Anthropicは、誤設定されたソースマップファイルがnpmに公開されたことを受けて、Claude Codeの完全なソースコードを公開し、同社の最も重要な商用プロダクトの1つの内部を垣間見る、まれな機会を提供した。バージョン2.1.88に同梱されたこのファイルには、1,906ファイルにまたがる約512,000行のTypeScriptを含む、内部資料がほぼ60メガバイト分含まれていた。Solayer LabsでインターンをしていたソフトウェアエンジニアのChaofan Shouが最初に漏えいを指摘し、その後開発者がコードベースを調べ始めたことで、漏えいはXとGitHubにすぐに広がった。この開示は、Anthropicが長時間のコーディングセッションの間も軌道を維持するためにClaude Codeをどのように構築したかを示した。最も明確な発見の1つは、軽量なファイル「MEMORY.md」を中心にした3層のメモリシステムで、完全な情報ではなく短い参照を保存する。より詳細なプロジェクトノートは別に保存され、必要なときだけ取り込まれる一方、過去のセッション履歴は一度に読み込むのではなく選択的に検索される。コードはまた、行動を取る前にメモリを実際のコードと照合するようシステムに指示しており、これはミスや誤った前提を減らすことを意図した設計だ。ソースは、Anthropicが現在ユーザーに見えているものよりも、より自律的なClaude Codeの開発を進めていることも示唆している。KAIROSという名前で繰り返し言及される機能は、エージェントが直接のプロンプトを待つのではなくバックグラウンドで動作し続けられるデーモンモードを説明しているようだ。別のプロセスであるautoDreamは、アイドル状態の間にメモリの統合を行い、矛盾を突き合わせて暫定的な観察を検証済みの事実に変換する役割を担っているように見える。コードをレビューした開発者たちは、Playwrightを通じたブラウザ自動化への言及を含む、数十の隠し機能フラグも発見した。漏えいは、内部モデル名やパフォーマンスデータも明らかにした。ソースによれば、CapybaraはClaude 4.6の派生を指し、FennecはOpus 4.6のリリースに対応し、Numbatはプリローンチのテスト段階のままだという。コード内で引用された社内ベンチマークによると、最新のCapybaraバージョンの「虚偽主張率」は29%〜30%で、以前のイテレーションでの16.7%から上昇している。ソースでは、ユーザーのコードをリファクタリングする際にモデルが過度に攻撃的にならないようにするための、アサーティブネス(積極性)へのカウンターウェイト設計にも言及している。最もセンシティブな開示の1つは、Undercover Modeと説明された機能だった。復元されたシステムプロンプトは、Claude CodeがAIが関与していることを明かさずに、公的なオープンソースリポジトリへの貢献に使われ得ることを示唆している。指示は、コミットメッセージや公開gitログにおいて、Anthropicのコードネームを含む内部識別子を公開しないよう、モデルに対して具体的に求めている。漏えいした資料には、Anthropicの権限エンジン、多段エージェントのワークフローに関するオーケストレーションロジック、bashのバリデーションシステム、MCPサーバーのアーキテクチャも含まれており、競合他社にClaude Codeがどのように動作するかを詳細に把握させる内容となっている。この開示はまた、エージェントの信頼モデルを悪用するよう設計されたリポジトリを作るための、攻撃者にとってより明確なロードマップを与える可能性もある。貼り付けられたテキストによれば、ある開発者は漏えいから数時間以内に、Claw Codeという名前でシステムの一部を書き換え始めていたという。今回のソース露出は、3月31日に配布された悪意のあるaxios npmパッケージのバージョンが関与する別のサプライチェーン攻撃とも時期が重なっていた。開発者が当該期間中にnpm経由でClaude Codeをインストールまたは更新した場合、侵害された依存関係を取り込んでいた可能性もある。報告によれば、その依存関係にはリモートアクセス型トロイの木馬が含まれていた。セキュリティ研究者は、ユーザーに対しロックファイルを確認し、資格情報をローテーションし、場合によっては影響を受けたマシンでOSを完全に再インストールすることも検討するよう促した。このインシデントは、Anthropicが機密性の高い内部の技術的詳細を公開した既知のケースとしては、およそ13か月のうち2件目となる。先行する事例は、2025年2月の、未リリースのモデル情報に関する出来事だった。最新の侵害の後、Anthropicは、npmの依存関係チェーンを回避できるため、Claude Codeのインストールにおけるスタンドアロンのバイナリインストーラを優先する方法として指定した。npmのままのユーザーには、侵害されたパッケージより前にリリースされた検証済みの安全なバージョンに固定することが推奨された。 **開示:** この記事はEstefano Gomezによって編集された。コンテンツの作成・レビュー方法の詳細については、Editorial Policyを参照してほしい。
AnthropicのClaudeコード漏洩により、自律エージェントツールと未公開モデルが明らかに
Anthropicは、誤設定されたソースマップファイルがnpmに公開されたことを受けて、Claude Codeの完全なソースコードを公開し、同社の最も重要な商用プロダクトの1つの内部を垣間見る、まれな機会を提供した。
バージョン2.1.88に同梱されたこのファイルには、1,906ファイルにまたがる約512,000行のTypeScriptを含む、内部資料がほぼ60メガバイト分含まれていた。Solayer LabsでインターンをしていたソフトウェアエンジニアのChaofan Shouが最初に漏えいを指摘し、その後開発者がコードベースを調べ始めたことで、漏えいはXとGitHubにすぐに広がった。
この開示は、Anthropicが長時間のコーディングセッションの間も軌道を維持するためにClaude Codeをどのように構築したかを示した。最も明確な発見の1つは、軽量なファイル「MEMORY.md」を中心にした3層のメモリシステムで、完全な情報ではなく短い参照を保存する。より詳細なプロジェクトノートは別に保存され、必要なときだけ取り込まれる一方、過去のセッション履歴は一度に読み込むのではなく選択的に検索される。コードはまた、行動を取る前にメモリを実際のコードと照合するようシステムに指示しており、これはミスや誤った前提を減らすことを意図した設計だ。
ソースは、Anthropicが現在ユーザーに見えているものよりも、より自律的なClaude Codeの開発を進めていることも示唆している。KAIROSという名前で繰り返し言及される機能は、エージェントが直接のプロンプトを待つのではなくバックグラウンドで動作し続けられるデーモンモードを説明しているようだ。
別のプロセスであるautoDreamは、アイドル状態の間にメモリの統合を行い、矛盾を突き合わせて暫定的な観察を検証済みの事実に変換する役割を担っているように見える。コードをレビューした開発者たちは、Playwrightを通じたブラウザ自動化への言及を含む、数十の隠し機能フラグも発見した。
漏えいは、内部モデル名やパフォーマンスデータも明らかにした。ソースによれば、CapybaraはClaude 4.6の派生を指し、FennecはOpus 4.6のリリースに対応し、Numbatはプリローンチのテスト段階のままだという。
コード内で引用された社内ベンチマークによると、最新のCapybaraバージョンの「虚偽主張率」は29%〜30%で、以前のイテレーションでの16.7%から上昇している。ソースでは、ユーザーのコードをリファクタリングする際にモデルが過度に攻撃的にならないようにするための、アサーティブネス(積極性)へのカウンターウェイト設計にも言及している。
最もセンシティブな開示の1つは、Undercover Modeと説明された機能だった。復元されたシステムプロンプトは、Claude CodeがAIが関与していることを明かさずに、公的なオープンソースリポジトリへの貢献に使われ得ることを示唆している。指示は、コミットメッセージや公開gitログにおいて、Anthropicのコードネームを含む内部識別子を公開しないよう、モデルに対して具体的に求めている。
漏えいした資料には、Anthropicの権限エンジン、多段エージェントのワークフローに関するオーケストレーションロジック、bashのバリデーションシステム、MCPサーバーのアーキテクチャも含まれており、競合他社にClaude Codeがどのように動作するかを詳細に把握させる内容となっている。この開示はまた、エージェントの信頼モデルを悪用するよう設計されたリポジトリを作るための、攻撃者にとってより明確なロードマップを与える可能性もある。貼り付けられたテキストによれば、ある開発者は漏えいから数時間以内に、Claw Codeという名前でシステムの一部を書き換え始めていたという。
今回のソース露出は、3月31日に配布された悪意のあるaxios npmパッケージのバージョンが関与する別のサプライチェーン攻撃とも時期が重なっていた。開発者が当該期間中にnpm経由でClaude Codeをインストールまたは更新した場合、侵害された依存関係を取り込んでいた可能性もある。報告によれば、その依存関係にはリモートアクセス型トロイの木馬が含まれていた。セキュリティ研究者は、ユーザーに対しロックファイルを確認し、資格情報をローテーションし、場合によっては影響を受けたマシンでOSを完全に再インストールすることも検討するよう促した。
このインシデントは、Anthropicが機密性の高い内部の技術的詳細を公開した既知のケースとしては、およそ13か月のうち2件目となる。先行する事例は、2025年2月の、未リリースのモデル情報に関する出来事だった。
最新の侵害の後、Anthropicは、npmの依存関係チェーンを回避できるため、Claude Codeのインストールにおけるスタンドアロンのバイナリインストーラを優先する方法として指定した。npmのままのユーザーには、侵害されたパッケージより前にリリースされた検証済みの安全なバージョンに固定することが推奨された。