執筆:Claude 一、きっかけ----2026年3月31日未明、あるツイートが開発者コミュニティで大きな波紋を呼んだ。Chaofan Shouは、ブロックチェーン・セキュリティ会社のインターンで、Anthropicの公式npmパッケージにsource mapファイルが同梱されていることを発見し、Claude Codeの完全なソースコードが公開の場にさらされていることが判明した。彼はすぐにX上でこの発見を公開し、あわせて直接ダウンロードできるリンクを添えた。この投稿はロケット花火のように開発者コミュニティを直撃した。数時間のうちに、51.2万行以上のTypeScriptコードがGitHubにミラーされ、数千人規模の開発者がリアルタイムで分析した。これはAnthropicが、1週間も満たない期間に起きた2件目の重大な情報漏えい事故である。その5日前(3月26日)には、AnthropicのCMS設定ミスにより、約3,000件の社内ファイルが公開されており、その中にはまもなくリリースされる「Claude Mythos」モデルの下書き記事ブログが含まれていた。二、漏えいはどうして起きたのか?-----------今回の事故の技術的な理由は、あまりにもお粗末で思わず笑ってしまうものだった——根本原因は、npmパッケージに誤ってsource mapファイル(.mapファイル)が含まれていたことだ。こうしたファイルの用途は、圧縮・難読化された本番コードを元のソースコードにマッピングし、デバッグ時にエラー行番号を特定しやすくすることにある。そしてこの .mapファイルには、Anthropic自身のCloudflare R2ストレージ・バケット内のzip圧縮パッケージを指すリンクが含まれていた。Shouや他の開発者は、あたりまえのようにそのzipパッケージを直接ダウンロードした。ハッキングのような手段は不要だった。ファイルはそこにあり、そのまま完全に公開されていた。問題となったバージョンは@anthropic-ai/claude-codeのv2.1.88で、59.8MBのJavaScript source mapファイルが付属していた。The Registerに対する返答の中でAnthropicは、こう認めている:「以前のClaude Codeのバージョンで、2025年2月にも同様のソースコード漏えいが発生している」。つまり、同じミスが13か月の間に2度起きたことになる。皮肉にも、Claude Code内部には「Undercover Mode(潜入モード)」という仕組みがあり、Anthropicの社内コードネームがgitのコミット履歴に意図せず漏れないように設計されている……のに、エンジニアは丸ごとソースコードを .mapファイルにパッケージしてしまった。事故のもう一つの後押しになった可能性があるのは、ツールチェーンそのものだ。Anthropicは年末にBunを買収しており、Claude CodeはまさにBunを基盤に構築されている。2026年3月11日、Bunのissueトラッキングシステムにバグ報告(#28001)が投稿された。そこでは、Bunが本番モードでもsource mapを生成し出力してしまうと指摘されており、公式ドキュメントの説明と食い違っているという。この記事は現在も未解決のままだ。これに対するAnthropicの公式な返答は短く、抑制が効いていた:「ユーザーデータや認証情報は関与せず、漏えいもしていません。これはリリースのパッケージ工程における人為的なミスであり、セキュリティ脆弱性ではありません。この種の事象が再発しないよう、対策を進めています。」三、何が漏えいしたのか?--------### コード規模今回の漏えい内容は、約1900のファイル、50万行超のコードに及んだ。これはモデルの重みではなく、Claude Code全体の「ソフトウェア層」の実装——ツール呼び出しフレームワーク、多マルチエージェントのオーケストレーション、権限システム、メモリシステムなどの中核アーキテクチャを含む。### 未発表の機能ロードマップこれは今回の漏えいで最も戦略的価値が高い部分だ。**KAIROS 自主防護プロセス**:言及回数が150回以上に及ぶこの機能のコードネームは、古代ギリシャ語の「恰好の時機」を由来とし、Claude Codeが「常駐バックエンドのAgent」へ根本的に移行することを象徴している。KAIROSにはautoDreamというプロセスが含まれており、ユーザーが暇なときに「記憶の統合」を実行する——断片化された観察を統合し、論理矛盾を解消し、曖昧な洞察を確定的な事実として固定する。ユーザーが戻ってきたときには、Agentのコンテキストはすでにクリーンで、なおかつ高度に関連性が高い。**内部モデルのコードネームと性能データ**:漏えい内容により、CapybaraはClaude 4.6の派生(バリアント)の内部コードネームであること、FennecはOpus 4.6に対応すること、そして未発表のNumbatはなおテスト中であることが確認された。コードコメントには、Capybara v8の存在29-30%の虚偽陳述率が明らかにされており、v4の16.7%に比べて後退している。**反蒸留メカニズム(Anti-Distillation)**:コードには、ANTI_DISTILLATION_CCという名称の機能フラグが存在する。これを有効にすると、Claude CodeはAPIリクエスト内に偽のツール定義を注入し、競合他社がモデル学習に使う可能性のあるAPIのトラフィックデータを汚染することが目的となっている。**Beta API機能一覧**:constants/betas.tsファイルは、Claude CodeとAPIの協議におけるすべてのbeta機能を明らかにしている。100万tokenのコンテキストウィンドウ(context-1m-2025-08-07)、AFKモード(afk-mode-2026-01-31)、タスク予算管理(task-budgets-2026-03-13)など、一連のまだ公開されていない能力が含まれる。**ポケモン風の埋め込み仮想パートナーシステム**:コードの中には、さらに完全な仮想パートナーシステム(Buddy)一式が隠されている。種の希少度、シャイニーバリアント、プロシージャル生成による属性、そしてClaudeが最初の孵化時に書く「魂の記述」まで含まれている。パートナーの種類は、ユーザーIDのハッシュに基づく決定論的な疑似乱数生成器によって決まり、同じユーザーは常に同じパートナーを得る。四、同時進行のサプライチェーン攻撃----------今回の出来事は、単発ではない。ソースコード漏えいと同じ時間帯に、npm上のaxiosパッケージが独立したサプライチェーン攻撃を受けた。2026年3月31日00:21から03:29(UTC)までの間に、もしnpm経由でClaude Codeをインストールまたはアップデートしていた場合、意図せずに遠隔アクセス・トロイの木馬(RAT)を含む悪意のあるバージョン(axios 1.14.1または0.30.4)を取り込んだ可能性がある。Anthropicは、影響を受けた開発者に対し、ホストを完全に侵害されたものとして扱い、すべてのキーをローテーションし、オペレーティングシステムを再インストールするよう助言した。この2件の時間的な重なりにより、状況はより混乱し、より危険になった。五、業界への影響--------### Anthropicへの直接的な損害年換算の売上が190億ドルで、急成長の真っ最中にある企業にとって、今回の漏えいは単なるセキュリティ上の手落ちではなく、戦略的な知的財産の流出による痛手だ。**少なくとも一部のClaude Codeの能力は、下層の大規模言語モデルそのものからではなく、モデルの周りに構築されたソフトウェア「フレームワーク」から生まれている**——それは、モデルがどのようにツールを使うべきかを指示し、重要なガードレールと指示を提供して、モデルの振る舞いを規定する。これらのガードレールと指示は、今や競合他社には一目瞭然だ。### AI Agentツール全体エコシステムへの警告今回の漏えいはAnthropicを沈めることはないが、すべての競合他社に無料のエンジニアリング教材を提供してしまった——プロダクション級のAIプログラミングAgentをどう構築するか、そしてどのツールの方向性に重点的に投資すべきか。漏えい内容の本当の価値は、コードそのものではなく、機能フラグが明らかにした製品ロードマップにある。KAIROS、反蒸留メカニズム——これらは競合他社が今すぐ予測し、先回りして反応できる戦略的な細部だ。コードはリファクタリングできても、戦略のサプライズが漏れた時点で取り戻すことはできない。六、Agentコーディングへの深い示唆----------------------今回の漏えいは、鏡のようなものだ。現在のAI Agentエンジニアリングにおけるいくつかの中核命題を映し出している:**1. Agentの能力の境界は、多くの場合「フレームワーク層」によって決まり、モデル本体ではない**Claude Codeの50万行ものコードの露出は、業界全体にとって意味のある事実を示した。同じ基盤モデルでも、異なるツール編成フレームワーク、記憶管理メカニズム、権限システムを組み合わせれば、まったく異なるAgentの能力が生まれる。つまり、「誰のモデルが最強か」だけが唯一の競争軸ではなくなり、「誰のフレームワーク工学がより精巧か」も同じくらい重要になった。**2. 長期の自律性が次の主要な戦場になる**KAIROSの防護プロセスの存在は、業界の次の競争が「無人の監視下でもAgentが継続的に有効に動作するようにすること」に集中することを示している。バックグラウンドの記憶統合、セッションをまたぐ知識移行、暇な時間における自主的な推論——これらの能力が成熟すれば、Agentと人間の協働の基本的なモードを根本から変えることになる。**3. 反蒸留と知的財産の保護が、AIエンジニアリングの新たな基礎科目になる**Anthropicはコードのレベルで反蒸留メカニズムを実装しており、ひとつの新しいエンジニアリング領域が形成されつつあることを示唆している。つまり、自身のAIシステムが競合他社によって学習用のデータ収集に利用されないようにするにはどうすべきか、という問題である。これは単なる技術課題にとどまらず、法務とビジネスのせめぎ合いにおける新たな戦場へと発展していく。**4. サプライチェーン・セキュリティはAIツールのアキレス腱**AIプログラミングツールそのものがnpmのような公開のソフトウェア・パッケージ・マネージャーで配布されるとき、それらは他のオープンソースソフトと同様に、サプライチェーン攻撃のリスクにさらされる。さらにAIツール特有の点として、いったんバックドアが仕込まれてしまうと、攻撃者が手に入れるのは単なるコード実行権ではなく、開発作業全体のワークフローへの深い浸透である。**5. システムが複雑になるほど、自動化されたリリースの番人が必要になる**「誤った設定の .npmignore または package.json の files フィールドがあれば、すべてが露出する。」AI Agent製品を構築するいかなるチームにとっても、この教訓は、こんなに高くつく代償を払って学ぶ必要はない。CI/CDパイプラインに自動化されたリリース内容の審査を組み込むことは、標準的な実践であるべきであり、取り返しがつかなくなった後の補填策にしてはならない。終わりに--今日は2026年4月1日、エイプリルフールだ。しかしこれは冗談ではない。Anthropicは13か月のあいだに同じミスを2度犯した。ソースコードは世界中にミラーされ、DMCAの削除リクエストはforkの速度に追いつかない。その本来は社内ネットワークの奥深くに隠されるべき製品ロードマップは、今やすべての人の参照資料になっている。Anthropicにとって、これは痛ましい教訓だ。業界全体にとって、これは偶然の透明化の瞬間——ここで、当下最先端のAIプログラミングAgentが、いったいどのように一行ずつ構築されているのかをのぞき見ることができるのだ。
Claude Codeソースコード流出事件全記録:一つの.mapファイルが引き起こしたバタフライ効果
執筆:Claude
一、きっかけ
2026年3月31日未明、あるツイートが開発者コミュニティで大きな波紋を呼んだ。
Chaofan Shouは、ブロックチェーン・セキュリティ会社のインターンで、Anthropicの公式npmパッケージにsource mapファイルが同梱されていることを発見し、Claude Codeの完全なソースコードが公開の場にさらされていることが判明した。彼はすぐにX上でこの発見を公開し、あわせて直接ダウンロードできるリンクを添えた。
この投稿はロケット花火のように開発者コミュニティを直撃した。数時間のうちに、51.2万行以上のTypeScriptコードがGitHubにミラーされ、数千人規模の開発者がリアルタイムで分析した。
これはAnthropicが、1週間も満たない期間に起きた2件目の重大な情報漏えい事故である。
その5日前(3月26日)には、AnthropicのCMS設定ミスにより、約3,000件の社内ファイルが公開されており、その中にはまもなくリリースされる「Claude Mythos」モデルの下書き記事ブログが含まれていた。
二、漏えいはどうして起きたのか?
今回の事故の技術的な理由は、あまりにもお粗末で思わず笑ってしまうものだった——根本原因は、npmパッケージに誤ってsource mapファイル(.mapファイル)が含まれていたことだ。
こうしたファイルの用途は、圧縮・難読化された本番コードを元のソースコードにマッピングし、デバッグ時にエラー行番号を特定しやすくすることにある。そしてこの .mapファイルには、Anthropic自身のCloudflare R2ストレージ・バケット内のzip圧縮パッケージを指すリンクが含まれていた。
Shouや他の開発者は、あたりまえのようにそのzipパッケージを直接ダウンロードした。ハッキングのような手段は不要だった。ファイルはそこにあり、そのまま完全に公開されていた。
問題となったバージョンは@anthropic-ai/claude-codeのv2.1.88で、59.8MBのJavaScript source mapファイルが付属していた。
The Registerに対する返答の中でAnthropicは、こう認めている:「以前のClaude Codeのバージョンで、2025年2月にも同様のソースコード漏えいが発生している」。つまり、同じミスが13か月の間に2度起きたことになる。
皮肉にも、Claude Code内部には「Undercover Mode(潜入モード)」という仕組みがあり、Anthropicの社内コードネームがgitのコミット履歴に意図せず漏れないように設計されている……のに、エンジニアは丸ごとソースコードを .mapファイルにパッケージしてしまった。
事故のもう一つの後押しになった可能性があるのは、ツールチェーンそのものだ。Anthropicは年末にBunを買収しており、Claude CodeはまさにBunを基盤に構築されている。2026年3月11日、Bunのissueトラッキングシステムにバグ報告(#28001)が投稿された。そこでは、Bunが本番モードでもsource mapを生成し出力してしまうと指摘されており、公式ドキュメントの説明と食い違っているという。この記事は現在も未解決のままだ。
これに対するAnthropicの公式な返答は短く、抑制が効いていた:「ユーザーデータや認証情報は関与せず、漏えいもしていません。これはリリースのパッケージ工程における人為的なミスであり、セキュリティ脆弱性ではありません。この種の事象が再発しないよう、対策を進めています。」
三、何が漏えいしたのか?
コード規模
今回の漏えい内容は、約1900のファイル、50万行超のコードに及んだ。これはモデルの重みではなく、Claude Code全体の「ソフトウェア層」の実装——ツール呼び出しフレームワーク、多マルチエージェントのオーケストレーション、権限システム、メモリシステムなどの中核アーキテクチャを含む。
未発表の機能ロードマップ
これは今回の漏えいで最も戦略的価値が高い部分だ。
KAIROS 自主防護プロセス:言及回数が150回以上に及ぶこの機能のコードネームは、古代ギリシャ語の「恰好の時機」を由来とし、Claude Codeが「常駐バックエンドのAgent」へ根本的に移行することを象徴している。KAIROSにはautoDreamというプロセスが含まれており、ユーザーが暇なときに「記憶の統合」を実行する——断片化された観察を統合し、論理矛盾を解消し、曖昧な洞察を確定的な事実として固定する。ユーザーが戻ってきたときには、Agentのコンテキストはすでにクリーンで、なおかつ高度に関連性が高い。
内部モデルのコードネームと性能データ:漏えい内容により、CapybaraはClaude 4.6の派生(バリアント)の内部コードネームであること、FennecはOpus 4.6に対応すること、そして未発表のNumbatはなおテスト中であることが確認された。コードコメントには、Capybara v8の存在29-30%の虚偽陳述率が明らかにされており、v4の16.7%に比べて後退している。
反蒸留メカニズム(Anti-Distillation):コードには、ANTI_DISTILLATION_CCという名称の機能フラグが存在する。これを有効にすると、Claude CodeはAPIリクエスト内に偽のツール定義を注入し、競合他社がモデル学習に使う可能性のあるAPIのトラフィックデータを汚染することが目的となっている。
Beta API機能一覧:constants/betas.tsファイルは、Claude CodeとAPIの協議におけるすべてのbeta機能を明らかにしている。100万tokenのコンテキストウィンドウ(context-1m-2025-08-07)、AFKモード(afk-mode-2026-01-31)、タスク予算管理(task-budgets-2026-03-13)など、一連のまだ公開されていない能力が含まれる。
ポケモン風の埋め込み仮想パートナーシステム:コードの中には、さらに完全な仮想パートナーシステム(Buddy)一式が隠されている。種の希少度、シャイニーバリアント、プロシージャル生成による属性、そしてClaudeが最初の孵化時に書く「魂の記述」まで含まれている。パートナーの種類は、ユーザーIDのハッシュに基づく決定論的な疑似乱数生成器によって決まり、同じユーザーは常に同じパートナーを得る。
四、同時進行のサプライチェーン攻撃
今回の出来事は、単発ではない。ソースコード漏えいと同じ時間帯に、npm上のaxiosパッケージが独立したサプライチェーン攻撃を受けた。
2026年3月31日00:21から03:29(UTC)までの間に、もしnpm経由でClaude Codeをインストールまたはアップデートしていた場合、意図せずに遠隔アクセス・トロイの木馬(RAT)を含む悪意のあるバージョン(axios 1.14.1または0.30.4)を取り込んだ可能性がある。
Anthropicは、影響を受けた開発者に対し、ホストを完全に侵害されたものとして扱い、すべてのキーをローテーションし、オペレーティングシステムを再インストールするよう助言した。
この2件の時間的な重なりにより、状況はより混乱し、より危険になった。
五、業界への影響
Anthropicへの直接的な損害
年換算の売上が190億ドルで、急成長の真っ最中にある企業にとって、今回の漏えいは単なるセキュリティ上の手落ちではなく、戦略的な知的財産の流出による痛手だ。
少なくとも一部のClaude Codeの能力は、下層の大規模言語モデルそのものからではなく、モデルの周りに構築されたソフトウェア「フレームワーク」から生まれている——それは、モデルがどのようにツールを使うべきかを指示し、重要なガードレールと指示を提供して、モデルの振る舞いを規定する。
これらのガードレールと指示は、今や競合他社には一目瞭然だ。
AI Agentツール全体エコシステムへの警告
今回の漏えいはAnthropicを沈めることはないが、すべての競合他社に無料のエンジニアリング教材を提供してしまった——プロダクション級のAIプログラミングAgentをどう構築するか、そしてどのツールの方向性に重点的に投資すべきか。
漏えい内容の本当の価値は、コードそのものではなく、機能フラグが明らかにした製品ロードマップにある。KAIROS、反蒸留メカニズム——これらは競合他社が今すぐ予測し、先回りして反応できる戦略的な細部だ。コードはリファクタリングできても、戦略のサプライズが漏れた時点で取り戻すことはできない。
六、Agentコーディングへの深い示唆
今回の漏えいは、鏡のようなものだ。現在のAI Agentエンジニアリングにおけるいくつかの中核命題を映し出している:
1. Agentの能力の境界は、多くの場合「フレームワーク層」によって決まり、モデル本体ではない
Claude Codeの50万行ものコードの露出は、業界全体にとって意味のある事実を示した。同じ基盤モデルでも、異なるツール編成フレームワーク、記憶管理メカニズム、権限システムを組み合わせれば、まったく異なるAgentの能力が生まれる。つまり、「誰のモデルが最強か」だけが唯一の競争軸ではなくなり、「誰のフレームワーク工学がより精巧か」も同じくらい重要になった。
2. 長期の自律性が次の主要な戦場になる
KAIROSの防護プロセスの存在は、業界の次の競争が「無人の監視下でもAgentが継続的に有効に動作するようにすること」に集中することを示している。バックグラウンドの記憶統合、セッションをまたぐ知識移行、暇な時間における自主的な推論——これらの能力が成熟すれば、Agentと人間の協働の基本的なモードを根本から変えることになる。
3. 反蒸留と知的財産の保護が、AIエンジニアリングの新たな基礎科目になる
Anthropicはコードのレベルで反蒸留メカニズムを実装しており、ひとつの新しいエンジニアリング領域が形成されつつあることを示唆している。つまり、自身のAIシステムが競合他社によって学習用のデータ収集に利用されないようにするにはどうすべきか、という問題である。これは単なる技術課題にとどまらず、法務とビジネスのせめぎ合いにおける新たな戦場へと発展していく。
4. サプライチェーン・セキュリティはAIツールのアキレス腱
AIプログラミングツールそのものがnpmのような公開のソフトウェア・パッケージ・マネージャーで配布されるとき、それらは他のオープンソースソフトと同様に、サプライチェーン攻撃のリスクにさらされる。さらにAIツール特有の点として、いったんバックドアが仕込まれてしまうと、攻撃者が手に入れるのは単なるコード実行権ではなく、開発作業全体のワークフローへの深い浸透である。
5. システムが複雑になるほど、自動化されたリリースの番人が必要になる
「誤った設定の .npmignore または package.json の files フィールドがあれば、すべてが露出する。」AI Agent製品を構築するいかなるチームにとっても、この教訓は、こんなに高くつく代償を払って学ぶ必要はない。CI/CDパイプラインに自動化されたリリース内容の審査を組み込むことは、標準的な実践であるべきであり、取り返しがつかなくなった後の補填策にしてはならない。
終わりに
今日は2026年4月1日、エイプリルフールだ。しかしこれは冗談ではない。
Anthropicは13か月のあいだに同じミスを2度犯した。ソースコードは世界中にミラーされ、DMCAの削除リクエストはforkの速度に追いつかない。その本来は社内ネットワークの奥深くに隠されるべき製品ロードマップは、今やすべての人の参照資料になっている。
Anthropicにとって、これは痛ましい教訓だ。
業界全体にとって、これは偶然の透明化の瞬間——ここで、当下最先端のAIプログラミングAgentが、いったいどのように一行ずつ構築されているのかをのぞき見ることができるのだ。