世界は巨大な仮設ステージであり、Claude Codeのソースコードがインターネット全体で全面的に公開された経緯
TechFlow厳選深潮セレクト
世界は巨大な仮設ステージであり、Claude Codeのソースコードがインターネット全体で全面的に公開された経緯
「最も安全なAI」の構築を謳う企業が、自社のブログCMSやnpmパッケージすら守れない。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Claude
米国東部標準時(EST)3月31日未明4時23分、Solayer Labsの開発者(自称インターン)であるChaofan Shou氏がX(旧Twitter)に投稿を行い、ダウンロードリンクを添付した。
数時間後、Anthropic社の最も重要な商用製品「Claude Code」の完全なソースコードがGitHubにミラーされ、フォーク数は41,500回を超えた。また、Hacker Newsでは数千人の開発者が行単位でコードを解析し始めた。
この事象の発端は、実に滑稽なミスに起因している:Anthropic社がnpmパブリックレポジトリへClaude Code 2.1.88版を公開する際、ビルド設定ファイルから.mapファイルを除外する設定を忘れてしまったのだ。このソースマップ(source map)ファイルは、Anthropic社自社のCloudflare R2ストレージバケット上に保存されたZIPアーカイブを指しており、その中には約1,900個のTypeScriptファイル、合計51.2万行以上のコードが含まれていた。誰でも自由にダウンロード・展開・閲覧可能であった。
.npmignore設定項目におけるわずかな見落としが、年間売上が190億ドルに達する企業の旗艦製品のソースコードを全世界に公開してしまったのである。
さらに皮肉なことに、これはAnthropic社による5日間での2度目の情報漏洩である。3月26日、『Fortune』誌は、Anthropic社のコンテンツ管理システム(CMS)に設定ミスがあり、約3,000件の未公開内部文書が、検索可能な公開データベース上に晒されていたと報じた。その中に含まれていたのは、次世代モデル「Claude Mythos」(内部コードネーム:Capybara)について詳細に記述したブログ草稿であり、同社自身がその新モデルについて「前例のないネットワークセキュリティリスクをもたらす」と明言していた。
「最も安全なAIを構築する」ことを標榜する企業が、自社のブログCMSやnpmパッケージすら守りきれないという現実。
一、何が漏洩したか:反蒸留用の「偽ツール」から隠蔽されたオープンソース貢献まで
まず、最も注目を集めた発見から述べる。
44のフィーチャーフラグのうち、20が未リリース。 漏洩したコードには44個のフィーチャーフラグが含まれており、Anthropic社の未発表製品ロードマップ全体をカバーしている。これは単なるPPT上のコンセプトデザインではなく、すでにコンパイル済みで、スイッチをオンにするだけで即座にリリース可能な完成品コードである。ある開発者はこう評した。「彼らが2週間に1回新機能をリリースするのは、実際にはすべての機能がすでに完成しているからだ。」
KAIROS:バックグラウンドで自律的に動作するAgentモード。 コード中で150回以上登場する「KAIROS」(古代ギリシャ語で「適切な時機」を意味)は、最大規模の製品ロードマップ漏洩である。これは、継続的に実行されるバックグラウンドAgentデーモンを実装したもので、毎日のログ追加、GitHub Webhook購読、5分ごとの定期更新、そしてユーザーがアイドル状態の際に自動で「記憶統合」を行うautoDream機能を含む。この機能により、矛盾する情報を整理し、曖昧な洞察を確実な事実へと変換する。これはもはや「質問→回答」型のチャットツールではなく、「常時接続・自己進化」するAI同僚なのである。
反蒸留メカニズム:競合他社に「毒」を仕込む。 コード内にはANTI_DISTILLATION_CCというフラグが存在する。これを有効化すると、Claude CodeはAPIリクエストのシステムプロンプト内に、偽のツール定義を注入する。その目的は明確である:誰かがClaude CodeのAPIトラフィックを記録して競合モデルの学習に利用しようとした場合、これらの偽ツールが訓練データを汚染するためである。第二の防御層はサーバー側でのテキスト要約処理であり、暗号署名を用いて推論チェーン全体を置き換え、盗聴者が得られるのは圧縮されたバージョンのみとなるよう設計されている。
開発者Alex Kim氏の分析によれば、これらの保護技術のバイパス難易度はそれほど高くなく、「真剣に蒸留作業に取り組む人なら、およそ1時間で回避方法を見つけるだろう。真の防御は法的措置にあるかもしれない。」
Undercover Mode:AIが人間を装うモード。 undercover.tsファイルには「隠密モード」が実装されており、Claude CodeがAnthropic社内プロジェクト以外で使用された場合、自動的にすべての内部痕跡を消去し、内部コードネームやSlackチャンネル、さらには「Claude Code」という名称そのものにも一切言及しないようになっている。コード内のコメントにはこう記されている。「強制的に無効化するオプションは存在しない。これはモデルのコードネーム漏洩を防ぐための保証措置である。」
つまり、Anthropic社の従業員が公開のオープンソースプロジェクトにコードをコミットする際、AIが創作に関与したという事実は、システム的に隠蔽されることになる。Hacker News上の反応は率直だった。「内部コードネームを隠すのは一つの話だが、AIが自ら人間を装うというのはまったく別の話だ。」
正規表現でユーザーの怒りを検出。 userPromptKeywords.tsファイルには、ユーザーが苛立ちや怒りを示しているかどうかを判定するための手書き正規表現が含まれている。マッチ対象の語句には「wtf」「shit」「fucking broken」「piece of crap」などが列挙されている。LLM企業が感情分析に正規表現を用いるという事実は、Hacker News上で「究極の皮肉」と評された。もちろん、ユーザーの怒りを判断するために推論を1回実行するのはコストが高すぎるため、時には正規表現こそが最良のツールであるという指摘もある。
二、どうして漏洩したか:Anthropic自身のツールチェインが自社を陥れた
技術的な因果関係は、特に皮肉である。
Claude CodeはBunランタイムに基づいて構築されている。Anthropic社は2025年末にBunを買収した。3月11日、BunのGitHubリポジトリにてバグ報告(oven-sh/bun#28001)が行われた:「本番モード下でもソースマップが送信され続けてしまう」——にもかかわらず、Bunの公式ドキュメントには「本番モードではソースマップを無効化すべき」と明記されている。このバグは、いまだに修正されていない。
もし今回の漏洩の原因がまさにこのバグであるならば、物語はこうなる:Anthropic社が買収した自社ツールチェインが、既知でありながら未修正のバグを抱えており、それが結果としてAnthropic社自体の旗艦製品の完全なソースコードを暴露してしまったのである。
一方、この漏洩が発生する数時間前、npm上のaxiosパッケージがサプライチェーン攻撃を受けた。UTC時間3月31日00:21~03:29の間にClaude Codeをインストールまたはアップデートしたユーザーは、リモートアクセストロイの木馬(RAT)を含む悪意あるaxiosバージョンをダウンロードした可能性がある。これを受け、Anthropic社はその後、npmによるインストールを推奨しなくなり、独立したバイナリインストーラへの切り替えを提案した。
VentureBeat誌の評価はこうだ:「年間売上が190億ドルに達する企業にとって、これは単なるセキュリティ上の見落としではなく、『知的財産の戦略的流出』である。」
三、「AIセキュリティ企業」の逆説
これが、本件の最も深い物語的緊張感である。
Anthropic社のビジネスストーリーは、ひとつの核心的差別化要素に支えられている:「我々はOpenAIより責任ある企業である」。憲法的AI(Constitutional AI)から公表されるセキュリティ研究、モデル能力の積極的制限、政府との連携による責任ある情報開示に至るまで、Anthropic社が販売しているのは技術的優位性ではなく、「信頼」である。
しかし、5日間で2度の漏洩が露呈したのは、技術力の問題ではなく、組織運営能力の問題である。1度目はCMSのデフォルト権限設定が「公開」になっており、誰も確認していなかったこと。2度目はnpmのパッケージ設定の見落としで、誰も検証していなかったこと。これらはいずれも高度な技術課題ではなく、初級レベルの運用チェックリストに載っている基本事項である。
漏洩したコードには、興味深い内部データも含まれていた。autoCompact.tsのコメントによると、3月10日時点で、世界中で毎日約25万回のAPI呼び出しが、連続失敗する自動圧縮操作に無駄に費やされていた。1,279のセッションで50回以上の連続失敗が発生し(最多で3,272回)、その修正方法はわずか3行のコードで済む:「連続失敗が3回に達したら、当該機能を無効化する」。
次期旗艦モデル「Capybara」(近日リリース予定のClaude新モデル)に関する内部コメントでは、v8版の「誤情報発生率(false claim rate)」が29〜30%であり、v4版の16.7%からむしろ悪化していることが示されている。また、開発者はコード再構成時にモデルが過剰に積極的になりすぎないよう、「自信度抑制器(confidence suppressor)」を導入している。
こうした数字自体はスキャンダルではない。あらゆるソフトウェア開発にはバグや性能低下がつきものである。しかし、それらとAnthropic社の公のメッセージとの間にある緊張感は現実のものである:「人類史上最も困難な問題」とされるAIアライメントを解決しようとしている企業が、同時に「.npmignore設定の見落とし」という最も初歩的なミスを犯しているのだ。
あるツイートが的確に言い表している:「ソースマップをnpmに誤って公開してしまうというミスは、聞けばあり得ないと感じるが、そのコードベースの多くが、まさに今公開しているAIによって書かれていることを思い出せば、決してあり得ないことではない。」
四、競合他社は何を見たか
AIプログラミングツールという競争環境において、今回の漏洩の価値はコードそのものにはない。GoogleのGemini CLIやOpenAIのCodexは、すでに自社のAgent SDKをオープンソース化しているが、それらはツールキットであり、製品の内部配線全体ではない。
Claude Codeのコード規模(51.2万行、1,900ファイル)およびアーキテクチャの複雑さは、単なるAPIラッパーではなく、完全な「開発者向けオペレーティングシステム」であるという事実を示している。40個の権限分離型ツールプラグイン、4.6万行に及ぶクエリエンジン、マルチAgent編成システム(内部名称:「swarm」)、IDE双方向通信レイヤー、23種類のBashセキュリティチェック(Zshの18個の組み込みコマンド禁止、Unicodeゼロ幅スペース注入防止を含む)、14種類のプロンプトキャッシュ無効化ベクトル。
競合他社にとって、コードは再構成可能だが、KAIROSという製品方向性、反蒸留戦略、そしてCapybaraモデルの性能ベンチマークと既知の欠陥といった戦略的情報は、一度漏洩すれば取り返せない。
10日前、Anthropic社はオープンソースプロジェクト「OpenCode」に対し、Claude認証システムの組み込みサポートを削除するよう法的警告を発していた。理由は、サードパーティ製ツールがClaude Codeの内部APIを活用し、Opusモデルをサブスクリプション価格(課金単位:時間)ではなく、従量課金価格(課金単位:トークン)で不正にアクセスしていたためである。今や、OpenCodeはリバースエンジニアリングなど不要である。設計図はそこにあり、41,500回もフォークされているのだ。
五、187個のスピナー動詞:素人チームに残る「人間臭さ」
厳粛なセキュリティ分析や競合情勢調査の合間を縫って、漏洩したコードには思わず笑ってしまうようなものが隠されていた。
Claude Codeのローディングアニメーションには、187個のランダム動詞フレーズが用意されており、「Synthesizing excuses(言い訳を合成中)」「Consulting the oracle(神託に相談中)」「Reticulating splines(スプラインを網羅中)」「Bargaining with electrons(電子と交渉中)」「Asking nicely(丁寧にお願い中)」などと続く。あるAnthropic社のエンジニアが、ローディングアニメーションのジョーク作成に、異常に熱心に取り組んでいたことがうかがえる。
コードには、ほぼ確実に4月1日のエイプリルフール企画であると思われる機能も含まれている:buddy/companion.tsには電子ペットシステムが実装されている。各ユーザーはユーザIDに基づき決定論的に仮想生物(18種類、一般から伝説クラスまでの希少度、1%の「輝き」確率、RPG属性としてDEBUGGINGやSNARKを有する)を獲得する。種名はString.fromCharCode()でエンコードされており、ビルドシステムのテキスト検索を意図的に回避するように設計されている。
こうした細部と、深刻なセキュリティ脆弱性とは、奇妙な並置関係を形成している:同一のコードベース内で、ある人は競合他社に対抗するための反蒸留「毒」を精巧に設計し、ある人はAPI呼び出しのためにZigレベルのクライアント証明を真剣に実装し、またある人は「考え中」と表示されるローディングアニメーションのために187個のジョークを書き上げているのだ。
これが、数百億ドルの評価額を誇り、人類とAIの関係を定義しようとする競争に身を置く企業の、リアルな内部断面である。それはシリコンバレーの神話的物語に描かれる天才集団でもなければ、「素人チーム(草台班子)」という単純なラベルで片付けられるものでもない。むしろ、極めて賢い人々からなる組織が、極めて複雑な製品を極めて高速で構築する過程で、最も基礎的な部分で避けられない形で転び落ちるという、ある種の必然性を帯びた姿である。
Anthropic社の広報担当者は『Fortune』誌に対し、「これは人的ミスによるリリース時のパッケージング問題であり、セキュリティ脆弱性ではない」と回答した。
技術的にはその通りである。.npmignore設定の見落としは、確かに「セキュリティ脆弱性」ではない。しかし、あなたの全ビジネスストーリーが「我々は誰よりもセキュリティを真剣に重んじる」という前提に立脚しているならば、連続2週間にわたる「人的ミス」が発信するシグナルは、どんなセキュリティ脆弱性よりも破壊的である可能性がある。
最後に事実をひとつ:この記事はClaudeが書いたものである。Anthropic社のAIが、Anthropic社が漏洩させたソースコード情報を用いて、なぜ同社が自らの情報を管理できないのかを分析する文章を書いたのである。もし、それが非常に滑稽だと感じたなら、あなたはすでに2026年のAI業界の基本的な空気感を理解している。
注:上記の注釈も、Claude自身が追加を要請したものである。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
深潮TechFlow
