Anthropicは、設定ミスのあったソースマップファイルがnpmに公開されたことをきっかけに、Claude Codeの完全なソースコードを公開し、同社の最も重要な商用プロダクトの1つの内部を垣間見るというまれな機会を提供した。当該ファイルはバージョン2.1.88に同梱されており、約60メガバイトの社内資料を含んでいた。TypeScriptは約512,000行で、全1,906ファイルにわたっていた。Solayer LabsでインターンをしていたソフトウェアエンジニアのChaofan Shouが最初にこの漏えいを指摘し、その後開発者がコードベースを調べ始めたことで、漏えいはXとGitHubにすぐに広がった。この開示は、AnthropicがClaude Codeを長時間のコーディングセッション中に軌道に乗せ続けるためにどのように構築したかを示していた。最も明確な発見の1つは、MEMORY.mdという軽量なファイルを中心とした三層のメモリシステムだった。この仕組みは、完全な情報ではなく短い参照を保存する。より詳細なプロジェクトノートは別途保存され、必要になったときだけ取り込まれる一方、過去のセッション履歴はすべて一度に読み込むのではなく、選択的に検索される。さらにコードは、行動を取る前にメモリを実際のコードと照合するようシステムに指示しており、ミスや誤った前提を減らすことを目的とした設計だ。また、このソースは、Anthropicが、現在ユーザーが見ているClaude Codeよりも自律性の高いバージョンを開発していることを示唆している。KAIROSという名前で繰り返し言及されている機能は、エージェントが直接のプロンプトを待つ代わりにバックグラウンドで動作し続けられるデーモンモードを説明しているように見える。別のプロセスとしてautoDreamというものがあり、アイドル期間中に記憶の統合を担い、矛盾を突き合わせて、暫定的な観察を検証済みの事実へと変換しているようだ。コードをレビューしていた開発者は、Playwrightを通じたブラウザ自動化への言及を含む、数十の隠された機能フラグも見つけた。この漏えいは、社内のモデル名やパフォーマンスデータも明らかにした。ソースによれば、CapybaraはClaude 4.6の派生を指し、FennecはOpus 4.6のリリースに対応し、Numbatは事前ローンチのテストのままである。コードに引用された社内ベンチマークでは、最新のCapybaraバージョンの虚偽主張率が29%から30%であることが示されており、以前のイテレーションの16.7%から上昇していた。ソースはまた、ユーザーコードをリファクタリングする際にモデルが過度に攻撃的にならないようにするための、自己主張のカウンターバランス設計にも言及していた。最もセンシティブな開示の1つは、Undercover Modeとして説明された機能に関するものだった。復元されたシステムプロンプトは、Claude Codeが、AIが関与していることを明かさずに公開のオープンソースリポジトリへ貢献するために使える可能性があることを示唆している。指示は具体的に、コミットメッセージや公開gitログにおいて、Anthropicのコードネームを含む内部識別子を開示しないようモデルに求めている。漏えいされた資料には、Anthropicの権限エンジン、多アクターワークフローのオーケストレーションロジック、bashのバリデーションシステム、そしてMCPサーバーのアーキテクチャも含まれており、競合他社にClaude Codeがどのように動作するかの詳細な観点を与えた。この開示はまた、エージェントの信頼モデルを悪用するよう設計されたリポジトリを作るための、攻撃者にとってより明確なロードマップを提供するかもしれない。貼り付けられたテキストには、ある開発者が漏えいから数時間以内にClaw Codeという名前でシステムの一部をPythonおよびRustに書き換え始めていたと書かれている。ソースの露出は、3月31日に悪意のあるaxios npmパッケージのバージョンが配布されたことを含む、別のサプライチェーン攻撃とも時期が一致していた。開発者は、この期間中にnpm経由でClaude Codeをインストールまたは更新した場合、侵害された依存関係を取り込んでいた可能性もある。報告によれば、その依存関係にはリモートアクセスのトロイの木馬が含まれていた。セキュリティ研究者は、ユーザーにロックファイルを確認し、資格情報をローテーションし、場合によっては影響を受けたマシンでOSを完全に再インストールすることも検討するよう促した。この出来事は、Anthropicが機密性の高い社内技術的詳細を公開してしまった既知の事例としては、約13か月で2件目のケースを示している。以前は、2025年2月に未リリースのモデル情報をめぐる出来事があった。最新の侵害の後、Anthropicは、npmの依存関係チェーンを回避できるため、Claude Codeをインストールする際の推奨手段としてスタンドアロンのバイナリインストーラを指定した。npmのままのユーザーには、侵害されたパッケージより前にリリースされた、検証済みの安全なバージョンに固定(pin)するよう助言された。 **Disclosure:** この記事はEstefano Gomezによって編集されました。私たちがどのようにコンテンツを作成しレビューしているかの詳細については、Editorial Policyをご覧ください。
AnthropicのClaudeコード漏洩により、自律エージェントツールと未公開モデルが明らかに
Anthropicは、設定ミスのあったソースマップファイルがnpmに公開されたことをきっかけに、Claude Codeの完全なソースコードを公開し、同社の最も重要な商用プロダクトの1つの内部を垣間見るというまれな機会を提供した。
当該ファイルはバージョン2.1.88に同梱されており、約60メガバイトの社内資料を含んでいた。TypeScriptは約512,000行で、全1,906ファイルにわたっていた。Solayer LabsでインターンをしていたソフトウェアエンジニアのChaofan Shouが最初にこの漏えいを指摘し、その後開発者がコードベースを調べ始めたことで、漏えいはXとGitHubにすぐに広がった。
この開示は、AnthropicがClaude Codeを長時間のコーディングセッション中に軌道に乗せ続けるためにどのように構築したかを示していた。最も明確な発見の1つは、MEMORY.mdという軽量なファイルを中心とした三層のメモリシステムだった。この仕組みは、完全な情報ではなく短い参照を保存する。より詳細なプロジェクトノートは別途保存され、必要になったときだけ取り込まれる一方、過去のセッション履歴はすべて一度に読み込むのではなく、選択的に検索される。さらにコードは、行動を取る前にメモリを実際のコードと照合するようシステムに指示しており、ミスや誤った前提を減らすことを目的とした設計だ。
また、このソースは、Anthropicが、現在ユーザーが見ているClaude Codeよりも自律性の高いバージョンを開発していることを示唆している。KAIROSという名前で繰り返し言及されている機能は、エージェントが直接のプロンプトを待つ代わりにバックグラウンドで動作し続けられるデーモンモードを説明しているように見える。
別のプロセスとしてautoDreamというものがあり、アイドル期間中に記憶の統合を担い、矛盾を突き合わせて、暫定的な観察を検証済みの事実へと変換しているようだ。コードをレビューしていた開発者は、Playwrightを通じたブラウザ自動化への言及を含む、数十の隠された機能フラグも見つけた。
この漏えいは、社内のモデル名やパフォーマンスデータも明らかにした。ソースによれば、CapybaraはClaude 4.6の派生を指し、FennecはOpus 4.6のリリースに対応し、Numbatは事前ローンチのテストのままである。
コードに引用された社内ベンチマークでは、最新のCapybaraバージョンの虚偽主張率が29%から30%であることが示されており、以前のイテレーションの16.7%から上昇していた。ソースはまた、ユーザーコードをリファクタリングする際にモデルが過度に攻撃的にならないようにするための、自己主張のカウンターバランス設計にも言及していた。
最もセンシティブな開示の1つは、Undercover Modeとして説明された機能に関するものだった。復元されたシステムプロンプトは、Claude Codeが、AIが関与していることを明かさずに公開のオープンソースリポジトリへ貢献するために使える可能性があることを示唆している。指示は具体的に、コミットメッセージや公開gitログにおいて、Anthropicのコードネームを含む内部識別子を開示しないようモデルに求めている。
漏えいされた資料には、Anthropicの権限エンジン、多アクターワークフローのオーケストレーションロジック、bashのバリデーションシステム、そしてMCPサーバーのアーキテクチャも含まれており、競合他社にClaude Codeがどのように動作するかの詳細な観点を与えた。この開示はまた、エージェントの信頼モデルを悪用するよう設計されたリポジトリを作るための、攻撃者にとってより明確なロードマップを提供するかもしれない。貼り付けられたテキストには、ある開発者が漏えいから数時間以内にClaw Codeという名前でシステムの一部をPythonおよびRustに書き換え始めていたと書かれている。
ソースの露出は、3月31日に悪意のあるaxios npmパッケージのバージョンが配布されたことを含む、別のサプライチェーン攻撃とも時期が一致していた。開発者は、この期間中にnpm経由でClaude Codeをインストールまたは更新した場合、侵害された依存関係を取り込んでいた可能性もある。報告によれば、その依存関係にはリモートアクセスのトロイの木馬が含まれていた。セキュリティ研究者は、ユーザーにロックファイルを確認し、資格情報をローテーションし、場合によっては影響を受けたマシンでOSを完全に再インストールすることも検討するよう促した。
この出来事は、Anthropicが機密性の高い社内技術的詳細を公開してしまった既知の事例としては、約13か月で2件目のケースを示している。以前は、2025年2月に未リリースのモデル情報をめぐる出来事があった。
最新の侵害の後、Anthropicは、npmの依存関係チェーンを回避できるため、Claude Codeをインストールする際の推奨手段としてスタンドアロンのバイナリインストーラを指定した。npmのままのユーザーには、侵害されたパッケージより前にリリースされた、検証済みの安全なバージョンに固定(pin)するよう助言された。