3月31日の早朝、セキュリティ研究者のChaofan Shou氏がX(旧Twitter)に1件の投稿をした。Anthropicの公式npmパッケージ「@anthropic-ai/claude-code」のバージョン2.1.88に、本来含まれるはずのないソースマップファイル(.map)が入っている——。
その59.8MBのファイルは、Anthropicが厳重に非公開としてきたClaude Codeの内部コード全体への入口だった。数時間後には51万2,000行超のTypeScriptコードがGitHubにミラーされ、4万1,500回以上フォークされた。取り返しのつかない事態が、たった1つのビルド設定ミスから始まった。
何が流出し、何が流出しなかったのか
流出したのは約1,900件のTypeScriptファイルで構成されるClaude Codeの内部実装だ。スラッシュコマンドの全ライブラリ、ビルトインツールの定義、内部プロンプト、未リリース機能のフィーチャーフラグが含まれていた。
一方、Anthropicは公式声明で「顧客データや認証情報は一切含まれていない」と明言している。同社広報はVentureBeatに対し、「リリースパッケージングの問題であり、ヒューマンエラーによるもの。セキュリティ侵害ではない」と説明した。
| 項目 | 流出あり | 流出なし |
|---|---|---|
| ソースコード(TypeScript) | ✅ 約51万2,000行 | |
| 内部プロンプト・ツール定義 | ✅ | |
| 未公開フィーチャーフラグ(44個) | ✅ | |
| 内部モデルコードネーム | ✅ | |
| 顧客データ・認証情報 | ❌ 含まれず | |
| LLMの重み・学習データ | ❌ 含まれず |
技術的に見えてきたClaude Codeの設計思想
開発者コミュニティが最も注目したのは、Claude Codeの「三層メモリアーキテクチャ」だ。長時間セッションでAIエージェントが混乱する「コンテキストエントロピー」問題に対し、Anthropicは独自の解決策を実装していた。
自己修復型メモリシステム
中核にあるのはMEMORY.mdという軽量インデックスファイルだ。1行あたり約150文字のポインタだけを保持し、常にコンテキストにロードされる。実際のプロジェクト知識は「トピックファイル」としてオンデマンドで取得され、過去のセッション記録は全文読み込みではなくgrepで特定IDを検索する仕組みになっている。
ファイル書き込みが成功した後にのみインデックスを更新する「Strict Write Discipline」により、失敗した試行でコンテキストが汚染されることを防いでいる。エージェント自身のメモリを「ヒント」として扱い、実際のコードベースに対して常にファクトチェックするよう設計されている点が特徴的だ。
KAIROS:24時間稼働の自律デーモン
ソースコード中に150回以上登場するフィーチャーフラグ「KAIROS」(古代ギリシャ語で「適切な時」の意)は、Claude Codeの未来を示していた。ユーザーがアイドル状態の間もバックグラウンドで動作し続ける自律デーモンモードだ。
数秒ごとにハートビートプロンプト「今やるべきことはあるか?」を受け取り、状況を評価して行動するか静観するかを判断する。エラー修正、メッセージ応答、ファイル更新、タスク実行——通常のClaude Codeと同じ能力を、ユーザーの指示なしに発揮する。
夜間には「autoDream」と呼ばれるプロセスが走り、日中の学習内容を統合・再編成するメモリ統合処理を行う。金曜にノートPCを閉じて月曜に開いても、KAIROSはその間ずっと働いている——そういう設計思想だ。
同時発生したサプライチェーン攻撃という偶然
事態をさらに複雑にしたのは、まったく別のセキュリティインシデントが同じ日に発生したことだ。広く使われているnpmパッケージ「axios」が、メンテナーのアカウント乗っ取りによるサプライチェーン攻撃を受けた。
攻撃者は悪意あるバージョン1.14.1と0.30.4を公開し、インストール時にクロスプラットフォーム対応のリモートアクセス型トロイの木馬(RAT)を展開した。Googleの脅威インテリジェンスグループ(GTIG)はこの攻撃を北朝鮮関連のアクターによるものと追跡している。
悪意あるバージョンが公開されていた約2〜3時間の間にnpm経由でClaude Codeをインストールまたはアップデートしたユーザーは、このaxiosの汚染版を引き込んだ可能性がある。2つの無関係なインシデントが同じエコシステムで同時に起きたことで、npmサプライチェーン全体の脆弱性が改めて浮き彫りになった。
「コードの質は高い」——コミュニティの反応
流出コードを分析した開発者たちの反応は、意外にもAnthropicへの一定の評価だった。米テックブロガーのRobert Scoble氏はXで「誰もコードがスロップ(低品質)だとは言っていない。すべての痛みの中には必ず贈り物がある。Anthropicのコードはかなり良いことがわかった」と投稿した。
一方で、以下の点が議論を呼んでいる。
「Undercover Mode」の存在
ソースコード中に、Anthropicが公開オープンソースリポジトリに対して「ステルス」でコミットするための機能が見つかった。システムプロンプトには「あなたはアンダーカバーで活動している…コミットメッセージにAnthropic内部の情報を含めてはならない。正体を隠せ」と記述されていた。
内部モデルの開発状況
「Capybara」がClaude 4.6のバリアント、「Fennec」がOpus 4.6、「Numbat」がテスト中の未リリースモデルであることが判明。Capybara v8では虚偽主張率が29〜30%で、v4の16.7%から悪化しているという内部コメントも確認された。
法的グレーゾーン——AIによるクリーンルーム再実装
流出から数時間で、@realsigridjin氏がOpenAIのCodexを使ってPythonに移植した「claw-code」をGitHubに公開。7万5,000以上のスターを獲得した。従来のクリーンルーム実装は数ヶ月かかるプロセスだったが、AIコーディングツールを使えば一晩で完了する。この手法が著作権を侵害するかどうか、法的な前例はまだない。
Anthropicはソースコードの直接コピーに対してDMCAテイクダウンを発行したが、AI再実装版には手を出せていない。The Pragmatic EngineerのGergely Orosz氏は「Anthropicが自社のAIで書かれた製品を再構築したオープンソースプロジェクトを訴えたいか? そして勝てるのか?」と指摘した。
AIエージェント開発者が今週やるべきこと
今回の事件から、AIエージェント開発に携わるすべてのチームが確認すべきポイントがある。
1. ビルドパイプラインの点検
.npmignoreやpackage.jsonのfilesフィールドを確認し、ソースマップファイル(.map)が本番パッケージに含まれないことを検証する。Claude Codeエンジニアのboris Cherny氏も「.npmignoreか、package.jsonのfilesフィールドの設定ミス1つで、すべてが露出する」と認めている。
2. npmの依存関係を即座に監査する
axiosサプライチェーン攻撃の影響範囲を確認する。npm auditを実行し、axios 1.14.1または0.30.4がインストールされていないかチェックすること。3月31日のUTC 00:21〜03:29にnpmパッケージをインストール・更新した環境は特に注意が必要だ。
3. エージェントのメモリ設計を見直す
Claude Codeの三層メモリアーキテクチャは、コンテキスト管理の実践的な手本として参考になる。「すべてを保存する」アプローチではなく、ポインタベースの軽量インデックス+オンデマンド取得という設計パターンは、自社エージェントにも応用できる。
この先どうなるか
Anthropicにとって、これは1週間で2度目の情報流出だ。数日前にはFortuneが、未発表モデル「Mythos」(内部名「Capybara」)に関するドラフトブログ記事を含む数千ファイルが公開状態になっていたと報じたばかりだった。
Claude Codeの年間経常収益(ARR)は25億ドルに達し、Anthropicの年間収益190億ドルの大きな柱となっている。その設計図が競合の手に渡った影響は計り知れない。
正直、これはAnthropicの技術力への疑問というより、運用セキュリティの課題だ。コードの品質が高いことはコミュニティが認めている。問題は、AIエージェント業界全体がまだ「動くものを早く出す」スピードと「守るべきものを守る」慎重さのバランスを模索している段階にあるということだ。KAIROSのような24時間自律稼働エージェントが現実になるとき、そのコードベースの安全性は今以上に重要になる。
参考・出典
- Claude Code’s source code appears to have leaked: here’s what we know — VentureBeat(参照日: 2026-04-01)
- Anthropic accidentally leaks Claude Code source in npm slip — Silicon Republic(参照日: 2026-04-01)
- Anthropic Accidentally Exposes Source Code for Claude Code — CNET(参照日: 2026-04-01)
- Anthropic Accidentally Releases Source Code for Claude AI Agent — Deccan Chronicle(参照日: 2026-04-01)
- Diving into Claude Code’s Source Code Leak — Engineer’s Codex(参照日: 2026-04-01)
- Axios npm package compromised: supply chain attack delivers cross-platform RAT — Snyk(参照日: 2026-04-01)
- Axios npm package compromised — Trend Micro(参照日: 2026-04-01)
この記事はAIgent Lab編集部がお届けしました。
AIエージェントのセキュリティ設計や導入戦略について詳しく知りたい方は、お問い合わせフォームからお気軽にご相談ください。
あわせて読みたい:
- AIエージェント防御ツール3強|Snyk・Astrix・Black Duck — セキュリティツールの選び方
- NISTのAIエージェント標準化とは? — セキュリティ標準の最新動向