Claude Code の責任者である Boris Cherny は、「デプロイ手順にはいくつかの手動ステップがあり、そのうち1つが正しく実行されませんでした」と認めた。さらに、チームは問題を修正しており、より多くの自動化チェックを追加していると述べる一方で、この種の誤りは特定の個人の責任ではなく、プロセスまたはインフラの問題を示しているのだと強調した。
大量の開発者が X 上で怒りを表明した。開発者 Danila Poyarkov は、Anthropic の公開リポジトリを単にフォークしただけで削除通知を受け取ったと報告した。別のユーザー Daniel San が受け取った GitHub のメールには、削除されたリポジトリはスキルのサンプルとドキュメントだけで、漏洩コードとは無関係だと表示されていた。ある開発者は率直に次のように述べた。「Anthropic の弁護士が、私のリポジトリを削除する通知を送るために起きたばかりみたいだ。」
さらに皮肉なのは、韓国の開発者 Sigrid Jin が AI オーケストレーションツール oh-my-codex を使って、TypeScript から Python へコードベース全体を書き換え、プロジェクト名を claw-code にしたことだ。The Pragmatic Engineer の創設者である Gergely Orosz は X 上で、これは「クリーンルーム書き換え」(clean-room rewrite)であり、独立した創作作品を構成するため、設計上 DMCA が到達できないものだと指摘している。もし Anthropic が、AI によって書き換えられたコードであっても侵害だと主張するなら、それは AI 企業が訓練データの著作権訴訟で中核に据える抗弁ロジックを逆に弱めることになる。すなわち、AI は著作権で保護された入力から出力を生成しており、それは合理的な利用だ、という論理である。
Anthropic、自ら源コードを自曝した後、8000件以上の著作権撤回リクエストを送信、「安全第一」キャラクターが最も恥ずかしい一週間に直面
「AI セーフティ」をブランドの中核に据える Anthropic は、創業以来で最も恥ずかしい一週間を過ごしている。
著者:深潮 TechFlow
Anthropic は npm のリリース設定ミスにより、自社の最も稼ぎ頭である製品 Claude Code の全てのソースコードを誤って公開してしまった。約 51.2 万行の TypeScript コードが数時間のうちに数万名の開発者によってミラーされ、分解され、AI によって Python と Rust のバージョンへ書き換えられた。Anthropic はすぐに GitHub に DMCA の著作権削除要請を送ったが、影響を受けたのは約 8100 のコードリポジトリだった。しかし、無関係な大量のプロジェクトを巻き込んだことによりコミュニティが強く反発し、最終的に Anthropic は大半の要請を取り下げざるを得ず、1 つのリポジトリと 96 のフォークに対する削除のみを残した。これは Anthropic の一週間内で2度目の大規模な漏洩事故であり、同社の Mythos モデルの情報漏洩からわずか 5 日しか経っていない。
「AI セーフティ」をブランドの中核に据える Anthropic は、創業以来で最も恥ずかしい一週間を過ごしている。
『ウォール・ストリート・ジャーナル』4月 1 日の報道によると、Anthropic は 3月 31 日の通常のバージョン更新の際、ビルド手順における人為的な操作ミスにより、Claude Code の完全なソースコードを npm パッケージと一緒に公開してしまった。セキュリティ研究者の Chaofan Shou は米東部時間の午前 4:23 に X 上でダウンロードリンクを公開し、投稿の閲覧数は急速に 2100 万を突破した。数時間内にコードは GitHub にミラーされ、数万のスターを獲得した。韓国の開発者 Sigrid Jin は、夜が明ける前にすでに AI ツールでコードベース全体を Python バージョンに書き換えており、このプロジェクトは2時間で 5 万の GitHub スターを獲得し、同プラットフォーム史上で最速の成長記録を更新する可能性が高い。
Anthropic のスポークスマンは CNBC に対し、漏洩が事実であることを確認し、「これは人為的な誤りによって引き起こされたリリース/パッキングの問題であり、安全上の脆弱性ではありません。機密の顧客データや資格情報に関与、または露出はしていません。」
欠落した設定項目が、51.2 万行の中核コードを漏洩
漏洩の技術的な理由は複雑ではない。Claude Code は Bun(Anthropic が2025 年末に買収した JavaScript 実行ランタイムのツール)に基づいて構築されており、Bun はデフォルトで source map デバッグファイルを生成する。リリースチームは npm パッケージをプッシュする際、.npmignore の設定でこのファイルを除外しなかったため、59.8MB の source map ファイルが Claude Code 2.1.88 バージョンとともに公開された。このファイルには、約 1900 の TypeScript ソースファイルの完全な内容が含まれており、合計で約 51.2 万行のコードになる。読めて、注釈付きで、いかなる難読化もされていない。
Claude Code の責任者である Boris Cherny は、「デプロイ手順にはいくつかの手動ステップがあり、そのうち1つが正しく実行されませんでした」と認めた。さらに、チームは問題を修正しており、より多くの自動化チェックを追加していると述べる一方で、この種の誤りは特定の個人の責任ではなく、プロセスまたはインフラの問題を示しているのだと強調した。
これは初めてのことではない。2025年 2 月に、ほぼ同じ source map の漏洩が起こり、Claude Code の初期バージョンのソースコードが露出した。同種の事故は 13 か月以内に繰り返されており、評価額が約 3800 億ドルで、IPO を準備中の同社の運営成熟度に疑問が持たれている。
開発者は漏洩コードから何を見つけたのか
漏洩したコードベースは、Anthropic が公開するつもりのなかった製品ロードマップに等しい。VentureBeat と複数の開発者の分析によれば、コードには 44 個の機能フラグ(feature flag)が含まれており、そのうち 20 以上は開発済みだが未リリースの機能だという。
中でも特に注目されているのは次のようなものだ。ユーザーが暇なときにバックグラウンドで継続稼働する自律的なワーカーで、Claude Code がスマートに仕事を自走し、定期的にエラーを修復したりタスクを実行したりしてユーザーへプッシュ通知を送ることを可能にする、自律監視プロセスモード「KAIROS」。名付けられた「dreaming」による記憶統合プロセスを通じて、バックグラウンドで分散した観測結果を統合し、論理的な矛盾を解消する、3層の「自己治癒型メモリ」アーキテクチャ。一つの多智能体調整システムとして、Claude Code を単一のスマートエージェントから、複数の作業スマートエージェントを並行生成・指揮・管理できるコーディネーターへと変えることができる完全な協調システム。
最も物議を醸した発見は undercover.ts という名前のファイルだ。The Hacker News の報道によれば、同ファイルは約 90 行のコードで、Anthropic の従業員が Claude Code を使ってオープンソースプロジェクトへコードを提出する際にシステムプロンプトを注入し、「Claude が AI であることを決して明かさないようにする」こと、さらに「Co-Authored-By」の帰属表示をすべて剥がすことを指示する。コードには次のように書かれている。「あなたは公開/オープンソースのコードリポジトリで潜入任務を実行しています。あなたのコミットメッセージ、PR タイトル、PR 本文には、いかなる Anthropic の内部情報も含めてはいけません。あなたの身元を明かさないでください。」
加えて、コードには ANTI_DISTILLATION_CC というフラグが含まれており、API リクエストに偽のツール定義を注入して、競合相手が捕捉して訓練データとして使う可能性があるものを汚染することが目的だという。コードには同様に、Anthropic の内部モデルコードも登場する。Capybara は未リリースの新しいモデル階層に対応し、Fennec は既存の Opus 4.6 に対応している。これは 5 日前に Anthropic が CMS 設定ミスによって漏洩させた Mythos モデル情報と呼応している。
サイバーセキュリティ企業 Code Wall の創設者である Paul Price は Business Insider に対し、今回の漏洩は「実際の被害というより、むしろ当惑を招くものだった。真に価値のあるコアは内部モデルの重みであり、それらは漏れていない」と述べている。ただし彼は、Claude Code は「現在設計として最も優れたエージェントツールのアーキテクチャの一つであり、今は彼らがそうした難しい問題をどう解いているのかを見ることができる」とも指摘しており、競合にとって明確な情報価値がある。
8100 のリポジトリが誤って封鎖され、DMCA 削除が「コケた」ことでさらに大きな反発
コードが広がった後、Anthropic は米国の「デジタル・ミレニアム著作権法(DMCA)」に基づき、迅速に GitHub へ著作権削除要請を提出した。GitHub の公開記録によれば、この要請は当初、約 8100 のコードリポジトリにまで及んだ。ただ問題だったのは、削除対象となったリポジトリが、漏洩コードのミラーだけでなく、Anthropic 自身が公開した Claude Code 公式リポジトリの正当なフォークまで含んでいたことだ。
大量の開発者が X 上で怒りを表明した。開発者 Danila Poyarkov は、Anthropic の公開リポジトリを単にフォークしただけで削除通知を受け取ったと報告した。別のユーザー Daniel San が受け取った GitHub のメールには、削除されたリポジトリはスキルのサンプルとドキュメントだけで、漏洩コードとは無関係だと表示されていた。ある開発者は率直に次のように述べた。「Anthropic の弁護士が、私のリポジトリを削除する通知を送るために起きたばかりみたいだ。」
コミュニティの反発を受けて、Anthropic は 4月 1 日に一部の要請を撤回した。GitHub 上の撤回記録によれば、Anthropic は削除範囲を 1 つのリポジトリ(nirholas/claude-code)および、元の通知で個別に挙げられていた 96 のフォーク URL に縮小し、それ以外の約 8000 のリポジトリについては GitHub がアクセス権を回復した。
Anthropic のスポークスマンは TechCrunch に対し、「通知で指定されたリポジトリは、私たちが公開している Claude Code リポジトリと接続されたフォークネットワークに属しているため、削除の影響が想定より広がりました。私たちは 1 つのリポジトリを除くすべての通知を撤回し、GitHub は影響を受けたフォークに対するアクセスを回復しています。」
コードは分散型プラットフォームに永久アーカイブされ、DMCA の効力は限定的
Anthropic の著作権削除アクションには、根本的なジレンマがある。コードはすでに不可逆的に拡散してしまっているのだ。
Decrypt の報道によると、分散型 Git プラットフォーム Gitlawb が完全な元のコードをミラーし、注記で「永久に削除されることはない」としている。DMCA は GitHub のような集中型プラットフォームに対して有効であり、後者は法に従って対応しなければならない。しかし分散型インフラには管轄権を及ぼすことができない。漏洩が起きてから数時間で、コードは十分な数のミラーと異なるタイプのインフラを通じて、事実上の「永久公開」を実現してしまった。
さらに皮肉なのは、韓国の開発者 Sigrid Jin が AI オーケストレーションツール oh-my-codex を使って、TypeScript から Python へコードベース全体を書き換え、プロジェクト名を claw-code にしたことだ。The Pragmatic Engineer の創設者である Gergely Orosz は X 上で、これは「クリーンルーム書き換え」(clean-room rewrite)であり、独立した創作作品を構成するため、設計上 DMCA が到達できないものだと指摘している。もし Anthropic が、AI によって書き換えられたコードであっても侵害だと主張するなら、それは AI 企業が訓練データの著作権訴訟で中核に据える抗弁ロジックを逆に弱めることになる。すなわち、AI は著作権で保護された入力から出力を生成しており、それは合理的な利用だ、という論理である。
著作権の立場の難しさ:自分で自分を破るのか、それとも法律上の必然か?
今回の事件で最もコミュニティが注目したのは、著作権の立場における矛盾という緊張感だ。Anthropic は 2025年 9 月に、海賊版の書籍や影の図書館を使って Claude を訓練したことにより、裁判所から 15 億ドルの賠償を命じられた。Reddit は 2025年 6 月から、Anthropic がユーザーが生成したコンテンツを無許可で収集してモデル訓練に使っているとして訴えている。訓練データの著作権問題で多くの訴訟を抱えた会社が、自分のコードを守るために著作権法を使う――この反応が予測可能であることは、コミュニティにも容易に想像がついた。
Slashdot での高評価コメントは、この感情をそのまま要約した。「『私たちが公開して、盗んだものを使って稼ぐようにしているものを、あなたたちはどうして盗むんだ!』――まさにそれがスタンスだ。」別のユーザーは、法律戦略の観点から見ると DMCA の行動は「まったく不合理ではない」と考えている。「もし Anthropic が将来、他社が自社のコードを使ったことの責任を追及したいなら、配布者に削除を試みることすらしていなければ、法廷で筋が通らない。」
この論争にはさらに、AI が生成したコードの著作権帰属という最先端の法的問題も関わっている。Gartner と Anthropic のこれまでの公開情報によると、Claude Code のコードの約 90% は AI によって生成されている。米連邦裁判所は 2025年 3 月に、AI が生成した作品は人間の作者性が欠けるため著作権保護を受けないと判断し、最高裁は 2026年 3 月に上告の受理を拒否した。もし Claude Code の大半のコードが確かに Claude 自身によって書かれたものなら、Anthropic の著作権主張には法律上の重大な不確実性がある。
一週間に二度の漏洩、IPO 前夜の運用セキュリティ警報
今回のソースコード漏洩は、Anthropic の前回の漏洩事件からわずか 5 日しか経っていない。3月 26 日、『フォーチュン』誌は、Anthropic がコンテンツ管理システムの設定ミスにより、未発表の内部文書約 3000 件が公開可能な検索可能なデータキャッシュに露出してしまったと報じた。そこには、まもなくリリースされる Claude Mythos モデルの詳細情報が含まれていた。2 つの事故はいずれも「人為的なミス」に起因するとされた。
これらのタイミングは敏感だ。Anthropic は 2026年 2 月に 300 億ドルの G ラウンド資金調達を完了し、評価額は 3800 億ドル。報道によると、最も早い場合 2026年 10 月に IPO を実施する計画で、調達規模は 600 億ドル超になる可能性がある。ゴールドマン・サックス、JP モルガン、モルガン・スタンレーはいずれも、早期の打診をしているという。Claude Code の年換算収益は 25 億ドル超で、同社にとって最重要の収益エンジンだ。TechCrunch は、上場準備中の企業にとってソースコードの漏洩は、株主訴訟が避けられないほぼ必然の事態を意味すると指摘した。
VentureBeat の事件分析では、さらに鋭い問題提起がなされた。Anthropic は 3 月に 10 件以上の事故が起きていたにもかかわらず、公開されたのは事後報告書がたった1件だけだったという。第三者のモニタリングシステムが不具合を検知した時刻は、Anthropic 自身のステータスページより 15〜30 分早かった。評価額 3800 億ドルで公開市場へ向かって走っている企業の運用の透明性と成熟度が、その評価額に見合うものかどうか――投資家は自分で判断する必要がある。