約1900のファイル、50万行を超えるコードに及びます。これはモデルの重みではなく、Claude Code全体の「ソフトウェア層」のエンジニアリング実装です。つまり、ツール呼び出しフレームワーク、多マルチエージェントのオーケストレーション、権限システム、メモリシステムなどの中核アーキテクチャが含まれます。
未公開の機能ロードマップ
今回の漏えいのうち、最も戦略的価値が高いのがこの部分です。
KAIROS 自主防護プロセス:言及回数が150回を超えるこの機能代号は、古代ギリシャ語の「適切な時機」に由来し、Claude Codeが「常駐バックグラウンド・エージェント」へ根本的に移行することを示しています。KAIROSにはautoDreamというプロセスが含まれており、ユーザーが暇なときに「記憶の統合」を実行します。断片化した観察を統合し、論理的な矛盾を解消し、曖昧な洞察を確定的な事実として固めるのです。ユーザーが戻ってきた時点で、エージェントのコンテキストはすでにクリーニングされ、高度に関連性のある状態になっています。
内部モデル代号と性能データ:漏えい内容によりCapybaraがClaude 4.6系統の内部代号であることが確認され、FennecはOpus 4.6に対応し、まだ未リリースのNumbatはテスト段階にあります。コードコメントでは、Capybara v8の存在29-30%の虚偽陳述率が露出しており、v4の16.7%と比べると退歩しています。
反蒸留メカニズム(Anti-Distillation):コード中にはANTI_DISTILLATION_CCという名称の機能フラグが存在します。これを有効にすると、Claude CodeはAPIリクエストに偽のツール定義を注入します。目的は、競合相手がモデル学習のために利用しうるAPIのトラフィックデータを汚染することです。
Beta API機能一覧:constants/betas.tsファイルは、Claude CodeとAPI協議におけるすべてのbeta機能を明らかにしています。100万tokenのコンテキストウィンドウ(context-1m-2025-08-07)、AFKモード(afk-mode-2026-01-31)、タスク予算管理(task-budgets-2026-03-13)など、未公開の一連の能力が含まれています。
埋め込まれたポケモン風のバーチャル・パートナーシステム:コードには、さらに完全なバーチャル・パートナーシステム(Buddy)まで隠されており、種のレア度、光る変種、プロシージャル生成の属性、そしてClaudeが最初の孵化時に書いた「魂の説明」が含まれています。パートナーの種類は、ユーザーIDに基づくハッシュの決定的な疑似乱数生成器によって決定され、同じユーザーは永遠に同じパートナーを得ます。
今回の事件は孤立して起きたものではありません。ソースコード漏えいと同じ時間枠の中で、npm上のaxiosパッケージが独立したサプライチェーン攻撃の標的になりました。
2026年3月31日00:21から03:29 UTCの間に、もしClaude Codeをnpm経由でインストールまたは更新した場合、意図せず、遠隔アクセス型トロイの木馬(RAT)を含む悪意あるバージョン(axios 1.14.1 または 0.30.4)を導入してしまう可能性がありました。
Anthropicは、影響を受けた開発者に対し、ホストを完全に侵害されたものとして扱い、すべてのキーをローテーションし、OSを再インストールするよう助言しました。
この2件の事件が時間的に重なったことで、状況はさらに混乱し、危険なものになりました。
Anthropicへの直接的な損害
年換算の売上が190億ドルで、高速成長の真っただ中にある企業にとって、今回の漏えいは単なるセキュリティ上の手違いにとどまらず、戦略的な知的財産の流出による痛手です。
少なくとも一部のClaude Codeの能力は、基礎となる大規模言語モデルそのものではなく、モデルの周囲に構築されたソフトウェア「フレームワーク」から生まれています。それは、モデルがどのようにツールを使うべきかを指揮し、重要なガードレールと指示を提供して、モデルの振る舞いを規範づけるものです。
これらのガードレールと指示は、今や競合他社に丸見えです。
AIエージェントのツール・エコシステム全体への警告
今回の漏えいはAnthropicを倒すものではありませんが、競合他社すべてに無料のエンジニアリング教材を提供する結果になりました。すなわち、プロダクション級のAIプログラミング・エージェントをどう構築するか、そしてどのツールの方向性に重点投資すべきか、という点です。
漏えいコンテンツの真の価値は、コードそのものではありません。機能フラグが明らかにした製品ロードマップにあります。KAIROS、反蒸留メカニズム——これらは競合相手が今から予測し、先回りして対応できる戦略的な詳細です。コードはリファクタリングできますが、戦略的な驚きが一度漏れたら、取り戻すことはできません。
今回の漏えいは、鏡のようなもので、現代のAIエージェント工程におけるいくつかの中核命題を映し出しています。
1. エージェントの能力の境界は、多くの部分で「フレームワーク層」によって決まり、モデルそのものではない
Claude Codeの50万行コードの露出は、業界全体に意味のある事実を示しました。同じ基礎モデルでも、異なるツール編成フレームワーク、メモリ管理メカニズム、権限システムを組み合わせれば、エージェントの能力はまったく異なるものになります。つまり「誰のモデルが最強か」だけが唯一の競争軸ではなく、「誰のフレームワーク工学がより洗練されているか」も同様に重要だということです。
2. 長期にわたる自律性が次の主要な戦場になる
KAIROSの防護プロセスが存在することは、業界の次の競争が「エージェントが無人監督でも継続して効果的に動けるようにすること」に集中することを示しています。バックグラウンドでの記憶統合、会話をまたいだ知識の移植、暇な時間での自律的な推論——これらの能力が一度成熟すれば、エージェントと人類が協働する基本のあり方を根本から変えるでしょう。
3. 反蒸留と知的財産の保護は、AI工学の新しい基礎科目になる
Anthropicはコードレベルで反蒸留メカニズムを実装しており、競合相手が学習データ収集のために自社のAIシステムを利用しないようにするにはどうすればよいか、という新しい工学領域が形成されつつあることを示唆しています。これは単なる技術問題ではなく、法律とビジネスのせめぎ合いという新たな戦場へ発展していくはずです。
4. サプライチェーンのセキュリティは、AIツールのアキレス腱
AIプログラミング・ツール自体が、npmのような公開ソフトウェアのパッケージ管理器を通じて配布される場合、それらは他のオープンソースと同様に、サプライチェーン攻撃のリスクにさらされます。そしてAIツールの特殊性は、一度バックドアが仕込まれると、攻撃者が得るのはコード実行権だけでなく、開発ワークフロー全体への深い侵入である点にあります。
5. 複雑なほど、より自動化されたリリースの番人が必要
「設定ミスの.npmignore、またはpackage.json内のfilesフィールド1つで、すべてが露出する。」AIエージェント製品を構築するあらゆるチームにとって、この教訓は、こんなに高額な代償を払って学ぶ必要はありません。CI/CDパイプラインにおいて自動化されたリリース内容の審査を導入することが、標準の実践となるべきで、手遅れの後に取り繕う対処策であってはなりません。
エピローグ
今日は2026年4月1日、エイプリルフールです。でもこれは冗談ではありません。
Anthropicは13か月の間に同じミスを2回犯しました。ソースコードはすでに世界中にミラーされています。DMCA削除要請も、forkの速度には追いつきません。本来は社内ネットワークに深く隠されているはずだった製品ロードマップが、今や誰もが参照できる資料になっています。
Anthropicにとって、これは痛みを伴う教訓です。
業界全体にとって、これは思いがけず透明性が増した瞬間です。つまり、いま最先端のAIプログラミング・エージェントが、どのように1行ずつ作り上げられていくのかを垣間見ることができるのです。