執筆:Claude 一、きっかけ----2026年3月31日未明、ある投稿が開発者コミュニティで大きな波紋を呼んだ。Chaofan Shouは、ブロックチェーン・セキュリティ企業のインターンで、Anthropic公式のnpmパッケージに含まれているsource mapファイルを見つけた。これにより、Claude Codeの完全なソースコードが公衆の面前にさらされていた。彼はすぐにX上でこの発見を公開し、あわせて直接ダウンロードへのリンクを添えた。この投稿はロケット花火のように開発者コミュニティで爆発的に広がった。数時間のうちに、51.2万行超のTypeScriptコードがGitHubにミラーされ、数千人の開発者がリアルタイムで分析した。これはAnthropicが1週間未満のうちに起きた2件目の重大な情報漏えい事故だ。その5日前(3月26日)には、AnthropicのCMS設定ミスにより、約3000件の内部ファイルが公開されており、間もなく公開予定の「Claude Mythos」モデルのドラフト記事ブログが含まれていた。二、漏えいはどのように起きたのか?-----------今回の事故の技術的な原因は、あまりにもおかしなものだった——根本原因は、npmパッケージに誤ってsource mapファイル(.mapファイル)が含まれてしまっていたことだ。こうしたファイルは、圧縮・難読化された本番コードを元のソースコードに対応づけ、デバッグ時にエラー行番号を特定しやすくするためのものだ。そしてこの.mapファイルには、Anthropic自社のCloudflare R2ストレージ・バケット内のzip圧縮パッケージを指すリンクが含まれていた。Shouや他の開発者は、あえてハッキング手段を使わずに、このzipパッケージを直接ダウンロードした。ファイルはそこにあるだけで、完全に公開されていた。問題のバージョンは@anthropic-ai/claude-codeのv2.1.88で、59.8MBのJavaScript source mapファイルが付属していた。The Registerへの回答の中で、Anthropicは次のように認めた:「2025年2月にも、より以前のClaude Codeのバージョンで同様のソースコード漏えいが発生していた。」つまり、同じミスが13か月の間に2度起きている。皮肉にも、Claude Code内部には「Undercover Mode(潜入モード)」と呼ばれる仕組みがあり、Anthropic内部のコードネームがgitへのコミット記録に意図せず漏れないようにするためのものだった……そしてエンジニアは、まるごとソースコードを.mapファイルにパッケージしてしまった。事故のもう一つの引き金になった可能性があるのは、ツールチェーンそのものだ。Anthropicは年末にBunを買収しており、Claude CodeはまさにBunに基づいて構築されている。2026年3月11日、Bunのissueトラッキングシステムにバグ報告(#28001)が投稿され、「Bunは本番モードでもsource mapを生成して出力する」ことを指摘しており、公式ドキュメントの説明と食い違っていた。このissueは現在もオープンのままだ。これに対して、Anthropicの公式な回答は簡潔で抑制的だった:「ユーザーデータやクレデンシャルが関与したり漏えいしたりしたことはありません。これはリリースのパッケージング手順における人為的な失敗であり、セキュリティ脆弱性ではありません。再発防止のための施策を進めています。」三、漏えいしたのは何か?--------### コード規模今回漏えいした内容は、約1900ファイル、50万行超のコードに及ぶ。これはモデルの重みではなく、Claude Code全体の「ソフトウェア層」のエンジニアリング実装だ——ツール呼び出しのフレームワーク、多数エージェントのオーケストレーション、権限システム、メモリシステムなどの中核アーキテクチャを含む。### 未公開の機能ロードマップこれが今回漏えいの中で最も戦略的価値が高い部分だ。**KAIROS 自主防護プロセス**:言及は150回超に及ぶこの機能代号は、古代ギリシャ語の「適切な時機」を由来とするもので、Claude Codeが「常駐バックグラウンドのAgent」へ根本的に転換することを示している。KAIROSにはautoDreamという名前のプロセスが含まれており、ユーザーが暇なときに「記憶統合」を実行する——断片化した観察を統合し、論理矛盾を解消し、曖昧な洞察を確定的な事実として固定する。ユーザーが戻ってきたときには、Agentのコンテキストは清掃済みで高度に関連性がある状態になっている。**内部モデル代号と性能データ**:漏えい内容により、CapybaraがClaude 4.6バリアントの内部代号であること、FennecがOpus 4.6に対応すること、そして未リリースのNumbatはまだテスト中であることが確認された。コードコメントにはさらに、Capybara v8の29-30%の虚偽陳述率が明かされており、v4の16.7%に比べて後退している。**反蒸留メカニズム(Anti-Distillation)**:コードにはANTI_DISTILLATION_CCという名前の機能フラグが存在する。これを有効にすると、Claude CodeはAPIリクエストの中に虚偽のツール定義を注入する。目的は、競合相手がモデル学習に利用し得るAPIトラフィックのデータを汚染することにある。**Beta API機能リスト**:constants/betas.tsファイルに、Claude CodeがAPI交渉で提示する全てのbeta機能が明らかになっている。たとえば100万tokenのコンテキストウィンドウ(context-1m-2025-08-07)、AFKモード(afk-mode-2026-01-31)、タスク予算管理(task-budgets-2026-03-13)など、まだ公開されていない一連の能力が含まれている。**組み込まれたポケモン風の仮想パートナーシステム**:コードには、さらに完全な仮想パートナーシステム(Buddy)まで隠されている。種のレアリティ、シャイニー(光る)変種、プロシージャルに生成される属性、そしてClaudeが初回の孵化時に書いた「魂の説明」が含まれる。パートナーの種類は、ユーザーIDのハッシュに基づく決定論的な疑似乱数生成器で決まり、同じユーザーは永遠に同じパートナーを得る。四、並行するサプライチェーン攻撃----------今回の事態は孤立して起きたものではない。ソースコード漏えいと同じ時間帯に、npm上のaxiosパッケージが独立したサプライチェーン攻撃を受けていた。2026年3月31日00:21から03:29 UTCの間に、npm経由でClaude Codeをインストールまたはアップデートしていた場合、意図せず、遠隔アクセス・トロイの木馬(RAT)を含む悪意あるバージョン(axios 1.14.1または0.30.4)が導入されていた可能性がある。Anthropicは、影響を受けた開発者に対して、ホストを完全に侵害されたものとして扱い、すべてのキーをローテーションし、オペレーティングシステムを再インストールすることを推奨した。この2件の出来事が時間的に重なったことで、状況はさらに混乱し、危険になった。五、業界への影響--------### Anthropicへの直接的な損害年換算売上が190億ドルで、高速成長期にある企業にとって、今回の漏えいは単なるセキュリティ上の不手際ではなく、戦略的な知的財産の流出による損失だ。**少なくとも一部のClaude Codeの能力は、基盤の大規模言語モデルそのものではなく、モデルの周りに構築されたソフトウェア「フレームワーク」から生まれている**——それは、モデルがどのようにツールを使うかを指示し、さらに重要なガードレールと指示を提供して、モデルのふるまいを規律する。これらのガードレールと指示は、今や競合他社に丸見えだ。### AI Agentツール全体のエコシステムへの警鐘今回の漏えいはAnthropicを壊滅させることはない。しかし、競合他社全員にとって無料の工学教材を提供することになる——本番レベルのAIプログラミングAgentをどのように構築するか、そしてどのツールの方向性に重点投資すべきか。漏えい内容の本当の価値はコードそのものではない。機能フラグが明らかにするプロダクトのロードマップにある。KAIROS、反蒸留メカニズム——これらは、競合他社が今すぐ予測して先手を打って対応できる戦略的な細部だ。コードはリファクタリングできるが、戦略的なサプライズが漏れた瞬間、それは取り戻せない。六、Agent Codingに対する深層の示唆----------------------今回の漏えいは鏡のようなものだ。現在のAI Agentエンジニアリングにおけるいくつかの中核命題を映し出している:**1. Agentの能力の境界は、かなりの程度「フレームワーク層」によって決まり、モデル本体ではない**Claude Codeの50万行のコードの露出は、業界全体にとって意味のある事実を示した。同じ基盤モデルでも、異なるツール編成フレームワーク、記憶管理メカニズム、権限システムを組み合わせれば、まったく異なるAgentの能力が生まれる。つまり「誰のモデルが最強か」だけが唯一の競争軸ではなく、「誰のフレームワーク工学がより精巧か」も同様に極めて重要になっている。**2. 長距離の自律性が次の主要戦場**KAIROSの防護プロセスの存在は、業界の次の競争が「誰も監督していない状態でもAgentが継続して効果的に動けるようにすること」に集中することを示している。バックグラウンドでの記憶統合、セッションをまたいだ知識の移植、暇な時間における自律的推論——こうした能力が一度成熟すれば、Agentと人間の協働の基本パターンを根本から変えてしまう。**3. 反蒸留と知的財産保護が、AIエンジニアリングの新しい基礎科目になる**Anthropicはコード層で反蒸留メカニズムを実装している。これは、競合他社が自社のAIシステムを訓練データの収集に使うことを防ぐにはどうすればよいか、という新しい工学領域が形成されつつあることを示している。これは単なる技術課題であるだけでなく、法務とビジネス上の駆け引きの新たな戦場へと発展していくだろう。**4. サプライチェーン・セキュリティはAIツールのアキレス腱**AIプログラミングツールそのものが、npmのような公開ソフトウェアパッケージ管理システムを通じて配布される場合、それらは他のオープンソースソフトウェアと同様に、サプライチェーン攻撃のリスクに直面する。さらにAIツールの特殊性として、一度バックドアが仕込まれれば、攻撃者が得るのはコード実行権だけではなく、開発ワークフロー全体への深い侵入だ。**5. 複雑なほど、より自動化されたリリースガードが必要**「設定ミスの.npmignore、またはpackage.json中のfilesフィールドが1つあるだけで、すべてが露出する。」AI Agentプロダクトを構築するあらゆるチームにとって、この教訓は、このように高額な代償を払って学ぶ必要はない。CI/CDパイプラインに自動化されたリリース内容の審査を組み込むべきであり、対処療法ではなく標準の実践として扱われるべきだ——取り返しのつかない後に羊を追う補修策ではなく。終わりに--今日は2026年4月1日、エイプリルフールだ。でもこれは冗談ではない。Anthropicは13か月の間に同じ過ちを2度犯した。ソースコードはすでに世界中にミラーされ、DMCAの削除リクエストはforkの速度に追いつけないはずだ。本来社内の内網に深く隠されているはずのプロダクトのロードマップが、今はすべての人の参照資料になっている。Anthropicにとって、これは痛ましい教訓だ。業界全体にとって、これは予期せぬ透明性の瞬間だ——いま最先端のAIプログラミングAgentが、どのように「行」ごとに構築されているのかを垣間見ることができる。
Claudeソースコード流出事件:.mapファイルが引き起こしたバタフライ効果
執筆:Claude
一、きっかけ
2026年3月31日未明、ある投稿が開発者コミュニティで大きな波紋を呼んだ。
Chaofan Shouは、ブロックチェーン・セキュリティ企業のインターンで、Anthropic公式のnpmパッケージに含まれているsource mapファイルを見つけた。これにより、Claude Codeの完全なソースコードが公衆の面前にさらされていた。彼はすぐにX上でこの発見を公開し、あわせて直接ダウンロードへのリンクを添えた。
この投稿はロケット花火のように開発者コミュニティで爆発的に広がった。数時間のうちに、51.2万行超のTypeScriptコードがGitHubにミラーされ、数千人の開発者がリアルタイムで分析した。
これはAnthropicが1週間未満のうちに起きた2件目の重大な情報漏えい事故だ。
その5日前(3月26日)には、AnthropicのCMS設定ミスにより、約3000件の内部ファイルが公開されており、間もなく公開予定の「Claude Mythos」モデルのドラフト記事ブログが含まれていた。
二、漏えいはどのように起きたのか?
今回の事故の技術的な原因は、あまりにもおかしなものだった——根本原因は、npmパッケージに誤ってsource mapファイル(.mapファイル)が含まれてしまっていたことだ。
こうしたファイルは、圧縮・難読化された本番コードを元のソースコードに対応づけ、デバッグ時にエラー行番号を特定しやすくするためのものだ。そしてこの.mapファイルには、Anthropic自社のCloudflare R2ストレージ・バケット内のzip圧縮パッケージを指すリンクが含まれていた。
Shouや他の開発者は、あえてハッキング手段を使わずに、このzipパッケージを直接ダウンロードした。ファイルはそこにあるだけで、完全に公開されていた。
問題のバージョンは@anthropic-ai/claude-codeのv2.1.88で、59.8MBのJavaScript source mapファイルが付属していた。
The Registerへの回答の中で、Anthropicは次のように認めた:「2025年2月にも、より以前のClaude Codeのバージョンで同様のソースコード漏えいが発生していた。」つまり、同じミスが13か月の間に2度起きている。
皮肉にも、Claude Code内部には「Undercover Mode(潜入モード)」と呼ばれる仕組みがあり、Anthropic内部のコードネームがgitへのコミット記録に意図せず漏れないようにするためのものだった……そしてエンジニアは、まるごとソースコードを.mapファイルにパッケージしてしまった。
事故のもう一つの引き金になった可能性があるのは、ツールチェーンそのものだ。Anthropicは年末にBunを買収しており、Claude CodeはまさにBunに基づいて構築されている。2026年3月11日、Bunのissueトラッキングシステムにバグ報告(#28001)が投稿され、「Bunは本番モードでもsource mapを生成して出力する」ことを指摘しており、公式ドキュメントの説明と食い違っていた。このissueは現在もオープンのままだ。
これに対して、Anthropicの公式な回答は簡潔で抑制的だった:「ユーザーデータやクレデンシャルが関与したり漏えいしたりしたことはありません。これはリリースのパッケージング手順における人為的な失敗であり、セキュリティ脆弱性ではありません。再発防止のための施策を進めています。」
三、漏えいしたのは何か?
コード規模
今回漏えいした内容は、約1900ファイル、50万行超のコードに及ぶ。これはモデルの重みではなく、Claude Code全体の「ソフトウェア層」のエンジニアリング実装だ——ツール呼び出しのフレームワーク、多数エージェントのオーケストレーション、権限システム、メモリシステムなどの中核アーキテクチャを含む。
未公開の機能ロードマップ
これが今回漏えいの中で最も戦略的価値が高い部分だ。
KAIROS 自主防護プロセス:言及は150回超に及ぶこの機能代号は、古代ギリシャ語の「適切な時機」を由来とするもので、Claude Codeが「常駐バックグラウンドのAgent」へ根本的に転換することを示している。KAIROSにはautoDreamという名前のプロセスが含まれており、ユーザーが暇なときに「記憶統合」を実行する——断片化した観察を統合し、論理矛盾を解消し、曖昧な洞察を確定的な事実として固定する。ユーザーが戻ってきたときには、Agentのコンテキストは清掃済みで高度に関連性がある状態になっている。
内部モデル代号と性能データ:漏えい内容により、CapybaraがClaude 4.6バリアントの内部代号であること、FennecがOpus 4.6に対応すること、そして未リリースのNumbatはまだテスト中であることが確認された。コードコメントにはさらに、Capybara v8の29-30%の虚偽陳述率が明かされており、v4の16.7%に比べて後退している。
反蒸留メカニズム(Anti-Distillation):コードにはANTI_DISTILLATION_CCという名前の機能フラグが存在する。これを有効にすると、Claude CodeはAPIリクエストの中に虚偽のツール定義を注入する。目的は、競合相手がモデル学習に利用し得るAPIトラフィックのデータを汚染することにある。
Beta API機能リスト:constants/betas.tsファイルに、Claude CodeがAPI交渉で提示する全てのbeta機能が明らかになっている。たとえば100万tokenのコンテキストウィンドウ(context-1m-2025-08-07)、AFKモード(afk-mode-2026-01-31)、タスク予算管理(task-budgets-2026-03-13)など、まだ公開されていない一連の能力が含まれている。
組み込まれたポケモン風の仮想パートナーシステム:コードには、さらに完全な仮想パートナーシステム(Buddy)まで隠されている。種のレアリティ、シャイニー(光る)変種、プロシージャルに生成される属性、そしてClaudeが初回の孵化時に書いた「魂の説明」が含まれる。パートナーの種類は、ユーザーIDのハッシュに基づく決定論的な疑似乱数生成器で決まり、同じユーザーは永遠に同じパートナーを得る。
四、並行するサプライチェーン攻撃
今回の事態は孤立して起きたものではない。ソースコード漏えいと同じ時間帯に、npm上のaxiosパッケージが独立したサプライチェーン攻撃を受けていた。
2026年3月31日00:21から03:29 UTCの間に、npm経由でClaude Codeをインストールまたはアップデートしていた場合、意図せず、遠隔アクセス・トロイの木馬(RAT)を含む悪意あるバージョン(axios 1.14.1または0.30.4)が導入されていた可能性がある。
Anthropicは、影響を受けた開発者に対して、ホストを完全に侵害されたものとして扱い、すべてのキーをローテーションし、オペレーティングシステムを再インストールすることを推奨した。
この2件の出来事が時間的に重なったことで、状況はさらに混乱し、危険になった。
五、業界への影響
Anthropicへの直接的な損害
年換算売上が190億ドルで、高速成長期にある企業にとって、今回の漏えいは単なるセキュリティ上の不手際ではなく、戦略的な知的財産の流出による損失だ。
少なくとも一部のClaude Codeの能力は、基盤の大規模言語モデルそのものではなく、モデルの周りに構築されたソフトウェア「フレームワーク」から生まれている——それは、モデルがどのようにツールを使うかを指示し、さらに重要なガードレールと指示を提供して、モデルのふるまいを規律する。
これらのガードレールと指示は、今や競合他社に丸見えだ。
AI Agentツール全体のエコシステムへの警鐘
今回の漏えいはAnthropicを壊滅させることはない。しかし、競合他社全員にとって無料の工学教材を提供することになる——本番レベルのAIプログラミングAgentをどのように構築するか、そしてどのツールの方向性に重点投資すべきか。
漏えい内容の本当の価値はコードそのものではない。機能フラグが明らかにするプロダクトのロードマップにある。KAIROS、反蒸留メカニズム——これらは、競合他社が今すぐ予測して先手を打って対応できる戦略的な細部だ。コードはリファクタリングできるが、戦略的なサプライズが漏れた瞬間、それは取り戻せない。
六、Agent Codingに対する深層の示唆
今回の漏えいは鏡のようなものだ。現在のAI Agentエンジニアリングにおけるいくつかの中核命題を映し出している:
1. Agentの能力の境界は、かなりの程度「フレームワーク層」によって決まり、モデル本体ではない
Claude Codeの50万行のコードの露出は、業界全体にとって意味のある事実を示した。同じ基盤モデルでも、異なるツール編成フレームワーク、記憶管理メカニズム、権限システムを組み合わせれば、まったく異なるAgentの能力が生まれる。つまり「誰のモデルが最強か」だけが唯一の競争軸ではなく、「誰のフレームワーク工学がより精巧か」も同様に極めて重要になっている。
2. 長距離の自律性が次の主要戦場
KAIROSの防護プロセスの存在は、業界の次の競争が「誰も監督していない状態でもAgentが継続して効果的に動けるようにすること」に集中することを示している。バックグラウンドでの記憶統合、セッションをまたいだ知識の移植、暇な時間における自律的推論——こうした能力が一度成熟すれば、Agentと人間の協働の基本パターンを根本から変えてしまう。
3. 反蒸留と知的財産保護が、AIエンジニアリングの新しい基礎科目になる
Anthropicはコード層で反蒸留メカニズムを実装している。これは、競合他社が自社のAIシステムを訓練データの収集に使うことを防ぐにはどうすればよいか、という新しい工学領域が形成されつつあることを示している。これは単なる技術課題であるだけでなく、法務とビジネス上の駆け引きの新たな戦場へと発展していくだろう。
4. サプライチェーン・セキュリティはAIツールのアキレス腱
AIプログラミングツールそのものが、npmのような公開ソフトウェアパッケージ管理システムを通じて配布される場合、それらは他のオープンソースソフトウェアと同様に、サプライチェーン攻撃のリスクに直面する。さらにAIツールの特殊性として、一度バックドアが仕込まれれば、攻撃者が得るのはコード実行権だけではなく、開発ワークフロー全体への深い侵入だ。
5. 複雑なほど、より自動化されたリリースガードが必要
「設定ミスの.npmignore、またはpackage.json中のfilesフィールドが1つあるだけで、すべてが露出する。」AI Agentプロダクトを構築するあらゆるチームにとって、この教訓は、このように高額な代償を払って学ぶ必要はない。CI/CDパイプラインに自動化されたリリース内容の審査を組み込むべきであり、対処療法ではなく標準の実践として扱われるべきだ——取り返しのつかない後に羊を追う補修策ではなく。
終わりに
今日は2026年4月1日、エイプリルフールだ。でもこれは冗談ではない。
Anthropicは13か月の間に同じ過ちを2度犯した。ソースコードはすでに世界中にミラーされ、DMCAの削除リクエストはforkの速度に追いつけないはずだ。本来社内の内網に深く隠されているはずのプロダクトのロードマップが、今はすべての人の参照資料になっている。
Anthropicにとって、これは痛ましい教訓だ。
業界全体にとって、これは予期せぬ透明性の瞬間だ——いま最先端のAIプログラミングAgentが、どのように「行」ごとに構築されているのかを垣間見ることができる。