Anthropicは、設定ミスのあったソースマップファイルがnpmに公開されたことで、Claude Codeの完全なソースコードを公開し、同社の最重要級の商用プロダクトの内部を垣間見る、まれな機会を提供した。バージョン2.1.88に同梱されたこのファイルには、約60メガバイトの社内資料が含まれており、1,906ファイルにまたがってTypeScriptが約512,000行含まれていた。Solayer LabsでインターンをしていたソフトウェアエンジニアのChaofan Shouが、最初にこの漏えいを指摘し、それはすぐにXやGitHubへ広がった。開発者たちがコードベースを調べ始めたためだ。この開示は、Anthropicが長時間のコーディングセッション中に軌道を保つためにClaude Codeをどのように構築したかを示していた。最も明確な発見の1つは、軽量なファイルであるMEMORY.mdを中心とした三層メモリシステムだった。ここには完全な情報ではなく短い参照が保存される。より詳細なプロジェクトノートは別に保存され、必要なときだけ取り込まれる。また、過去のセッション履歴は一度にすべて読み込むのではなく、選択的に検索される。さらにコードは、行動を取る前に実際のコードに対してメモリを照合するようシステムに指示しており、ミスや誤った前提を減らすことを意図した設計だ。ソースはまた、Anthropicが、ユーザーが現在目にしているものよりも、Claude Codeのより自律的なバージョンを開発している可能性を示唆している。KAIROSという名称で繰り返し言及される機能は、エージェントが直接のプロンプトを待つのではなくバックグラウンドで動作を継続できるデーモンモードを説明しているように見える。autoDreamと呼ばれる別のプロセスは、アイドル状態の間に記憶の統合を処理し、矛盾を突き合わせることで、暫定的な観測を検証済みの事実へ変換しているようだ。コードをレビューしていた開発者は、Playwrightを通じたブラウザ自動化への言及を含む、数十に及ぶ隠れた機能フラグも発見した。この漏えいは、内部のモデル名やパフォーマンスデータも明らかにした。ソースによれば、CapybaraはClaude 4.6のバリアントを指し、FennecはOpus 4.6のリリースに対応し、Numbatはプレローンチのテスト段階にとどまっている。コード内で引用されていた社内ベンチマークでは、最新のCapybaraバージョンの虚偽主張率が29%から30%で、以前のイテレーションでの16.7%から上昇していた。またソースは、ユーザーのコードをリファクタリングする際にモデルが過度に攻撃的にならないようにするための、自己主張カウンターバランスに言及していた。最もセンシティブな開示の1つは、Undercover Modeとして説明された機能だった。復元されたシステムプロンプトは、Claude CodeがAIが関与していることを明かさずに、公的なオープンソースリポジトリへの貢献に使える可能性を示唆している。指示では、コミットメッセージまたは公開のgitログに、Anthropicのコーディネームを含む内部識別子を公開しないよう、モデルに対して具体的に求めている。漏えいした資料には、Anthropicの権限エンジン、マルチエージェントのワークフロー向けのオーケストレーションロジック、bashのバリデーションシステム、そしてMCPサーバーのアーキテクチャも含まれており、競合他社に対してClaude Codeがどのように動くかを詳細に把握できる材料を提供した。この開示はまた、エージェントの信頼モデルを悪用するよう設計されたリポジトリを作るための、攻撃者にとってより明確なロードマップになる可能性もある。貼り付けられた文面では、1人の開発者が漏えいから数時間のうちに、Claw Codeという名前でシステムの一部を書き換え始めていたとされている。今回のソース露出は、3月31日に悪意のあるバージョンのaxios npmパッケージが配布された、別のサプライチェーン攻撃とも時期が一致していた。この期間中にnpm経由でClaude Codeをインストールまたは更新した開発者は、報告によればリモートアクセス型トロージャンを含んでいた、侵害された依存関係を取り込んでいた可能性もある。セキュリティ研究者は、ユーザーにロックファイルを確認し、認証情報をローテーションし、場合によっては影響を受けたマシンで完全なOSの再インストールを検討するよう促した。このインシデントは、Anthropicがセンシティブな社内技術の詳細を露出したことが確認されたケースとしては、約13か月で2件目となる。先行して2025年2月に、未リリースのモデル情報をめぐる別の出来事があった。最新の侵害の後、Anthropicは、npmの依存関係チェーンを回避できるため、Claude Codeをインストールする際の推奨としてスタンドアロンのバイナリインストーラを指定した。npmのまま利用するユーザーには、侵害されたパッケージ以前にリリースされた検証済みの安全なバージョンに固定するよう助言された。 **Disclosure:**この記事はEstefano Gomezによって編集されました。コンテンツの作成およびレビュー方法の詳細については、Editorial Policyをご覧ください。
AnthropicのClaudeコード漏洩により、自律エージェントツールと未公開モデルが明らかに
Anthropicは、設定ミスのあったソースマップファイルがnpmに公開されたことで、Claude Codeの完全なソースコードを公開し、同社の最重要級の商用プロダクトの内部を垣間見る、まれな機会を提供した。
バージョン2.1.88に同梱されたこのファイルには、約60メガバイトの社内資料が含まれており、1,906ファイルにまたがってTypeScriptが約512,000行含まれていた。Solayer LabsでインターンをしていたソフトウェアエンジニアのChaofan Shouが、最初にこの漏えいを指摘し、それはすぐにXやGitHubへ広がった。開発者たちがコードベースを調べ始めたためだ。
この開示は、Anthropicが長時間のコーディングセッション中に軌道を保つためにClaude Codeをどのように構築したかを示していた。最も明確な発見の1つは、軽量なファイルであるMEMORY.mdを中心とした三層メモリシステムだった。ここには完全な情報ではなく短い参照が保存される。より詳細なプロジェクトノートは別に保存され、必要なときだけ取り込まれる。また、過去のセッション履歴は一度にすべて読み込むのではなく、選択的に検索される。さらにコードは、行動を取る前に実際のコードに対してメモリを照合するようシステムに指示しており、ミスや誤った前提を減らすことを意図した設計だ。
ソースはまた、Anthropicが、ユーザーが現在目にしているものよりも、Claude Codeのより自律的なバージョンを開発している可能性を示唆している。KAIROSという名称で繰り返し言及される機能は、エージェントが直接のプロンプトを待つのではなくバックグラウンドで動作を継続できるデーモンモードを説明しているように見える。
autoDreamと呼ばれる別のプロセスは、アイドル状態の間に記憶の統合を処理し、矛盾を突き合わせることで、暫定的な観測を検証済みの事実へ変換しているようだ。コードをレビューしていた開発者は、Playwrightを通じたブラウザ自動化への言及を含む、数十に及ぶ隠れた機能フラグも発見した。
この漏えいは、内部のモデル名やパフォーマンスデータも明らかにした。ソースによれば、CapybaraはClaude 4.6のバリアントを指し、FennecはOpus 4.6のリリースに対応し、Numbatはプレローンチのテスト段階にとどまっている。
コード内で引用されていた社内ベンチマークでは、最新のCapybaraバージョンの虚偽主張率が29%から30%で、以前のイテレーションでの16.7%から上昇していた。またソースは、ユーザーのコードをリファクタリングする際にモデルが過度に攻撃的にならないようにするための、自己主張カウンターバランスに言及していた。
最もセンシティブな開示の1つは、Undercover Modeとして説明された機能だった。復元されたシステムプロンプトは、Claude CodeがAIが関与していることを明かさずに、公的なオープンソースリポジトリへの貢献に使える可能性を示唆している。指示では、コミットメッセージまたは公開のgitログに、Anthropicのコーディネームを含む内部識別子を公開しないよう、モデルに対して具体的に求めている。
漏えいした資料には、Anthropicの権限エンジン、マルチエージェントのワークフロー向けのオーケストレーションロジック、bashのバリデーションシステム、そしてMCPサーバーのアーキテクチャも含まれており、競合他社に対してClaude Codeがどのように動くかを詳細に把握できる材料を提供した。この開示はまた、エージェントの信頼モデルを悪用するよう設計されたリポジトリを作るための、攻撃者にとってより明確なロードマップになる可能性もある。貼り付けられた文面では、1人の開発者が漏えいから数時間のうちに、Claw Codeという名前でシステムの一部を書き換え始めていたとされている。
今回のソース露出は、3月31日に悪意のあるバージョンのaxios npmパッケージが配布された、別のサプライチェーン攻撃とも時期が一致していた。この期間中にnpm経由でClaude Codeをインストールまたは更新した開発者は、報告によればリモートアクセス型トロージャンを含んでいた、侵害された依存関係を取り込んでいた可能性もある。セキュリティ研究者は、ユーザーにロックファイルを確認し、認証情報をローテーションし、場合によっては影響を受けたマシンで完全なOSの再インストールを検討するよう促した。
このインシデントは、Anthropicがセンシティブな社内技術の詳細を露出したことが確認されたケースとしては、約13か月で2件目となる。先行して2025年2月に、未リリースのモデル情報をめぐる別の出来事があった。
最新の侵害の後、Anthropicは、npmの依存関係チェーンを回避できるため、Claude Codeをインストールする際の推奨としてスタンドアロンのバイナリインストーラを指定した。npmのまま利用するユーザーには、侵害されたパッケージ以前にリリースされた検証済みの安全なバージョンに固定するよう助言された。