2026年3月31日、AnthropicのAIコーディングツール「Claude Code」のソースコード512,000行がnpmパッケージの設定ミスで外部に流出した。GitHubに転載されたミラーリポジトリは数時間で約3万スター。約1,900ファイル分のTypeScriptソースから、次世代プロジェクト「KAIROS」を含む107個のフィーチャーフラグが見つかっている。
この記事では、何が起きたのか、なぜ起きたのか、そして流出コードから何がわかったのかを整理する。
目次
何が起きたのか
512,000行が認証なしでダウンロードできた
流出したのはClaude Codeのソースコード一式だ。
- コード行数:512,000行超(未圧縮のTypeScript)
- ファイル数:約1,900ファイル(
src/ディレクトリ丸ごと) - 技術スタック:Bunランタイム、React、Ink(ターミナルUI)
- パッケージ名:
@anthropic-ai/claude-code(npm公式)
難読化されていない。開発者コメントもそのまま残っている。AnthropicのCloudflare R2ストレージ上のZIPファイルに、誰でもアクセスできる状態だった。
発見したのはブロックチェーン開発者
最初に気づいたのは、ブロックチェーン開発企業Solayer Lab所属のChaofan Shou氏。3月31日にX上でnpmパッケージ内のソースマップファイルの存在を指摘した。
セキュリティ研究者のRoy Paz氏は「典型的なセーフガードが抜けていて、設定ミス1つでソースコード全体が露出した」と指摘。Anthropic側は「通常のリリース保護は機能しており、パッケージング工程での人的ミスだ」と反論している。
時系列
- 3月31日早朝:Chaofan Shou氏がnpmパッケージ内のソースマップを発見、Xで報告
- 数時間以内:GitHub上にミラーリポジトリが複数出現し、急速に拡散
- 約2時間後:ミラーが約3万スター・4万フォーク超を記録(Cybernews調べ)
- 同日中:Anthropicがソースマップを除外した修正版をnpmに公開
- その後:旧バージョンをnpmレジストリから削除
「instructkr/claude-code」「Kuberwastaken/claude-code」など複数のミラーが立ち上がり、異例のスピードで広まった。
なぜ流出したのか:ソースマップの混入
そもそもソースマップとは
ソースマップ(.mapファイル)は、コンパイル済みのコードを元のソースに紐づけるデバッグ用ファイル。TypeScriptやBabelのビルドツールが自動で吐き出す。
本来は開発環境でしか使わないもので、npmパッケージには入れない。難読化前の変数名、関数名、コメントが全部復元できてしまうからだ。
今回は、この.mapファイルがAnthropicのCloudflare R2上のZIPファイルへのURLを含んでいた。ワンクリックでソースコード一式をダウンロードできる状態。
正常なパッケージとの比較
| 項目 | 通常 | 今回 |
|---|---|---|
| ソースマップ | .npmignore等で除外 |
同梱されていた |
| ソースコード参照 | なし(JSのみ) | R2バケットURLが記載 |
| R2バケット | 非公開or認証必須 | 認証なしで公開 |
| パッケージサイズ | 数MB程度 | 59.8MBの.mapファイル込み |
Anthropicの説明は「人的エラーによるリリースパッケージングの問題」。ビルドパイプラインの設定で、除外すべきソースマップが本番パッケージに紛れ込んだということだ。
流出コードからわかった6つの未公開機能
512,000行のソースから107個のフィーチャーフラグが見つかった。中でもインパクトの大きい6つを取り上げる。
1. KAIROS:バックグラウンド常駐型のプロアクティブエージェント
KAIROSは、Claude Codeを「聞かれたら答える」ツールから「自分から動く」エージェントに変える構想だ。
PROACTIVEフラグでバックグラウンド常駐、DAEMONフラグでファイル変更やコンパイルエラーの自動検知と修正提案。要するに、ユーザーがコードを書いている裏で、Claude Codeが勝手にエラーを見つけて直し方を出してくる。
今のClaude Codeはユーザーの指示待ちだが、KAIROSが入ればそこが根本的に変わる。AI業界全体が追いかけている「エージェントの自律化」を、Anthropicがどう設計しているかが具体的に見えた格好だ。
2. KAIROS_DREAM:アイドル時間にメモリを自動整理
KAIROS_DREAMは、Claude Codeの記憶を自動で片付ける仕組み。
アイドル時間に自動で走り、過去の複数セッションから有用なパターンを抽出して、蓄積したコンテキストを圧縮・整理する。長期タスクへの対応力を上げる狙いがある。
一部メディアでは「24時間周期」「25KB以下に圧縮」といった具体的数値も報じられているが、複数ソースで裏が取れていないので、鵜呑みにはしないほうがいい。
名前の通り、人間が寝ている間にAIが記憶を整理する、文字通り「夢を見る」機能。ネーミングセンスがいい。
3. ULTRAPLAN:重い設計タスクをクラウドに投げる
大規模な設計タスクを、クラウド上の高性能モデルに丸投げする構想。
30分以上かかるような複雑なソフトウェア設計を、クラウドコンテナ上のOPUS 4.6(Anthropicの最上位モデル)で処理する。ローカルマシンのリソースを食わずに、重い仕事をクラウドで回す発想だ。
4. VOICE_MODE / WEB_BROWSER_TOOL:音声とブラウザ操作
CLIツールの枠を超える2つのフラグも確認された。
VOICE_MODEは音声入出力への対応。ハンズフリーでのコーディング支援を狙っているらしい。WEB_BROWSER_TOOLはブラウザ操作機能で、Webアプリのテストやスクレイピングに使えそうだ。
どちらも、今のターミナルベースのClaude Codeとは方向性が違う。
5. Coordinator Mode:複数エージェントの指揮系統
複数のAIエージェントを1つのCoordinatorが統括するマスター・ワーカー型のアーキテクチャ。
Worker側にはExplore Agent(探索)、Plan Agent(計画)、Verification Agent(検証)があり、Worker Agentには読み取り専用の制約がかかっている。破壊的な変更を防ぐためだろう。
OpenAIの「Swarm」やMicrosoftの「AutoGen」と同じ系統のマルチエージェント設計だが、権限分離のやり方にAnthropicらしさが出ている。
6. Undercover ModeとYOLO分類器:セキュリティ設計の中身
セキュリティ周りのコードも見えた。
Undercover Modeは、Claude自身がAnthropicの内部情報を外部に出さないための仕組み。OSS貢献時などにClaude Codeの内部動作を隠す。YOLO分類器は機械学習ベースの自動安全判定で、ツール操作を低・中・高の三段階リスクに分けて、リスクレベルに応じて自動承認かユーザー確認かを切り替える。パストラバーサル防止のファイルパス検証ロジックも入っている。
セキュリティ専門家からは「この設計が公開されたことで、攻撃者がClaude Codeの安全判定を迂回する手法を作りやすくなる」との声もある。ここが今回の流出で一番厄介な部分かもしれない。
Mythos文書流出との合わせ技:1週間で2件
5日前にも別の流出があった
実はClaude Codeの流出の5日前、3月26日頃にも別件が起きている。CMS(コンテンツ管理システム)の設定ミスで、約3,000ファイルが認証なしで閲覧可能になった。
その中に、未発表の次世代AIモデル「Claude Mythos」(内部コードネーム:Capybara)のドラフトブログ記事が含まれていた。現行最上位のOpusを大幅に上回る性能で、コーディング・学術推論・サイバーセキュリティテストで飛躍的なスコアを出しているとされる。
Anthropicはモデルの存在を認め、「大幅な性能向上を伴う新しいAIモデルをテスト中」と公式に発表した。
1週間で2件の設定ミス
| 項目 | Mythos文書流出(3/26頃) | Claude Codeソースコード流出(3/31) |
|---|---|---|
| 原因 | CMS設定ミス | npmビルド設定ミス |
| 流出規模 | 約3,000ファイル | 512,000行・約1,900ファイル |
| 流出内容 | 未発表モデルの内部文書 | コーディングツールの完全なソースコード |
| 影響 | 未発表モデルの存在がバレた | アーキテクチャ・未公開機能・セキュリティ設計がバレた |
| 顧客データの漏洩 | なし | なし |
Fortune誌はこれを「Anthropicにとって1週間で2度目の重大なセキュリティの過失」と報じている。どちらも外部からの攻撃ではなく内部の設定ミス。リリースプロセスやアクセス制御に構造的な問題があるのでは、という指摘が出るのは当然だろう。
Anthropicの対応と業界の反応
Anthropicの立場
Anthropicは公式声明で3点を強調した。
- リリースパッケージングの問題であり、セキュリティ侵害ではない
- 顧客データや認証情報は一切含まれていない
- 再発防止策を導入中
対応としては、ソースマップを除外した修正版パッケージの即日公開と、旧バージョンのnpmからの削除。速度感はあった。
GitHubでの拡散
流出コードのGitHubミラーは、業界の関心の高さをそのまま映し出した。
公開から数時間で約3万スター・4万フォーク超。「instructkr/claude-code」「Kuberwastaken/claude-code」など複数のミラーが立ち、Rust言語で書き直すプロジェクトまで即座に始まっている。Qiitaでは「単なるアーカイブではなく実用ツールとして再構築する」動きも報告されていた。
競合にとっての意味
競合企業からすると、今回の流出はAnthropicの設計思想をそのまま覗ける窓口になった。
- ツール操作の安全性を判定する三段階トリガー評価システム
- 応答速度を最適化するプロンプト動的キャッシング機構
- 複数エージェントの権限を分離するロジック
これらが全部読める状態になっている。セキュリティ研究者のRoy Paz氏は「攻撃者がClaude Codeの信頼プロンプト表示前にバックグラウンドコマンドを実行するような悪意あるリポジトリを設計するロードマップを手にした」と警告している。
この件から学べること
npmのサプライチェーンリスクは他人事ではない
ソースマップの混入は、ビルド設定の1行の漏れで起きる。npmパッケージは公開した瞬間に世界中からダウンロードされるので、流出後の回収は事実上できない。
自社でnpmパッケージを出しているなら、.npmignoreやpackage.jsonのfilesフィールド、CI/CDでのパッケージ内容チェックは改めて見直したほうがいい。
AIコーディングツールを選ぶときのセキュリティ観点
- ベンダーのインシデント対応の透明性:Anthropicは即日で声明と修正版を出した。この速さは評価できる
- コードの実行権限の制御方式:Claude Codeの三段階リスク分類は設計としてはしっかりしている。ただし、その設計が公開されたことで新たなリスクが生まれた
- 過去の脆弱性履歴:2026年2月にはCheck Point Researchが報告した脆弱性(CVE-2025-59536、CVE-2026-21852)もある。修正済みだが、頭には入れておくべき
流出コードの扱いには注意
流出したソースコードはAnthropicの著作物だ。GitHubのミラーは著作権侵害になり得る(「フェアユース」を主張するリポジトリもあるが、法的に確定していない)。
業務で参照するなら、まず法務に相談すべき。競合が流出コードを自社製品に組み込めば、訴訟リスクは避けられない。
まとめ
npmパッケージのビルド設定ミスという初歩的なヒューマンエラーが、AI業界でも前例のない規模の情報流出に発展した。
512,000行のソースからは、KAIROSに代表されるプロアクティブAIエージェント構想、マルチエージェント協調システム、セキュリティ判定の内部ロジックまで見えてしまった。Mythos文書と合わせて1週間で2件。Anthropicのリリースプロセスに穴があったのは間違いない。
ただ、「顧客データは漏れていない」「ソースコードの設計品質自体は高い」というのも事実ではある。問題はソフトウェアの品質ではなく、運用プロセスの管理体制だった。
個人的には、KAIROSの設計思想がかなり面白いと思った。バックグラウンドで勝手にエラーを検知して直してくるAIエージェント、実現したら開発体験が根本から変わる。今回の流出でAnthropicが開発スケジュールを見直すのかどうか、そこは気になるところだ。
よくある質問(FAQ)
Q1: 流出したソースコードはまだ見られる?
Anthropicは公式npmパッケージからソースマップを除外し、旧バージョンも削除済み。ただし、GitHubのミラーやフォーク経由で、流出コードはまだネット上に広く残っている。
Q2: Claude Codeのユーザーに直接的なセキュリティリスクはある?
Anthropicは「顧客データや認証情報は含まれていない」と公式に発表しており、利用者の個人情報やAPIキーが漏れた事実はない。ただし、セキュリティ設計の中身が公開されたことで、Claude Codeを狙った攻撃手法が研究されるリスクは理論上高まっている。
Q3: KAIROSなどの未公開機能はいつ出る?
Anthropicは未公開機能のリリース時期を発表していない。フィーチャーフラグがあるからといって、全部が製品化されるとは限らない。ただ、流出で存在がバレた以上、品質検証スケジュールの前倒しはあるかもしれない。
Q4: ソースマップの誤混入はClaude Code特有の問題?
いいえ。TypeScriptやBabelを使うnpmパッケージなら、どこでも起き得る。.npmignoreの設定漏れやpackage.jsonのfilesフィールドの不備が主な原因。npmエコシステム全体のリスクだ。
Q5: OpenAIやGoogleにも同じような流出事例はある?
AIコーディングツールのソースコード全体が流出したのは今回が初めて。過去にはSamsungの社内機密がChatGPT経由で漏れた件(2023年)や、MetaのLLaMAの重みデータがリークした件(2023年)があるが、規模も内容も今回とは性質が違う。
Q6: この件でClaude Codeの導入は見送るべき?
今回のインシデントは「製品の脆弱性」ではなく「リリースプロセスの管理ミス」だ。流出コードを見る限り、Claude Code自体の設計やセキュリティは高い水準にある。導入を判断するなら、Anthropicがどんな再発防止策を打つかと、自社のリスク許容度を天秤にかけることになる。
Q7: 流出コードを業務で参考にしても大丈夫?
流出コードはAnthropicの著作物なので、無断での複製・改変・商用利用は著作権侵害になり得る。「フェアユース」や「リサーチ目的」を主張するGitHubリポジトリもあるが、法的に白黒ついていない。業務で使うなら、まず法務に確認を。
参考ソース
- Anthropic「Claude Code」ソースコード全容が流出:次世代プロジェクト「KAIROS」や今後の新機能の全貌が明らかに - XenoSpectrum
- Anthropic leaks its own AI coding tool's source code in second major security breach - Fortune
- Claude Code's source code appears to have leaked: here's what we know - VentureBeat
- Anthropic accidentally exposes Claude Code source code - The Register
- Full source code for Anthropic's Claude Code leaks - Cybernews
- Claude Codeのソースコード流出:512,000行が教えるプロダクションAIアーキテクチャ - Qiita
- Anthropicから未発表の次世代AI「Claude Mythos」内部文書が流出 - ビジネス+IT
- Check Point Researchers Expose Critical Claude Code Flaws - Check Point Blog
