Claude Code の責任者 Boris Cherny は、「デプロイ手順にいくつかの手動ステップがあり、そのうち 1 つが正しく実行されなかった」と認めた。さらに、チームは問題を修正済みで、追加の自動化チェックを導入していると述べ、こうしたミスは特定の個人の責任ではなく、プロセスまたはインフラの問題を示すものだと強調した。
大量の開発者が X プラットフォームで怒りを表明した。開発者 Danila Poyarkov は、自分が Anthropic の公開リポジトリをフォークしただけで削除通知を受け取ったと報告している。別のユーザー Daniel San が受け取った GitHub のメールでは、削除対象のリポジトリはスキルのサンプルとドキュメントのみで、漏洩コードとは無関係であることが示されていた。ある開発者は率直に、「Anthropic の弁護士が、私のリポジトリの削除要請を出してからすぐに目が覚めた(=すぐ行動した)」と語った。
Anthropic、自ら源コードを自曝した後、8000件以上の著作権撤回リクエストを送信、「安全第一」キャラクターが最も恥ずかしい一週間に直面
作者:深潮 TechFlow
Anthropic は、npm の公開設定ミスにより、収益性の最も高い製品である Claude Code の全ソースコードを誤って公開してしまった。約 51.2 万行の TypeScript コードが数時間のうちに数万人の開発者によってミラーされ、解析され、AI によって Python および Rust のバージョンへ書き換えられた。Anthropic はすぐに GitHub に DMCA 著作権の削除(削除要請)を求める連絡を送ったが、約 8100 のコードリポジトリに影響し、しかも多数の無関係プロジェクトを巻き込んだことでコミュニティの強い反発を招き、最終的に大部分の要請を撤回せざるを得ず、1 つのリポジトリと 96 のフォークに対する削除のみを残した。これは Anthropic の 1 週間で 2 回目の重大な漏洩事故であり、同社の Mythos モデル情報漏洩からわずか 5 日しか経っていない。
「AI セーフティ」をブランドの中核に据える Anthropic は、創業以来で最も恥ずかしい 1 週間を経験している。
『ウォール・ストリート・ジャーナル』4 月 1 日の報道によると、Anthropic は 3 月 31 日の定例のバージョン更新の際、ビルド手順における人為的な操作ミスにより、Claude Code の完全なソースコードを npm パッケージとともに公開してしまった。安全研究者の Chaofan Shou は米東部時間の午前 4 時 23 分に X プラットフォームでダウンロードリンクを公開し、投稿の閲覧数は急速に 2100 万を突破した。数時間内にコードは GitHub にミラーされ、数万のスターを獲得した。韓国の開発者 Sigrid Jin は、夜明け前にすでに AI ツールを使ってコードベース全体を Python バージョンに書き換え、そのプロジェクトは 2 時間で 5 万の GitHub スターを獲得しており、同プラットフォーム史上で最速の増加記録を樹立する可能性が高い。
Anthropic の広報担当者は CNBC に対し、漏洩の事実を確認し、「これは人為的な誤りによって発生したリリースの梱包(パッケージング)の問題であり、安全上の脆弱性ではない。機密性の高い顧客データや資格情報(クレデンシャル)は一切関与せず、露出していない」と述べた。
欠落していた設定項目が、51.2 万行の中核コードを漏洩させた
漏洩の技術的な原因はそれほど複雑ではない。Claude Code は Bun(Anthropic が 2025 年末に買収した JavaScript 実行環境ツール)をベースに構築されており、Bun はデフォルトで source map のデバッグファイルを生成する。リリースチームは npm パッケージをプッシュする際に、このファイルを .npmignore の設定で除外しておらず、その結果、59.8MB の source map ファイルが Claude Code 2.1.88 のバージョンとともに公開されてしまった。このファイルには、約 1900 の TypeScript ソースファイルの完全な内容が含まれており、合計で約 51.2 万行のコードが読みやすく、注釈付きで、いかなる難読化処理も施されていない状態だった。
Claude Code の責任者 Boris Cherny は、「デプロイ手順にいくつかの手動ステップがあり、そのうち 1 つが正しく実行されなかった」と認めた。さらに、チームは問題を修正済みで、追加の自動化チェックを導入していると述べ、こうしたミスは特定の個人の責任ではなく、プロセスまたはインフラの問題を示すものだと強調した。
これは初めてではない。2025 年 2 月に、ほぼ同じ source map の漏洩が起き、Claude Code の初期バージョンのソースコードが既に露出していた。同種の事故が 13 か月以内に繰り返され、企業運営の成熟度に疑問が向けられている。同社の企業価値は約 3800 億ドルで、IPO を準備している最中だ。
開発者は漏洩コードから何を見つけたのか
漏洩されたコードベースは、Anthropic が公開するつもりがなかった製品ロードマップに相当する。VentureBeat と複数の開発者の分析によると、コードには 44 個の機能スイッチ(feature flag)が含まれており、そのうち 20 件超は完了しているもののまだリリースされていない機能だ。
中でも注目を集めたのは、次のものだ。ユーザーが仕事を離れている間に、バックグラウンドで継続稼働できる自律型の監護プロセスモード「KAIROS」。これにより Claude Code は自律エージェントとして、定期的にエラーを修復し、タスクを実行し、ユーザーへプッシュ通知を送ることができる。さらに、名付けられた「dreaming」による記憶統合プロセスを通じて、3 層の「自己修復型の記憶」アーキテクチャが備わっており、バックグラウンドで分散した観測結果を統合し、論理の矛盾を排除する。そして、Claude Code を単一エージェントから、並行して生成し、指揮し、複数の作業エージェントを管理できるコーディネータ(調整役)へと変える、完全なマルチエージェントの協調システムがある。
最も議論を呼んだ発見は undercover.ts という名のファイルだ。The Hacker News の報道によると、当該ファイルは約 90 行のコードで、Anthropic の従業員が Claude Code を使ってオープンソースプロジェクトにコードを提出する際に、システムプロンプトを注入し、「自分が AI であることを絶対に明かさない」よう指示し、さらにすべての Co-Authored-By の帰属(クレジット)注記を剥奪するという。コードには「あなたは公開/オープンソースのコードリポジトリでアンダーカバー(潜入)任務を実行している。あなたのコミットメッセージ、PR タイトル、PR 本文には、いかなる Anthropic 内部情報も含めてはいけない。あなたの身元を暴露しないでください」と書かれている。
加えてコードには ANTI_DISTILLATION_CC というフラグも含まれており、API リクエストに偽のツール定義を注入して、競合他社が傍受して学習データとして利用しうるものを汚染することが目的だ。またコード内には Anthropic の内部モデルのコードネームも登場する。Capybara は未リリースの新しいモデルの階層に対応し、Fennec は既存の Opus 4.6 に対応している。これは、5 日前に Anthropic が CMS 設定ミスによって漏洩させた Mythos モデル情報と相互に裏付け合う内容だ。
サイバーセキュリティ会社 Code Wall の創業者 Paul Price は Business Insider に対し、「今回の漏洩は、実害が大きいというより恥ずかしいという性格のものだ。真に価値のあるコアは内部モデルの重み(weights)であり、それらは漏れていない」と述べた。しかし同氏は、Claude Code は「現在設計が最も優れたエージェントツールアーキテクチャの 1 つ」であり、「いま、彼らがそうした難しい問題をどう解決しているのかが見えている。これは競合にとって明確なインテリジェンス価値がある」とも指摘した。
8100 のリポジトリが誤って削除対象に、DMCA 削除の「コケる」がさらなる反発を招く
コードが拡散された後、Anthropic は米国の「デジタル・ミレニアム著作権法(DMCA)」に基づき、迅速に GitHub に著作権削除(削除要請)を提出した。GitHub の公開記録によれば、当初の要請の対象は約 8100 のコードリポジトリに及んだ。しかし問題は、削除対象となったリポジトリには、漏洩コードのミラーだけでなく、Anthropic 自身が公開した Claude Code 公式リポジトリの正当なフォークも含まれていたことだ。
大量の開発者が X プラットフォームで怒りを表明した。開発者 Danila Poyarkov は、自分が Anthropic の公開リポジトリをフォークしただけで削除通知を受け取ったと報告している。別のユーザー Daniel San が受け取った GitHub のメールでは、削除対象のリポジトリはスキルのサンプルとドキュメントのみで、漏洩コードとは無関係であることが示されていた。ある開発者は率直に、「Anthropic の弁護士が、私のリポジトリの削除要請を出してからすぐに目が覚めた(=すぐ行動した)」と語った。
コミュニティの反発を受け、Anthropic は 4 月 1 日に一部の要請を撤回した。GitHub 上の撤回記録によると、Anthropic は削除の範囲を 1 つのリポジトリ(nirholas/claude-code)および、元の通知において個別に列挙された 96 のフォーク URL に縮小し、それ以外の約 8000 のリポジトリについては、GitHub がアクセスを復元した。
Anthropic の広報担当者は TechCrunch に対し、「通知で指定されたリポジトリは、当社が公開している Claude Code リポジトリにつながっているフォークネットワークに属するため、削除の波及範囲は想定を超えた。1 つのリポジトリを除くすべての通知を撤回し、GitHub は影響を受けたフォークのアクセスを復元している」と述べた。
コードは分散型プラットフォームに永久アーカイブされ、DMCA の効力は限られる
Anthropic の著作権削除対応には、根本的なジレンマがある。コードはすでに不可逆的に拡散してしまった。
Decrypt の報道によると、分散型 Git プラットフォーム Gitlawb は完全な元のコードをミラーしており、注記に「永遠に削除されることはない」と書かれている。DMCA は GitHub のような中央集権的なプラットフォームに対しては有効だ。なぜなら、後者は法に基づき実行しなければならないが、分散型インフラには管轄権を及ぼせないからだ。漏洩が起きてから数時間以内に、十分な数のミラーとさまざまな種類のインフラを通じて、コードは事実上、永久に公開された。
さらに皮肉なのは、韓国の開発者 Sigrid Jin が AI オーケストレーションツール oh-my-codex を使って、コードベース全体を TypeScript から Python に書き換え、プロジェクト名を claw-code としたことだ。The Pragmatic Engineer の創業者 Gergely Orosz は X プラットフォームで、これは「クリーンルーム書き換え(clean-room rewrite)」であり、独立した創作作品に当たるため、設計上 DMCA の手が届かない、と指摘した。もし Anthropic が、AI で書き換えられたコードもなお侵害に当たると主張するなら、それは AI 企業が学習データの著作権訴訟で中核とする抗弁ロジック——すなわち、AI が著作権で保護された入力から生成した出力は合理的な利用である——を逆に弱めることになる。
著作権の立場の気まずさ:自分で首を絞めるのか、それとも法的に必要なのか?
今回の事件でコミュニティの注目を最も集めたのは、著作権のスタンスにおける矛盾だ。Anthropic は 2025 年 9 月に裁判所から、海賊版の書籍や影の図書館(シャドウライブラリ)を使って Claude を学習したことにより 15 億ドルの賠償を命じられている。Reddit は 2025 年 6 月から、Anthropic がユーザー生成コンテンツを無許可でモデル学習に利用したとして提訴している。学習データの著作権問題で多くの訴訟に巻き込まれている企業が、自社のコードを守るために著作権法を使う——この展開へのコミュニティの反応は、ある程度予想できるものだった。
Slashdot の高評価コメントは、この感情をそのまま要約している。 「『私たちが公開して、盗んだものを使って稼いでいるものを、どうしてあなたたちは盗むのか!』——これは本当に立場だ。」別のユーザーは、法的戦略の観点から見ると、DMCA の行動には一定の道理があると考えている。「もし Anthropic が将来、他の会社が自社のコードを使った責任を追及したいのなら、配布者に対して撤除させる試みすらしていない状態で、法廷で主張するのは筋が通らない。」
この論争には、AI 生成コードの著作権帰属という、最前線の法的問題も関わっている。Gartner と Anthropic のこれまでの公開開示によれば、Claude Code の約 90% のコードは AI によって生成されている。米連邦裁判所は 2025 年 3 月に、AI 生成の作品は人間の著作者性が欠けるため著作権保護を受けないと裁定しており、最高裁は 2026 年 3 月に上告の受理を拒否した。もし Claude Code の大部分が Claude 自身によって実際に書かれているなら、Anthropic の著作権主張には法的に実質的な不確実性がある。
週 2 回の漏洩、IPO 前夜の運営安全アラート
今回のソースコード漏洩は、Anthropic の直近の漏洩事件からわずか 5 日しか経っていなかった。3 月 26 日に『フォーチュン』誌が報じたところでは、Anthropic はコンテンツ管理システムの設定ミスにより、約 3000 件の未公開の社内文書が公開可能なデータキャッシュに置かれ、検索可能になってしまっていた。そこには、近くリリースされる Claude Mythos モデルの詳細情報が含まれていた。2 件の事故はいずれも「人為的なミス」によるものだとされている。
これらの事故の時系列は敏感だ。Anthropic は 2026 年 2 月に 300 億ドルの G ラウンド・ファイナンスを完了し、評価額は 3800 億ドル。報道によると、最も早くて 2026 年 10 月に IPO を行う準備をしており、調達規模は 600 億ドル超に達する可能性がある。ゴールドマン・サックス、JPMorgan チェース、モルガン・スタンレーはいずれも、早期段階での打診をすでに行っている。Claude Code の年換算収益はすでに 25 億ドルを超えており、同社にとって最重要の収益エンジンだ。TechCrunch は、上場準備中の企業にとって、ソースコードの漏洩はほぼ必然的に株主訴訟に直面することを意味すると指摘した。
VentureBeat は事件の分析の中で、より鋭い問題提起をしている。Anthropic は 3 月に十数件の事故が起きたにもかかわらず、公開した事後報告は 1 件だけだった。第三者の監視システムが故障を検知するまでの時間は、Anthropic 自身のステータスページより 15〜30 分早かったという。評価額 3800 億ドルで公開市場に向かう企業として、運営の透明性と成熟度がその評価額に見合っているのか、投資家が自分で判断する必要がある。