Anthropicは、設定ミスのあったソースマップファイルがnpmに公開されたことを受けて、Claude Codeの完全なソースコードを公開し、同社の最も重要な商用プロダクトの一つの内部をのぞける非常にまれな機会を提供した。このファイルはバージョン2.1.88に同梱されており、約60メガバイトの社内資料が含まれていた。TypeScriptは約512,000行で、1,906ファイルにまたがっていた。Solayer LabsでインターンをしていたソフトウェアエンジニアのChaofan Shouが、まず漏えいを最初に指摘し、その後開発者がコードベースを調べ始めたことで、XとGitHubに急速に広がった。今回の開示では、Anthropicが長時間のコーディングセッション中も軌道を保つためにClaude Codeをどのように構築したのかが明らかになった。最もはっきりした発見の一つは、軽量なファイル「MEMORY.md」を中心とする3層のメモリシステムである。これは、完全な情報ではなく短い参照を保存する。より詳細なプロジェクトの注記は別に保存され、必要なときだけ取り込まれる。過去のセッション履歴は、一度にすべて読み込むのではなく、選択的に検索される。コードはまた、行動を起こす前にメモリを実際のコードと照合するようシステムに指示しており、ミスや誤った前提を減らすことを目的とした設計だ。ソースはさらに、Anthropicが現在ユーザーの目に見えているものよりも自律性の高いClaude Codeの開発を進めていることも示唆している。KAIROSという名称で繰り返し言及されている機能は、エージェントが直接のプロンプトを待たずにバックグラウンドで動作し続けられるデーモンモードを説明しているように見える。別のプロセスとしてautoDreamが挙げられており、アイドル期間中にメモリの統合を行うことで、矛盾を突き合わせ、暫定的な観察を検証済みの事実へと変換しているようだ。コードをレビューしていた開発者は、Playwrightを通じたブラウザ自動化への言及を含む、数十の隠し機能フラグも見つけた。漏えいでは、内部のモデル名やパフォーマンスデータも露出した。ソースによれば、CapybaraはClaude 4.6のバリアントを指し、FennecはOpus 4.6のリリースに対応し、Numbatは事前ローンチのテスト段階にとどまっているという。コード内で引用されていた社内ベンチマークでは、最新のCapybaraバージョンの「誤った主張」の割合が29%から30%で、以前のイテレーションの16.7%から上昇していた。ソースはまた、ユーザーのコードをリファクタリングするときにモデルが過度に攻撃的にならないようにするための、アサーティブネス(assertiveness)へのカウンターウェイト設計にも言及している。最もセンシティブな開示の一つは、「Undercover Mode」として説明される機能に関わっていた。回収されたシステムプロンプトは、Claude CodeがAIが関与していたことを明かさずに、公的なオープンソースのリポジトリに貢献するために使われ得ることを示唍している。指示は具体的に、コミットメッセージや公開gitログで、Anthropicのコーディングネームを含む内部識別子を公開しないよう、モデルに求めている。漏えいした資料には、Anthropicの権限エンジン、マルチエージェントのワークフローのオーケストレーションロジック、bashの検証システム、MCPサーバーのアーキテクチャも含まれており、競合にClaude Codeがどのように動くかについて詳細な見取り図を提供した。今回の開示は、エージェントの信頼モデルを悪用するよう設計されたリポジトリを作るための、攻撃者にとってより明確なロードマップを与える可能性もある。貼り付けられた文章によれば、ある開発者は漏えいの数時間以内に「Claw Code」という名前で、システムの一部を書き換え始めていたという。今回のソース露出は、3月31日に配布された悪意のあるバージョンのaxios npmパッケージをめぐる、別のサプライチェーン攻撃とも時期が一致していた。その期間にnpm経由でClaude Codeをインストールまたはアップデートした開発者は、報告によればリモートアクセス型トロージャンを含んでいた、侵害された依存関係も取り込んでいる可能性がある。セキュリティ研究者は、ユーザーにロックファイルを確認し、資格情報をローテーションし、場合によっては影響を受けたマシンでOS全体の再インストールを検討するよう促した。この事件は、Anthropicがセンシティブな社内の技術的詳細を公開したこととしては、約13か月で2件目の既知事例となる。2件目は、2025年2月に未リリースのモデル情報が関わっていた先行エピソードに続くものだ。 最新の侵害の後、Anthropicは、npmの依存関係チェーンを回避できるため、Claude Codeをインストールする際の推奨方法としてスタンドアロンのバイナリーインストーラーを指定した。npmに留まっているユーザーには、侵害されたパッケージより前にリリースされた検証済みの安全なバージョンに固定するよう助言された。 **開示:** この記事はEstefano Gomezによって編集されました。私たちがコンテンツをどのように作成・レビューしているかの詳細については、Editorial Policyをご覧ください。
AnthropicのClaudeコード漏洩により、自律エージェントツールと未公開モデルが明らかに
Anthropicは、設定ミスのあったソースマップファイルがnpmに公開されたことを受けて、Claude Codeの完全なソースコードを公開し、同社の最も重要な商用プロダクトの一つの内部をのぞける非常にまれな機会を提供した。
このファイルはバージョン2.1.88に同梱されており、約60メガバイトの社内資料が含まれていた。TypeScriptは約512,000行で、1,906ファイルにまたがっていた。Solayer LabsでインターンをしていたソフトウェアエンジニアのChaofan Shouが、まず漏えいを最初に指摘し、その後開発者がコードベースを調べ始めたことで、XとGitHubに急速に広がった。
今回の開示では、Anthropicが長時間のコーディングセッション中も軌道を保つためにClaude Codeをどのように構築したのかが明らかになった。最もはっきりした発見の一つは、軽量なファイル「MEMORY.md」を中心とする3層のメモリシステムである。これは、完全な情報ではなく短い参照を保存する。より詳細なプロジェクトの注記は別に保存され、必要なときだけ取り込まれる。過去のセッション履歴は、一度にすべて読み込むのではなく、選択的に検索される。コードはまた、行動を起こす前にメモリを実際のコードと照合するようシステムに指示しており、ミスや誤った前提を減らすことを目的とした設計だ。
ソースはさらに、Anthropicが現在ユーザーの目に見えているものよりも自律性の高いClaude Codeの開発を進めていることも示唆している。KAIROSという名称で繰り返し言及されている機能は、エージェントが直接のプロンプトを待たずにバックグラウンドで動作し続けられるデーモンモードを説明しているように見える。
別のプロセスとしてautoDreamが挙げられており、アイドル期間中にメモリの統合を行うことで、矛盾を突き合わせ、暫定的な観察を検証済みの事実へと変換しているようだ。コードをレビューしていた開発者は、Playwrightを通じたブラウザ自動化への言及を含む、数十の隠し機能フラグも見つけた。
漏えいでは、内部のモデル名やパフォーマンスデータも露出した。ソースによれば、CapybaraはClaude 4.6のバリアントを指し、FennecはOpus 4.6のリリースに対応し、Numbatは事前ローンチのテスト段階にとどまっているという。
コード内で引用されていた社内ベンチマークでは、最新のCapybaraバージョンの「誤った主張」の割合が29%から30%で、以前のイテレーションの16.7%から上昇していた。ソースはまた、ユーザーのコードをリファクタリングするときにモデルが過度に攻撃的にならないようにするための、アサーティブネス(assertiveness)へのカウンターウェイト設計にも言及している。
最もセンシティブな開示の一つは、「Undercover Mode」として説明される機能に関わっていた。回収されたシステムプロンプトは、Claude CodeがAIが関与していたことを明かさずに、公的なオープンソースのリポジトリに貢献するために使われ得ることを示唍している。指示は具体的に、コミットメッセージや公開gitログで、Anthropicのコーディングネームを含む内部識別子を公開しないよう、モデルに求めている。
漏えいした資料には、Anthropicの権限エンジン、マルチエージェントのワークフローのオーケストレーションロジック、bashの検証システム、MCPサーバーのアーキテクチャも含まれており、競合にClaude Codeがどのように動くかについて詳細な見取り図を提供した。今回の開示は、エージェントの信頼モデルを悪用するよう設計されたリポジトリを作るための、攻撃者にとってより明確なロードマップを与える可能性もある。貼り付けられた文章によれば、ある開発者は漏えいの数時間以内に「Claw Code」という名前で、システムの一部を書き換え始めていたという。
今回のソース露出は、3月31日に配布された悪意のあるバージョンのaxios npmパッケージをめぐる、別のサプライチェーン攻撃とも時期が一致していた。その期間にnpm経由でClaude Codeをインストールまたはアップデートした開発者は、報告によればリモートアクセス型トロージャンを含んでいた、侵害された依存関係も取り込んでいる可能性がある。セキュリティ研究者は、ユーザーにロックファイルを確認し、資格情報をローテーションし、場合によっては影響を受けたマシンでOS全体の再インストールを検討するよう促した。
この事件は、Anthropicがセンシティブな社内の技術的詳細を公開したこととしては、約13か月で2件目の既知事例となる。2件目は、2025年2月に未リリースのモデル情報が関わっていた先行エピソードに続くものだ。
最新の侵害の後、Anthropicは、npmの依存関係チェーンを回避できるため、Claude Codeをインストールする際の推奨方法としてスタンドアロンのバイナリーインストーラーを指定した。npmに留まっているユーザーには、侵害されたパッケージより前にリリースされた検証済みの安全なバージョンに固定するよう助言された。