Anthropic ソースコード漏えい 2026：npm のソースマップエラー経由で Claude Code CLI が公開される

Anthropicは誤って、Claude Code CLIの完全なソースコードを公開npmパッケージ内に同梱してしまい、注意を払っている誰にでも約512,000行のTypeScriptが露出しました。

Claude Codeのnpmリークが、KAIROS、BUDDY、エージェントスウォームを含む未公開機能を明らかにする

同社は2026年3月31日にVenture Beatとの取材で、この事故を確認しました。人為的ミスだとしており、リリースのパッケージング手順に起因すると説明しています。@anthropic-ai/claude-codeのバージョン2.1.88は、59.8 MBのJavaScriptソースマップファイルを同梱していました。基本的に、圧縮（minify）された本番コードを元のTypeScriptへ対応づけるデバッグ用の成果物であり、Anthropic自身のCloudflare R2ストレージバケット上に置かれた、誰でもアクセス可能なzipアーカイブへと直接つながっていました。

誰かがハックする必要はありませんでした。ファイルがただそこにあったのです。

ブロックチェーンセキュリティ企業Fuzzlandのインターンであるセキュリティ研究者Chaofan Shouがこの問題を見つけ、Xでバケットへの直接リンクを投稿しました。数時間のうちに、Github上でミラーリポジトリが出現し、その中にはAnthropicのDMCAによる削除要請が届くまでに数万スターを集めたものもありました。コミュニティのメンバーはすでにテレメトリを剥がし、隠し機能フラグを切り替え、著作権上の懸念を回避するためにPythonやRustでクリーンルームの再実装案を作成し始めていました。

根本原因は単純でした。Bunのバンドラはデフォルトでソースマップを生成し、公開前にデバッグ成果物を除外する、または無効化するビルド手順がありませんでした。 .npmignoreにおける欠落、またはpackage.jsonのfilesフィールドの欠落が、事態全体を防げていたはずです。

開発者が中身として見つけたものは詳細でした。約1,900本のTypeScriptファイルは、ツール実行ロジック、権限スキーマ、メモリシステム、テレメトリ、システムプロンプト、機能フラグをカバーしており、Anthropicがプロダクション品質のエージェント型コーディングツールをどう構築しているかの完全なエンジニアリング視点が含まれていました。テレメトリは不満のシグナルとして罵倒語（プロファニティ）の有無をプロンプトからスキャンしますが、ユーザーの会話全文やコードは記録しません。「アンダーカバーモード」は、AIに対し、gitコミットやプルリクエストから内部のコードネームやプロジェクト詳細への言及を削除するよう指示します。

いくつかの未公開機能はフラグの背後にありました。KAIROSは、常時稼働のバックグラウンドデーモンとして説明されており、ファイルを監視し、イベントをログに記録し、アイドル時間中に「夢（dreaming）」によるメモリのコンソリデーション（統合作業）プロセスを実行します。BUDDYは18の種を持つターミナルペットで、カピバラを含み、DEBUGGING、PATIENCE、CHAOSのようなステータスを携えます。COORDINATOR MODEは、単一のエージェントが複数の並列ワーカエージェントをスポーンし管理できるようにします。ULTRAPLANは、10〜30分のリモートなマルチエージェント計画セッションをスケジュールします。

AnthropicはVenture Beatに対し、この事故には機微な顧客データはなく、資格情報もなく、モデルウェイトや推論インフラの侵害もなかったと伝えました。「これは人為的ミスによって引き起こされたリリースのパッケージング問題でした」と同社は述べ、再発防止のための対策を展開していると付け加えました。

ただし、その対策は迅速に進める必要があるかもしれません。これは同じミスが起きた2回目です。2025年2月には、ほぼ同一のソースマップのリークが、Claude Codeの以前のバージョンで発生していました。

3月31日の事故は、UTCの00:21から03:29の間に稼働していたaxiosパッケージへの別のnpmサプライチェーン攻撃とも同時期に発生しました。この期間中にnpm経由でClaude Codeをインストールまたはアップデートした開発者は、依存関係を監査し、資格情報をローテーションすることが推奨されます。Anthropicは今後、npmよりも自社ネイティブインストーラーの利用を推奨しています。

ここでは状況が重要です。これより5日前の3月26日、AnthropicのCMSにおける設定ミスにより、「Claude Mythos」未公開モデルに関する詳細を含む約3,000の社内ファイルが露出しました。これもまた人為的ミスだとされています。1週間未満で2つの重大な偶発的開示が起きたことは、同社のツールが大規模にコードを書いて出荷する用途で実際に積極的に使われていることを考えると、リリースの衛生（リリース管理）に関する疑問を呼びます。

リークされたソースコードは、削除要請の強制が進行中でも、アーカイブやミラー形式で引き続き利用可能です。Anthropicは、Venture Beatへのコメント以外に、より広範なポストモーテムや公開声明を出していません。

ユーザーデータは公開されませんでした。中核となるClaudeモデルは影響を受けていません。しかし、Claude Codeの競合を構築するための設計図は、今やかなり組み立てやすくなっています。

FAQ 🔎

• Q: Claude Codeのソースコードリークはハックでしたか？ いいえ—Anthropicは、露出はセキュリティ侵害や不正アクセスではなく、パッケージングエラーだったことを確認しています。
• Q: Anthropicのnpmリークで実際に何が露出しましたか？ Claude Code CLIをカバーする約512,000行のTypeScriptで、テレメトリ、機能フラグ、隠し機能、エージェントのアーキテクチャが含まれています—モデルウェイトや顧客データではありません。
• Q: Claude Codeのnpmインシデントによって私のデータは危険ですか？ Anthropicはユーザーデータや資格情報は公開されていないと言っています。並行してaxiosのサプライチェーン攻撃が行われていた期間中にnpm経由でインストールした開発者は、依存関係を監査し、資格情報をローテーションしてください。
• Q: Anthropicはこれまでにソースコードを漏らしたことがありますか？ はい—2025年2月に、以前のClaude Codeバージョンを対象とする、ほぼ同一のソースマップのリークが発生しており、これにより約13か月で2度目の同種インシデントになっています。