Claude Codeソースコード流出事件全記録:一つの.mapファイルが引き起こしたバタフライ効果

執筆:Claude

一、発端

2026年3月31日未明、開発者コミュニティであるツイートが大きな波紋を呼んだ。

Chaofan Shou。ブロックチェーン・セキュリティ企業のインターンである彼は、Anthropic の公式 npm パッケージに source map ファイルが同梱されていることを見つけ、Claude Code の完全なソースコードが公開の場に露出しているのを発見した。彼はすぐに X 上でこの発見を公開し、直接のダウンロードリンクも添えた。

この投稿は信号弾のように開発者コミュニティで爆発した。数時間のうちに、51.2万行以上の TypeScript コードが GitHub にミラーされ、数千人規模の開発者がリアルタイムで解析を行った。

これは Anthropic にとって、1週間も満たない期間で起きた2度目の重大な情報漏えい事故だ。

その5日前(3月26日)には、Anthropic の CMS 設定ミスにより約3000件の社内ファイルが公開されており、その中には近日公開予定の「Claude Mythos」モデルの草稿となるブログ記事が含まれていた。

二、漏えいはどうやって起きた?

今回の事故の技術的な理由は、あきれるほど滑稽だ――根本原因は、npm パッケージに誤って source map ファイル(.map ファイル)が含まれていたことだ。

この種のファイルの用途は、圧縮・難読化された本番コードを元のソースコードに対応付けて、デバッグ時にエラーの行番号を特定しやすくすることにある。そして、この .map ファイルには、Anthropic 自社の Cloudflare R2 ストレージバケット内の zip 圧縮パッケージを指すリンクが含まれていた。

Shou や他の開発者は、悪用のためのハッキング手段など不要で、この zip パッケージを直接ダウンロードした。ファイルはそこにあるだけで、完全に公開されていた。

問題があったのは @anthropic-ai/claude-code の v2.1.88 で、59.8MB の JavaScript source map ファイルが付属していた。

The Register の声明への返答で、Anthropic は次のように認めている:「より前の Claude Code のバージョンで、2025年2月にも同様のソースコード漏えいが発生していた」。つまり、同じミスが13か月のうちに2度起きたことになる。

皮肉にも、Claude Code の内部には「Undercover Mode(潜入モード)」という仕組みがあり、Anthropic 内部のコードネームが git のコミット履歴にうっかり漏れ出すのを防ぐために設計されている……そしてエンジニアは、ソースコード全体を .map ファイルにまとめてしまった。

事故のもう一つの引き金になった可能性があるのは、ツールチェーンそのものだ。Anthropic は年末に Bun を買収しており、Claude Code はまさに Bun を基に構築されている。2026年3月11日、Bun の issue トラッキングシステムで誰かがバグ報告(#28001)を提出し、Bun が本番モードでも source map を生成・出力してしまうと指摘した。これは公式ドキュメントの説明と食い違っている。この issue は現在も未解決のままだ。

これに対する Anthropic の公式な回答は簡潔で抑制的だった:「ユーザーデータや認証情報に関わる、または漏えいした事実はない。これはリリース用のパッケージング工程における人的ミスであり、セキュリティ脆弱性ではない。私たちは、この種の事態が再び起きないよう対策を進めている。」

三、漏えいしたのは何か?

コード規模

今回の漏えいには約1900のファイル、50万行を超えるコードが含まれていた。これはモデルの重みではなく、Claude Code 全体の「ソフトウェア層」のエンジニアリング実装だ――ツール呼び出しのためのフレームワーク、多数エージェントのオーケストレーション、権限システム、メモリシステムなどの中核アーキテクチャを含む。

公開されていない機能ロードマップ

今回の漏えいで最も戦略的価値が高いのは、ここだ。

KAIROS 自主防護プロセス:言及が150回を超えるこの機能コード名は、古代ギリシャ語の「適切な時機」に由来し、Claude Code が「常駐バックグラウンド Agent」へと根本的に転換することを示す。KAIROS には autoDream という名前のプロセスが含まれており、ユーザーのアイドル時に「記憶の統合」を実行する――断片化した観察を統合し、論理的な矛盾を解消し、曖昧な洞察を確定的な事実として固める。ユーザーが戻ってきたときには、Agent のコンテキストはすでにクリーンで、かつ高い関連性を持っている。

内部モデルのコードネームとパフォーマンスデータ:漏えい内容により、Capybara が Claude 4.6 変種の内部コードネームであること、Fennec が Opus 4.6 に対応していること、そしてまだ公開されていない Numbat はテスト中であることが確認された。コードコメントにはさらに、Capybara v8 が 29-30% の虚偽陳述率を持つことも明らかになっており、v4 の 16.7% と比べて後退している。

反蒸留メカニズム(Anti-Distillation):コード内には ANTI_DISTILLATION_CC という名前の機能フラグが存在する。これを有効にすると、Claude Code は API リクエストに虚偽のツール定義を注入する。目的は、競合相手がモデル学習のために使い得る API トラフィックデータを汚染することだ。

Beta API 機能一覧:constants/betas.ts ファイルが、Claude Code と API 協議(ベータ)として存在するすべてのベータ機能を明らかにしている。100万 token のコンテキストウィンドウ(context-1m-2025-08-07)、AFK モード(afk-mode-2026-01-31)、タスク予算の管理(task-budgets-2026-03-13)など、一連のまだ公開されていない能力が含まれている。

組み込まれたポケモン風のバーチャル・パートナーシステム:コードの中には、さらに完全なバーチャル・パートナーシステム(Buddy)まで隠されている。種のレアリティ、光る変種、属性のプログラム生成、そして Claude が最初の孵化時に書いた「魂の説明」まで含む。パートナーの種類は、ユーザー ID を基にしたハッシュによる決定論的な疑似乱数生成器で決まる。同じユーザーは、常に同じパートナーを得る。

四、並行するサプライチェーン攻撃

今回の事案は孤立して起きたわけではない。ソースコードの漏えいと同じ時間窓の中で、npm 上の axios パッケージが独立したサプライチェーン攻撃を受けていた。

2026年3月31日00:21から03:29 UTC の間に、npm で Claude Code をインストールまたはアップデートしていた場合、意図せずに遠隔アクセス型トロイの木馬(RAT)を含む悪意のあるバージョン(axios 1.14.1 または 0.30.4)を導入した可能性がある。

Anthropic は、影響を受けた開発者に対し、ホストを完全に侵害されたものとして扱い、すべてのキーをローテーションし、オペレーティングシステムを再インストールするよう提案した。

これら2件の時間的な重なりが、状況をさらに混乱かつ危険にした。

五、業界への影響

Anthropic に対する直接的な損害

年換算収益190億ドルに達し、高速成長の最中にある企業にとって、今回の漏えいは単なるセキュリティ上の不注意にとどまらず、戦略的な知的財産の流出による損失でもある。

少なくとも一部の Claude Code の能力は、基盤となる大規模言語モデルそのものではなく、モデルの周りに構築されたソフトウェアの「フレームワーク」から生まれている――それは、モデルがどのようにツールを使うかを指示し、モデルの振る舞いを規範化するための重要なガードレールと指示を提供する。

これらのガードレールと指示は、いまや競合他社には丸見えになっている。

AI Agent ツール全体のエコシステムへの警告

今回の漏えいは Anthropic を倒すほどのものではない。しかし、すべての競合他社に対して無料の技術教材を提供してしまった――プロダクション級の AI プログラミング Agent をどう構築するか、そしてどのツールの方向性に重点投資すべきか。

漏えい内容の真の価値はコードそのものではなく、機能フラグが明らかにした製品ロードマップにある。KAIROS、反蒸留メカニズム――これらは競合他社がいま予測し、先回りして対応できる戦略的な詳細だ。コードはリファクタリングできても、戦略上のサプライズが漏れてしまえば取り戻すことはできない。

六、Agent コーディングへの深い示唆

今回の漏えいは、いまの AI Agent エンジニアリングにおけるいくつかの中核命題を映す鏡だ。

1. Agent の能力の境界は、かなりの程度「フレームワーク層」によって決まり、モデル本体によるものではない

Claude Code 50万行のコードの露出は、業界全体にとって意味のある事実を示した。同じ基盤モデルでも、異なるツール編成フレームワーク、メモリ管理メカニズム、権限システムを組み合わせれば、まったく異なる Agent の能力が生まれる。つまり「誰のモデルが最強か」だけが唯一の競争軸ではなく、「誰のフレームワーク工程がより精巧か」も同じくらい重要だということだ。

2. 長期的な自律性は次の中核の戦場

KAIROS の防護プロセスがあることは、次の業界の競争が「監督なしでも Agent が継続して効果的に動けるようにすること」に集中することを示している。バックグラウンドでの記憶統合、セッションをまたぐ知識の移植、アイドル時の自律的推論――これらの能力が成熟すれば、Agent と人間の協働の基本的なモードが根本から変わる。

3. 反蒸留と知的財産保護は、AI エンジニアリングの新しい基礎科目になる

Anthropic はコード層で反蒸留メカニズムを実装している。これは、競合他社により自社の AI システムが訓練データ収集に利用されないようにするにはどうすればよいか、という新しい工学領域が形成されつつあることを示している。これは単なる技術問題ではなく、法的・商業的な駆け引きの新たな戦場へと発展していく。

4. サプライチェーンのセキュリティは、AI ツールのアキレス腱

AI プログラミングツールそのものが npm のような公開ソフトウェアのパッケージ管理器を通じて配布される場合、それらは他のオープンソースソフトウェアと同様に、サプライチェーン攻撃のリスクにさらされる。そして AI ツールの特殊性は、バックドアが埋め込まれた瞬間、攻撃者が得るのがコード実行権だけでなく、開発ワークフロー全体への深い侵入である点にある。

5. 複雑なほどシステムは、より自動化されたリリースの番人が必要

「設定ミスの .npmignore、または package.json の files フィールドによって、すべてが露出することがある。」AI Agent 製品を構築するあらゆるチームにとって、この教訓は、こんなにも高い代償を払わずとも学べる――CI/CD パイプラインに自動化されたリリース対象コンテンツの審査を組み込むべきで、手遅れになった後の対処ではなく、標準の実践にすべきだ。

終わりに

今日は2026年4月1日、エイプリルフールだ。だが、これは冗談ではない。

Anthropic は13か月の間に同じ過ちを2度繰り返した。ソースコードはすでに世界中にミラーされ、DMCA の削除要請は fork の速度に追いつけない。そのはずだった社内に深く秘匿されるべき製品ロードマップが、いまや誰もが参照できる資料になっている。

Anthropic にとって、これは痛みを伴う教訓だ。

業界全体にとって、これは思いがけない透明性の瞬間だ――いま最先端の AI プログラミング Agent が、どのように一行ずつ構築されているのかをのぞき見ることができるようになった。

原文表示
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については免責事項をご覧ください。
  • 報酬
  • コメント
  • リポスト
  • 共有
コメント
コメントを追加
コメントを追加
コメントなし
  • ピン