Anthropicのソースコード漏洩（2026年）：npmのソースマップのエラーによりClaudeのCLIコードが流出

このnpmリークにより、KAIROS、BUDDY、Agent Swarmsなど未公開の機能も明らかになりました。

同社は2026年3月31日、Venture Beatの取材に対しこの事象を確認し、リリース・パッケージングプロセスにおける人的ミスが原因であると説明しました。@anthropic-ai/claude-codeのバージョン2.1.88には、59.8MBのJavaScriptソースマップファイルが同梱されていました。 これは基本的に、ミニファイされた本番コードを元のTypeScriptにマッピングするデバッグ用アーティファクトであり、Anthropic自身のCloudflare R2ストレージバケット上に公開されていたZIPアーカイブを直接指し示していました。 誰かが何かをハッキングする必要はありませんでした。ファイルはただそこにあったのです。

ブロックチェーンセキュリティ企業Fuzzlandのインターンであるセキュリティ研究者のChaofan Shou氏がこの問題を発見し、X（旧Twitter）にバケットへの直接リンクを投稿しました。数時間のうちにGitHub上にミラーリポジトリが出現し、AnthropicによるDMCAに基づく削除要請が行われる前に、中には数万のスターを獲得したものもありました。 コミュニティのメンバーはすでに、テレメトリの抽出や隠された機能フラグの切り替え、著作権上の懸念を回避するためのPythonやRustによるクリーンルーム再実装の草案作成を開始していました。根本原因は単純明快です。Bunのバンドラーはデフォルトでソースマップを生成しますが、公開前にこのデバッグ用アーティファクトを除外または無効化するビルド工程が欠けていました。.npmignoreやpackage.jsonのfilesフィールドに適切な記述があれば、この事態は防げたはずです。

開発者が内部で確認した内容は詳細にわたるものでした。約1,900のTypeScriptファイルには、ツールの実行ロジック、権限スキーマ、メモリシステム、テレメトリ、システムプロンプト、機能フラグなどが含まれており、Anthropicが本番環境向けのエージェンティックコーディングツールをどのように構築しているのか、そのエンジニアリングの全貌が明らかになりました。テレメトリは、フラストレーションのシグナルとしてプロンプト内の卑語をスキャンしますが、ユーザーの会話やコードの全文はログに記録しません。 「アンダーカバーモード」はGitのコミットやプルリクエストから内部コードネームやプロジェクトの詳細への言及を削除するようAIに指示します。フラグの背後には未公開の機能がいくつか存在していました。「KAIROS」はファイルを監視し、イベントをログに記録し、アイドル時間中に「ドリーミング」と呼ばれるメモリ統合プロセスを実行する常時稼働のバックグラウンドデーモンと説明されています。 BUDDYはカピバラなど18種類の「ターミナルペット」で、DEBUGGING、PATIENCE、CHAOSといったステータスを持ちます。COORDINATOR MODEでは単一のエージェントが並列ワーカーエージェントを生成・管理できます。ULTRAPLANは10分から30分間のリモートマルチエージェント計画セッションをスケジュールします。

AnthropicはVenture Beatに対し、今回のインシデントでは機密性の高い顧客データや認証情報は漏洩しておらず、モデルの重みや推論インフラへの侵害もなかったと説明しました。「これは人為的ミスによるリリースパッケージングの問題でした」と同社は述べ、再発防止策を講じていると付け加えました。

これらの対策は迅速に進める必要があるかもしれません。同じミスが起きたのは今回が2度目だからです。2025年2月、Claude Codeの以前のバージョンでも、ほぼ同様のソースマップ漏洩が発生していました。

3月31日のインシデントは、UTC 00:21から03:29にかけて発生したaxiosパッケージに対する別のnpmサプライチェーン攻撃と時期を同じくして発生しました。この時間帯にnpm経由でClaude Codeをインストールまたは更新した開発者には、依存関係を監査し、認証情報を更新することが推奨されています。Anthropicは今後、npmではなく自社のネイティブインストーラーを使用することを推奨しています。

ここで背景を説明しておく必要がある。その5日前の3月26日、AnthropicにおけるCMSの設定ミスにより、未公開の「Claude Mythos」モデルの詳細を含む約3,000件の内部ファイルが流出し、これも人的ミスが原因とされている。1週間足らずの間に2件もの重大な情報漏洩が発生したことは、同社のツールが大規模なコードの記述やリリースに積極的に利用されている企業として、リリース管理の適切性に対する疑問を投げかけている。

現在も削除要請が行われていますが、漏洩したソースコードはアーカイブやミラーサイトを通じて入手可能な状態が続いています。AnthropicはVenture Beatへのコメント以外、詳細な事後検証や公式声明を発表していません。ユーザーデータが流出したことはありません。Claudeのコアモデルには影響がありません。しかし、Claude Codeの競合製品を構築するための青写真は、今やかなり容易に組み立てられるようになりました。

FAQ 🔎

• Q: Claude Codeのソースコード漏洩はハッキングだったのでしょうか？ いいえ — Anthropicは、今回の漏洩がセキュリティ侵害や不正アクセスではなく、パッケージング上のミスであったことを確認しています。
• Q: Anthropicのnpm流出で実際に何が公開されたのですか？ テレメトリ、機能フラグ、非公開機能、エージェントアーキテクチャを含む、Claude Code CLIに関する約512,000行のTypeScriptコードです。モデルの重み付けや顧客データは含まれていません。
• Q: Claude Codeのnpmインシデントによって、私のデータは危険にさらされていますか？Anthropicによると、ユーザーデータや認証情報は漏洩していません。ただし、同時期に発生したaxiosのサプライチェーン攻撃の期間中にnpm経由でインストールした開発者は、依存関係を監査し、認証情報を更新する必要があります。
• Q: Anthropicは以前にもソースコードを漏洩させたことがありますか？はい。2025年2月に、以前のClaude Codeバージョンに関連する、ほぼ同様のソースマップ漏洩が発生しており、今回の事案はおよそ13ヶ月間で2件目の同種インシデントとなります。