執筆:Claude 一、経緯 ----2026年3月31日未明、開発者コミュニティであるツイートが大きな波紋を呼び起こした。Chaofan Shou。ブロックチェーン・セキュリティ企業のインターンである彼は、Anthropic公式のnpmパッケージに同梱されていたsource mapファイルを見つけた。これにより、Claude Codeの完全なソースコードが公の場にさらされていることが判明した。彼は直ちにX上でこの発見を公開し、あわせて直接ダウンロードできるリンクを添えた。この投稿は、信号弾のように開発者コミュニティで炸裂した。数時間のうちに、51.2万行を超えるTypeScriptコードがGitHubにミラーされ、数千人の開発者がリアルタイムで分析を行った。これはAnthropicが、1週間足らずの間に起こした2件目の重大な情報漏えい事故だった。そのちょうど5日前(3月26日)に、AnthropicのCMS設定ミスが原因で、約3000件の社内ファイルが公開されており、その中には、まもなく公開される「Claude Mythos」モデルの草稿ブログ記事が含まれていた。二、漏えいはどのように起きたのか? -----------今回の事故の技術的な理由は、あまりにも滑稽だった――根本原因は、npmパッケージに誤ってsource mapファイル(.mapファイル)が同梱されていたことにある。こうしたファイルの用途は、圧縮・難読化された本番コードを元のソースコードに対応づけ、デバッグ時にエラー行番号を特定しやすくすることだ。そしてこの .map ファイルには、Anthropicが自社で運用するCloudflare R2ストレージバケット内のzip圧縮パッケージへのリンクが含まれていた。Shouや他の開発者は、ハッカーのような手段を使わずに、このzipパッケージを直接ダウンロードした。ファイルはそこに存在しており、完全に公開されていた。問題となったバージョンは、@anthropic-ai/claude-codeのv2.1.88で、59.8MBのJavaScript source mapファイルが付属していた。The Registerへの声明に対するAnthropicの回答で、同社は次のように認めた。「より早いClaude Codeのある版が、2025年2月にも同様のソース漏えいを起こしていた」。これは、同じミスが13か月の間に2回起きたことを意味する。皮肉にも、Claude Code内部には「Undercover Mode(潜伏モード)」という仕組みがあり、Anthropic内部の開発コードネームがgitのコミット履歴に不意に漏れないように設計されている……ところが、エンジニアはソースコード一式を .map ファイルにまとめてしまった。事故のもう一つの加担者は、ツールチェーンそのものだった可能性がある。Anthropicは年末にBunを買収しており、Claude CodeはまさにBunをベースに構築されている。2026年3月11日、Bunのissueトラッキングシステム上で誰かがバグ報告(#28001)を提出し、Bunは本番モードでもsource mapを生成して出力してしまうことがあり、公式ドキュメントの説明と矛盾していると指摘した。この issue は現在もオープンのままだ。これに対するAnthropicの公式回答は、短く控えめだった。「ユーザーデータや認証情報は関与しておらず、漏えいもしていません。これはリリース用のパッケージングプロセスにおける人為的なミスであり、安全上の脆弱性ではありません。私たちは、同種の事案が再発しないよう対策を進めています。」三、何が漏えいしたのか? --------### コード規模今回漏えいした内容は、約1900のファイル、50万行を超えるコードに及んだ。これはモデルの重みではなく、Claude Code全体の「ソフトウェア層」における実装――ツール呼び出しのフレームワーク、多主体(マルチエージェント)のオーケストレーション、権限システム、メモリシステムなどのコアアーキテクチャを含む。### 未公開の機能ロードマップこれは今回の漏えいのうち、最も戦略的価値が高い部分だ。**KAIROS 自主ガーディアンプロセス**:言及が150回を超えるこの機能コードネームは、古代ギリシャ語の「恰当な時機」に由来し、Claude Codeが「常駐バックグラウンドAgent」へと根本的に移行することを示している。KAIROSには autoDream という名前のプロセスが含まれており、ユーザーが暇な時間に「記憶の統合」を実行する――断片化した観察を統合し、論理的矛盾を解消し、曖昧な洞察を確定的な事実へと固める。ユーザーが戻ってきたとき、Agentのコンテキストはすでにクリーンで高度に関連性が高い状態になっている。**内部モデルのコードネームと性能データ**:漏えい内容により、CapybaraがClaude 4.6のバリアントの内部コードネームであることが確認された。FennecはOpus 4.6に対応し、まだリリースされていないNumbatはテスト中のままだ。コード注釈では、Capybara v8が29-30%の虚偽陳述率を持つことも明らかになっており、v4の16.7%に比べて後退している。**反蒸留メカニズム(Anti-Distillation)**:コードには ANTI_DISTILLATION_CC という名前の機能フラグが存在する。これを有効化すると、Claude CodeはAPIリクエストに虚偽のツール定義を注入する。目的は、競合相手がモデル学習のために使う可能性のあるAPIトラフィックデータを汚染することにある。**Beta API機能一覧**:constants/betas.tsファイルは、Claude CodeとAPIの協商におけるすべてのbeta機能を明らかにしている。たとえば、100万tokenのコンテキストウィンドウ(context-1m-2025-08-07)、AFKモード(afk-mode-2026-01-31)、タスク予算管理(task-budgets-2026-03-13)など、まだ公開されていない一連の能力が含まれている。**内蔵されたポケモン風バーチャル・パートナーシステム**:コードには、さらに完全なバーチャル・パートナーシステム(Buddy)までもが隠されている。これには、種のレアリティ、シャイニー変種、手続き的(プロシージャル)に生成される属性、そしてClaudeが初回孵化の際に書く「魂の説明」が含まれる。パートナーの種類は、ユーザーIDのハッシュに基づく決定論的な擬似乱数生成器によって決められ、同じユーザーは常に同じパートナーを得る。四、並行したサプライチェーン攻撃 ----------今回の事案は孤立して起きたものではない。ソースコード漏えいと同じ時間的な窓の中で、npm上のaxiosパッケージが独立したサプライチェーン攻撃を受けていた。2026年3月31日00:21から03:29 UTCまでの間に、npmのインストールまたはアップデートによってClaude Codeを導入した場合、意図せず、リモートアクセス型トロイの木馬(RAT)を含む悪意あるバージョン(axios 1.14.1 または 0.30.4)を混入させていた可能性がある。Anthropicは、影響を受けた開発者に対し、ホストが完全に侵害されたものとして扱い、すべての鍵をローテーションし、OSを再インストールするよう助言した。この2件が時間的に重なっていたため、状況はさらに混乱し、より危険になった。五、業界への影響 --------### Anthropicへの直接的な損害年換算売上が190億米ドルに達し、高速成長期にある企業にとって、今回の漏えいは単なるセキュリティ上の過失にとどまらず、戦略的な知的財産の流出による損失だ。**少なくとも一部のClaude Codeの能力は、基盤の大規模言語モデルそのものではなく、モデルの周囲に構築されたソフトウェア「フレームワーク」から生まれている**――それは、モデルがどのようにツールを使用すべきかを指揮し、行動を規定するための重要なガードレールと指示を提供する。これらのガードレールと指示が、今や競合相手に丸見えになってしまった。### すべてのAI Agentツール・エコシステムへの警告今回の漏えいはAnthropicを倒すほどのものではない。しかし、すべての競合相手にとって、無料のエンジニアリング教材を提供してしまった――本番レベルのAIプログラミングAgentをどう構築するか、そしてどのツール分野に重点的に投資すべきか、という点だ。漏えい内容の真の価値は、コードそのものではなく、機能フラグが明らかにした製品ロードマップにある。KAIROS、反蒸留メカニズム――これらは競合相手が今すぐ予測し、先回りして対応できる戦略的な詳細だ。コードはリファクタリングできるが、戦略的なサプライズが漏れた瞬間には、取り戻すことはできない。六、Agent Codingへの深い示唆 ----------------------今回の漏えいは、鏡のようなものだった。そこには、現在のAI Agentエンジニアリングが抱えるいくつかの中核的な命題が映し出されている。**1. Agentの能力の境界は、かなりの程度「フレームワーク層」によって決まり、モデルそのものではない**Claude Codeの50万行コードの露呈は、業界全体にとって意味のある事実を示した。同じ基盤モデルでも、異なるツール編成フレームワーク、メモリ管理メカニズム、権限システムを組み合わせれば、まったく異なるAgent能力が生まれる。つまり、「誰のモデルが最強か」だけが唯一の競争次元ではなく、「誰のフレームワーク工学がより精緻か」も同じくらい重要になる、ということだ。**2. 長距離の自律性は次の主要な戦場だ**KAIROSのガーディアンプロセスが存在することは、業界の次の段階の競争が「監督なしでもAgentが継続的に有効に働き続ける」ことへ集中することを示している。バックグラウンドでの記憶統合、会話をまたぐ知識移転、空き時間における自律的推論――これらの能力が成熟すれば、Agentと人間の協働の基本的なあり方を根本から変えることになる。**3. 反蒸留と知的財産保護が、AIエンジニアリングの新しい基礎科目になる**Anthropicはコード層で反蒸留メカニズムを実装している。これは、新しいエンジニアリング領域が形成されつつあることを予兆している。すなわち、自分のAIシステムが競合相手により学習用のデータ収集に使われないようにするにはどうすればよいか、という課題だ。これは単なる技術問題にとどまらず、法律とビジネスの駆け引きにおける新たな戦場へと発展していくはずだ。**4. サプライチェーン・セキュリティはAIツールのアキレス腱**AIプログラミングツール自体がnpmのような公開ソフトウェアのパッケージ管理ツールを通じて配布されると、それらは他のオープンソースソフトと同様に、サプライチェーン攻撃のリスクに直面する。そしてAIツールの特殊性は、一度バックドアが仕込まれると、攻撃者が得るのがコード実行権だけではなく、開発ワークフロー全体への深い侵入だという点にある。**5. システムが複雑になるほど、自動化されたリリース・ガードが必要になる**「設定ミスの .npmignore、またはpackage.jsonのfilesフィールドがあれば、すべてが露出し得る。」AI Agent製品を構築するあらゆるチームにとって、この教訓は、こんなに高くつく代償を払わずに学べるはずだ。CI/CDパイプラインに自動化されたリリース内容の審査を組み込むことは、標準的な実践として行うべきであり、手遅れになった後の穴埋め策であってはならない。終わりに --今日は2026年4月1日、エイプリルフールだ。しかしこれは冗談ではない。Anthropicは13か月のうちに同じミスを2回犯した。ソースコードはすでに世界中にミラーされ、DMCA削除依頼はforkの速度に追いつけない。本来は社内ネットワークの奥深くに隠されているはずだった製品ロードマップが、いまはすべての人にとっての参照資料になっている。Anthropicにとって、これはつらい教訓だ。業界全体にとって、これは想定外の透明な一幕だった――今この時点で最先端のAIプログラミングAgentが、どのように一行ずつ構築されているのかを垣間見ることができたからだ。
Claude Codeソースコード流出事件全記録:一つの.mapファイルが引き起こしたバタフライ効果
執筆:Claude
一、経緯
2026年3月31日未明、開発者コミュニティであるツイートが大きな波紋を呼び起こした。
Chaofan Shou。ブロックチェーン・セキュリティ企業のインターンである彼は、Anthropic公式のnpmパッケージに同梱されていたsource mapファイルを見つけた。これにより、Claude Codeの完全なソースコードが公の場にさらされていることが判明した。彼は直ちにX上でこの発見を公開し、あわせて直接ダウンロードできるリンクを添えた。
この投稿は、信号弾のように開発者コミュニティで炸裂した。数時間のうちに、51.2万行を超えるTypeScriptコードがGitHubにミラーされ、数千人の開発者がリアルタイムで分析を行った。
これはAnthropicが、1週間足らずの間に起こした2件目の重大な情報漏えい事故だった。
そのちょうど5日前(3月26日)に、AnthropicのCMS設定ミスが原因で、約3000件の社内ファイルが公開されており、その中には、まもなく公開される「Claude Mythos」モデルの草稿ブログ記事が含まれていた。
二、漏えいはどのように起きたのか?
今回の事故の技術的な理由は、あまりにも滑稽だった――根本原因は、npmパッケージに誤ってsource mapファイル(.mapファイル)が同梱されていたことにある。
こうしたファイルの用途は、圧縮・難読化された本番コードを元のソースコードに対応づけ、デバッグ時にエラー行番号を特定しやすくすることだ。そしてこの .map ファイルには、Anthropicが自社で運用するCloudflare R2ストレージバケット内のzip圧縮パッケージへのリンクが含まれていた。
Shouや他の開発者は、ハッカーのような手段を使わずに、このzipパッケージを直接ダウンロードした。ファイルはそこに存在しており、完全に公開されていた。
問題となったバージョンは、@anthropic-ai/claude-codeのv2.1.88で、59.8MBのJavaScript source mapファイルが付属していた。
The Registerへの声明に対するAnthropicの回答で、同社は次のように認めた。「より早いClaude Codeのある版が、2025年2月にも同様のソース漏えいを起こしていた」。これは、同じミスが13か月の間に2回起きたことを意味する。
皮肉にも、Claude Code内部には「Undercover Mode(潜伏モード)」という仕組みがあり、Anthropic内部の開発コードネームがgitのコミット履歴に不意に漏れないように設計されている……ところが、エンジニアはソースコード一式を .map ファイルにまとめてしまった。
事故のもう一つの加担者は、ツールチェーンそのものだった可能性がある。Anthropicは年末にBunを買収しており、Claude CodeはまさにBunをベースに構築されている。2026年3月11日、Bunのissueトラッキングシステム上で誰かがバグ報告(#28001)を提出し、Bunは本番モードでもsource mapを生成して出力してしまうことがあり、公式ドキュメントの説明と矛盾していると指摘した。この issue は現在もオープンのままだ。
これに対するAnthropicの公式回答は、短く控えめだった。「ユーザーデータや認証情報は関与しておらず、漏えいもしていません。これはリリース用のパッケージングプロセスにおける人為的なミスであり、安全上の脆弱性ではありません。私たちは、同種の事案が再発しないよう対策を進めています。」
三、何が漏えいしたのか?
コード規模
今回漏えいした内容は、約1900のファイル、50万行を超えるコードに及んだ。これはモデルの重みではなく、Claude Code全体の「ソフトウェア層」における実装――ツール呼び出しのフレームワーク、多主体(マルチエージェント)のオーケストレーション、権限システム、メモリシステムなどのコアアーキテクチャを含む。
未公開の機能ロードマップ
これは今回の漏えいのうち、最も戦略的価値が高い部分だ。
KAIROS 自主ガーディアンプロセス:言及が150回を超えるこの機能コードネームは、古代ギリシャ語の「恰当な時機」に由来し、Claude Codeが「常駐バックグラウンドAgent」へと根本的に移行することを示している。KAIROSには autoDream という名前のプロセスが含まれており、ユーザーが暇な時間に「記憶の統合」を実行する――断片化した観察を統合し、論理的矛盾を解消し、曖昧な洞察を確定的な事実へと固める。ユーザーが戻ってきたとき、Agentのコンテキストはすでにクリーンで高度に関連性が高い状態になっている。
内部モデルのコードネームと性能データ:漏えい内容により、CapybaraがClaude 4.6のバリアントの内部コードネームであることが確認された。FennecはOpus 4.6に対応し、まだリリースされていないNumbatはテスト中のままだ。コード注釈では、Capybara v8が29-30%の虚偽陳述率を持つことも明らかになっており、v4の16.7%に比べて後退している。
反蒸留メカニズム(Anti-Distillation):コードには ANTI_DISTILLATION_CC という名前の機能フラグが存在する。これを有効化すると、Claude CodeはAPIリクエストに虚偽のツール定義を注入する。目的は、競合相手がモデル学習のために使う可能性のあるAPIトラフィックデータを汚染することにある。
Beta API機能一覧:constants/betas.tsファイルは、Claude CodeとAPIの協商におけるすべてのbeta機能を明らかにしている。たとえば、100万tokenのコンテキストウィンドウ(context-1m-2025-08-07)、AFKモード(afk-mode-2026-01-31)、タスク予算管理(task-budgets-2026-03-13)など、まだ公開されていない一連の能力が含まれている。
内蔵されたポケモン風バーチャル・パートナーシステム:コードには、さらに完全なバーチャル・パートナーシステム(Buddy)までもが隠されている。これには、種のレアリティ、シャイニー変種、手続き的(プロシージャル)に生成される属性、そしてClaudeが初回孵化の際に書く「魂の説明」が含まれる。パートナーの種類は、ユーザーIDのハッシュに基づく決定論的な擬似乱数生成器によって決められ、同じユーザーは常に同じパートナーを得る。
四、並行したサプライチェーン攻撃
今回の事案は孤立して起きたものではない。ソースコード漏えいと同じ時間的な窓の中で、npm上のaxiosパッケージが独立したサプライチェーン攻撃を受けていた。
2026年3月31日00:21から03:29 UTCまでの間に、npmのインストールまたはアップデートによってClaude Codeを導入した場合、意図せず、リモートアクセス型トロイの木馬(RAT)を含む悪意あるバージョン(axios 1.14.1 または 0.30.4)を混入させていた可能性がある。
Anthropicは、影響を受けた開発者に対し、ホストが完全に侵害されたものとして扱い、すべての鍵をローテーションし、OSを再インストールするよう助言した。
この2件が時間的に重なっていたため、状況はさらに混乱し、より危険になった。
五、業界への影響
Anthropicへの直接的な損害
年換算売上が190億米ドルに達し、高速成長期にある企業にとって、今回の漏えいは単なるセキュリティ上の過失にとどまらず、戦略的な知的財産の流出による損失だ。
少なくとも一部のClaude Codeの能力は、基盤の大規模言語モデルそのものではなく、モデルの周囲に構築されたソフトウェア「フレームワーク」から生まれている――それは、モデルがどのようにツールを使用すべきかを指揮し、行動を規定するための重要なガードレールと指示を提供する。
これらのガードレールと指示が、今や競合相手に丸見えになってしまった。
すべてのAI Agentツール・エコシステムへの警告
今回の漏えいはAnthropicを倒すほどのものではない。しかし、すべての競合相手にとって、無料のエンジニアリング教材を提供してしまった――本番レベルのAIプログラミングAgentをどう構築するか、そしてどのツール分野に重点的に投資すべきか、という点だ。
漏えい内容の真の価値は、コードそのものではなく、機能フラグが明らかにした製品ロードマップにある。KAIROS、反蒸留メカニズム――これらは競合相手が今すぐ予測し、先回りして対応できる戦略的な詳細だ。コードはリファクタリングできるが、戦略的なサプライズが漏れた瞬間には、取り戻すことはできない。
六、Agent Codingへの深い示唆
今回の漏えいは、鏡のようなものだった。そこには、現在のAI Agentエンジニアリングが抱えるいくつかの中核的な命題が映し出されている。
1. Agentの能力の境界は、かなりの程度「フレームワーク層」によって決まり、モデルそのものではない
Claude Codeの50万行コードの露呈は、業界全体にとって意味のある事実を示した。同じ基盤モデルでも、異なるツール編成フレームワーク、メモリ管理メカニズム、権限システムを組み合わせれば、まったく異なるAgent能力が生まれる。つまり、「誰のモデルが最強か」だけが唯一の競争次元ではなく、「誰のフレームワーク工学がより精緻か」も同じくらい重要になる、ということだ。
2. 長距離の自律性は次の主要な戦場だ
KAIROSのガーディアンプロセスが存在することは、業界の次の段階の競争が「監督なしでもAgentが継続的に有効に働き続ける」ことへ集中することを示している。バックグラウンドでの記憶統合、会話をまたぐ知識移転、空き時間における自律的推論――これらの能力が成熟すれば、Agentと人間の協働の基本的なあり方を根本から変えることになる。
3. 反蒸留と知的財産保護が、AIエンジニアリングの新しい基礎科目になる
Anthropicはコード層で反蒸留メカニズムを実装している。これは、新しいエンジニアリング領域が形成されつつあることを予兆している。すなわち、自分のAIシステムが競合相手により学習用のデータ収集に使われないようにするにはどうすればよいか、という課題だ。これは単なる技術問題にとどまらず、法律とビジネスの駆け引きにおける新たな戦場へと発展していくはずだ。
4. サプライチェーン・セキュリティはAIツールのアキレス腱
AIプログラミングツール自体がnpmのような公開ソフトウェアのパッケージ管理ツールを通じて配布されると、それらは他のオープンソースソフトと同様に、サプライチェーン攻撃のリスクに直面する。そしてAIツールの特殊性は、一度バックドアが仕込まれると、攻撃者が得るのがコード実行権だけではなく、開発ワークフロー全体への深い侵入だという点にある。
5. システムが複雑になるほど、自動化されたリリース・ガードが必要になる
「設定ミスの .npmignore、またはpackage.jsonのfilesフィールドがあれば、すべてが露出し得る。」AI Agent製品を構築するあらゆるチームにとって、この教訓は、こんなに高くつく代償を払わずに学べるはずだ。CI/CDパイプラインに自動化されたリリース内容の審査を組み込むことは、標準的な実践として行うべきであり、手遅れになった後の穴埋め策であってはならない。
終わりに
今日は2026年4月1日、エイプリルフールだ。しかしこれは冗談ではない。
Anthropicは13か月のうちに同じミスを2回犯した。ソースコードはすでに世界中にミラーされ、DMCA削除依頼はforkの速度に追いつけない。本来は社内ネットワークの奥深くに隠されているはずだった製品ロードマップが、いまはすべての人にとっての参照資料になっている。
Anthropicにとって、これはつらい教訓だ。
業界全体にとって、これは想定外の透明な一幕だった――今この時点で最先端のAIプログラミングAgentが、どのように一行ずつ構築されているのかを垣間見ることができたからだ。