Claude Codeソースマップ流出事件

問題の概要: 2026年3月31日、@anthropic-ai/claude-code npmパッケージのバージョン2.1.88が、59.8 MBのファイルcli.js.mapとともにリリースされた。Bunがビルド中に生成したものだ。誰も.npmignoreに*.mapを追加していなかったため、このマップファイルがtarballに同梱された。この1行の記載漏れにより、Claude Codeのコードベース全体がnpm installを実行した誰もにも届いてしまった。TypeScriptファイル約1,900本、51万2,000行以上、GrowthBookで管理された44個のフィーチャーフラグ、KAIROSというバックグラウンドデーモン、そしてAnthropicの従業員がパブリックリポジトリで作業する際のステルスモードが含まれていた。AI開発ツールにおける偶発的な情報漏洩としては、これ以上のものはない。

あなたへの影響: 2種類の読者がこれを気にする。Claude Codeを日常的に使っているなら、この漏洩はAnthropicが構築しながらもまだリリースしていないもののプレビューであり、あなたがすでに使っているツールの内部構造を見せてくれる。AI開発ツールをより広く活用しているなら、この流出データは年間25億ドルのARRを誇る製品の貴重な内部を見る機会だ。その配線の仕方、防御の方法、そしてそのアーキテクチャを出荷する同じチームが、いかに1行のignoreルールを忘れるかがわかる。

発見したのはChaofan Shou（Xでの@shoucccc）、セキュリティ研究を行うSolayer Labsのインターンだ。バージョン2.1.88に59.8 MBのcli.js.mapが含まれているのを発見し、ダウンロードリンクを東部標準時午前4時23分頃に投稿した。投稿はまたたく間に拡散した。ビュー数は1,600万から2,100万の間に達した。

原因はつまらないものだ。Claude CodeのビルドプロセスはBunで動いている。Bunはデフォルトでソースマップを出力する。これがnpmに届かないようにするのに必要なのは、.npmignoreに*.mapを1行追加するだけだった。その行は一度も追加されなかった。

Claude CodeをAnthropicでリードするBoris Chernyはこれを「単純な開発者のミス」と表現した。彼はまたチームの運営方法を示す一言を残している: 「Claude Codeへの私のコントリビューションの100%はClaude Codeが書いた。」

そして、これが初めてではなかった。同様の流出が2025年2月にも発生しており、2026年3月は少なくとも13ヶ月で2度目となる。また、CMSの設定ミスにより約3,000の内部ファイル（未発表モデルのドラフトブログ記事を含む）が公開された「Mythos」モデルスペック流出からわずか5日後のことだった。

1週間で2件の流出。安全第一を売り文句にするラボにとって、印象は最悪だった。そしてClaude Codeがオープンソースかどうか問い続けていた人たちには、以前より複雑な答えが生まれた。

マップファイルに実際に何が入っていたのか

展開すると、ソースマップは約1,900のTypeScriptファイルを再構築する。規模はこのようになる:

内部にはReactとInkで構築されたカスタムターミナルレンダラーがあり、ゲームエンジンから期待するようなフレームバジェットのチューニングが施されている。クエリエンジンだけで4万6,000行。ベースのツール定義は2万9,000行。Claude Codeが長いセッションをこなしていると感じていた人は、それと知らずに5つのコンテキスト圧縮戦略が働くのを体感していたのだ。

コードには3つのサブエージェント実行モデルが登場する: Fork、Teammate、そしてWorktree。サブエージェントに関するノートを読んできた人なら、外部からのパターンが確認されたことになる。新しい発見は、Claude Codeがタスクの難しさに応じて3つの異なる委任戦略を使い分けているということだ。

プロンプトキャッシュには14個のキャッシュブレークベクターが実装されている。つまりシステムはキャッシュを無効にしうる14の個別条件を監視している。シェル側では、bashSecurity.tsがClaude がコマンドを実行しようとするたびに23の番号付きチェックを実行する。パーミッション管理ガイドでは、これらのゲートが実際どう感じられるかを説明している。

Undercoverモード

最も激しい議論を引き起こした発見はundercover.tsに書かれている、約90行のコードだ。Undercoverモードは、Anthropicの従業員（USER_TYPE === 'ant'）が内部ではないリポジトリでClaude Codeを使うときに有効になる。

起動すると、次のシステムプロンプトを注入する:

You are operating UNDERCOVER in a PUBLIC/OPEN-SOURCE repository.
Your commit messages, PR titles, and PR bodies MUST NOT contain
ANY Anthropic-internal information. Do not blow your cover.

実行中、このモードは次のことをする:

• すべてのCo-Authored-Byアトリビューションを削除し、Claude Codeがコードに触れた痕跡を消す
• 内部のコードネーム、Slackチャンネル、内部リポジトリ名、「Claude Code」という表現をコミットで言及することを禁止する
• Opus 4.7やSonnet 4.8（以下のコードネーム）などの未リリースモデルへの参照をブロックする
• 外部ユーザー向けの強制OFFスイッチがない

通常のビルドにとって、これは関係ない。Undercoverモードの機能全体はnpmに届く前にデッドコード除去される。外部ユーザーが実行するのを見ることは決してない。ただし、これが提起するのは、AI企業がそうと言わずにオープンソースプロジェクトにコントリビュートすることについての本物の問いだ。

Hacker Newsのコメント投稿者がその雰囲気をまとめた: Buddyシステムは「かわいい」、Undercoverモードは「非倫理的だ」と。企業の隠蔽工作と読むか、基本的な情報セキュリティと読むかは立場による。技術的な話はシンプルだ。Anthropicの従業員はClaude Codeをパブリックリポジトリで使っており、このモードが内部の詳細がコミットメタデータに漏れるのを防ぐ。倫理的な話はより複雑だ。AIが生成したコードが、モデルやラボへのアトリビューションなしにオープンソースプロジェクトに入り込む。

皮肉は誰も見逃さなかった。Undercoverモードはコードコントリビューションを通じて内部の秘密が漏れるのを防ぐために存在する。そしてコードベース全体が、パッケージング設定の1行の記載漏れを通じて漏れ出した。

KAIROSというバックグラウンドデーモン

KAIROSはソースに150回以上登場する。この名前は古代ギリシャ語の「適切な時」、つまり行動するのに都合の良い時を意味する。コードの中で、これはClaude Codeの完全に構築されながらもまだリリースされていない自律デーモンモードにマッピングされている。

ファイルが説明する内容はこうだ:

• 自律的な操作: KAIROSは定期的な<tick>プロンプトを受け取り、何かするかどうかを自分で決める
• 永続性: ノートPCを閉じた後も動き続け、再起動をまたいでセッション状態を保持する
• 15秒のブロッキング予算: 1回の意思決定サイクルがマシンを独占しないようにする
• 追記のみのログ: エージェントが消せない日次ログファイルにより、実行内容のクリーンな監査証跡が残る
• 3つの専用ツール: プッシュ通知、ファイル配信、PRサブスクリプション。通常のClaude Codeセッションからはアクセスできない
• GitHubウェブフックのサブスクリプション: あなたのポークを待たずにリポジトリのイベントを監視する

KAIROSは現在の自律エージェントループの先にあるステップだ。通常のClaude Codeセッションでは、あなたがそこに座って承認する必要がある。KAIROSはバックグラウンドで永遠に動き続け、あなたのリポジトリを監視し、適切なタイミングだと判断したときに行動する。

名前の選択は意図的だ。ギリシャの修辞学において、カイロスは適切な瞬間を認識することを意味する。時計時間を意味するクロノスとは対照的だ。KAIROSはcronではない。見ているものに基づいて、自分でいつ動くかを決める。

この機能はまだフラグの裏に隠れており、ローンチ日はヒントされていない。しかし150以上の参照はスケッチではない。スイッチの裏で待機する完成したソフトウェアだ。

AutoDream: Claude が文字通り眠って考える

services/autoDream/の中に、Claudeがアイドル状態のときに実行されるメモリ統合ルーティンがある。そのアイドル時間中、Claudeはかなり文字通りの意味で「夢を見る」。蓄積されたセッションの知識が再構成されて圧縮される。

ドリームサイクルが実行されるには、3つの条件が揃う必要がある:

1. 最後のドリームサイクルから少なくとも24時間経過している
2. 最後の統合から少なくとも5つのセッションが完了している
3. 統合ロック（2つのドリームプロセスが同時に実行されるのをブロックする）がある

3つがすべて満たされると、サイクルが4フェーズで実行される:

1. Orient（方向づけ）: 現在のメモリ状態を見て、何が作業を必要とするかを把握する
2. Gather Recent Signal（最近のシグナルを収集）: 最近のセッションから洞察を引き出す
3. Consolidate（統合）: 新しい知識を既存のメモリに折り込む
4. Prune and Index（プルーニングとインデックス化）: 重複を削除し、MEMORY.mdを200行以下、約25KB以下に保つ

Claude Codeの自動メモリシステムを使ってきたなら、入力を見ることなくこのループの出力を眺めてきた。auto-dreamのユーザー向け側面はすでに説明した。漏洩したソースが4フェーズの形状を確認し、発火する具体的な閾値を明確にする。

2層の反蒸留防御

ソースはまた、蒸留に対する2層の防御も明らかにする。競合他社がClaude Codeの出力を学習することが脅威モデルだ。

レイヤー1: フェイクツール

あるフィーチャーフラグanti_distillation: ['fake_tools']は、サーバーに応答にデコイのツール定義を混ぜるよう指示する。GrowthBookはこれをtengu_anti_distill_fake_tool_injectionというフラグの裏に隠している。Claude Codeのツール呼び出しスタイルを蒸留しようとする競合他社は、意図的に間違ったツールスキーマを学習することになる。

レイヤー2: CONNECTOR_TEXT

完全な推論チェーンをストリームで返す代わりに、サーバーは暗号署名されたサマリーを返す。これにより詳細な思考の連鎖が保護される。これこそ競合のトレーナーが最も欲しがるデータだ。CONNECTOR_TEXTはUSER_TYPE === 'ant'のスコープのみ、つまりAnthropicのスタッフに適用される。外部ユーザーには適用されない。

合わせて見ると、Anthropicは自社のエージェント型コーディングツールに対する蒸留攻撃について真剣に考えており、実際の防御を構築してきたことがわかる。

ULTRAPLAN: 借りたハードウェアで計画する

ULTRAPLANは重い計画タスクをリモートのCloud Container Runtimeに送り出す。そのランタイムはOpus 4.6を最大30分の計画ウィンドウで実行する。ローカルのターミナルは3秒ごとに更新をポーリングし、ブラウザのUIで計画が形成されるのをライブで見て、その場で承認または拒否できる。

Claude Codeの計画モードを使ったことがある人にとって、ULTRAPLANは最大設定版だ。リモートマシン。30分の思考予算。あなたのノートPCより大きなハードウェア。

コードネーム、Tengu、そしてモデル名

「Penguin Mode」はユーザーがFast Modeと呼ぶものの内部名称だ。APIエンドポイントは/api/claude_code_penguin_mode、キルスイッチはフラグtengu_penguins_offだ。このようなコードネームのパターンがコードベース全体を走っている。

漏洩したモデルのコードネーム

Capybaraが面白い。Claude Buddyの種の名前としても登場し、Anthropic自身のexcluded-strings.txtビルドスキャナーをすり抜けるために16進数にエンコードされている。18個のペット種の名前はすべて同じ16進数処理を受けており、隠されたコードネームが単体では怪しく見えないようにしている。

コード品質への批評

この流出は別の会話も引き起こした。人々がコードを読み始めたのだ。年間ARR25億ドルで、発見された内容の一部は眉をひそめるものだった。

print.tsファイル: 5,594行のコード。そのファイルの中に、3,167行の関数が1つある。その関数だけで、多くの完全なアプリケーションより長い。

フラストレーション検出: 正規表現ベースのシステムがユーザー入力を下品な言葉や感情的な苦痛のサインでスキャンする。コミュニティの反応は即座だった: 「LLM企業が感情分析に正規表現を使う？トラック会社が部品の輸送に馬を使うようなものだ。」

187個のスピナー動詞: ローディングスピナーが187個のアクション動詞をサイクルする。コメント投稿者たちはSimCity 2000のローディング画面へのリファレンス「reticulating」を探して全部チェックした。ちゃんと入っていた。

ネストされたコールバック: あるHacker Newsのコメント投稿者はスタックされた.then()チェーンを「バイブスだけの時代の代表作」と表現した。Claude Codeのトップが「ツールが自身のコードベースを書いた」と言っているだけに、AIのコーディングスタイルが今や公開の証拠となっている。

ネイティブクライアント認証: クライアント検証はJavaScript以下、BunのZigレベルのHTTPスタックまで下げられている。これはほとんどの開発者ツールが手を付けるより積極的であり、npmパッケージングが明らかにそうでないにもかかわらず、APIセキュリティは真剣に考えられていることを示している。

コミュニティの反応

反応は素早く動いた。

ミラーとフォーク: あるミラーリポジトリが41,500以上のフォークを記録した。分散型プラットフォームに「絶対に削除されない」というキャッチフレーズとともにコードをミラーした人もいた。

クリーンルームによる書き直し: 韓国の開発者Sigrid Jinが「claw-code」（instructkr/claw-code）というPythonによるクリーンルーム書き直しを公開した。約2時間でGitHub スターが75,000に達し、GitHubが見た中でもおそらく最速の成長だろう。

DMCAテイクダウン: Anthropicはミラーに対してDMCA通知を送った。標準的な対応だ。それでも批判を浴びたのは、コードがラボ自身のパッケージングミスで公開されたからだ。

ミームコイン: 誰かがSolana上で$Nebulynxを立ち上げた。最もレアなClaude Buddyのバリアント（Shiny Legendary）に連動している。当然のなりゆきだ。

同時多発の混乱: 偶然にも同じ日、Axiosを介した無関係なnpmパッケージへのサプライチェーン攻撃が発生した。結果として、npmエコシステムが偶発的な企業の流出と意図的なセキュリティ攻撃に同時に対処する非常に奇妙な24時間となった。

報道: CNBC、Fortune、Gizmodo、VentureBeat、Axios、The Register、Decrypt、Cybernews、The Hacker Newsがすべて取り上げた。

これが意味すること

Anthropicにとって

Anthropicは年間収益190億ドルの位置にある。Claude Code単独でARR25億ドルを上げる。同社はおよそ3,800億ドルの評価額で10月のIPOを準備中と報じられている。1週間で2件の流出（ソースマップとMythos）は、ブランドと評価額の下に位置する安全第一のストーリーを傷つける。

AIセキュリティ企業のStraikerが新たな問題を指摘した。コードが公開されたことで、攻撃者はClaude Codeの4段階コンテキスト管理パイプラインを通じたデータの流れを追跡し、以前は見えなかった攻撃ベクターを探せるようになった。フィーチャーフラグとロードマップも、GitHub Copilot、Cursor、そしてAIコーディングツールに取り組む他の全員に対して可視化された。

Claude Codeを使う開発者にとって

この漏洩が明らかにすることが1つある。Claude Codeのアーキテクチャは本当によく設計されている。5つのコンテキスト圧縮戦略。14個のキャッシュブレークベクター。Bashコマンドへの23のセキュリティチェック。3つのサブエージェント実行モデル。これはAPIのラッパーではない。深いシステムだ。

次に来るもの（KAIROS、ULTRAPLAN、AutoDreamの改良）は、ほとんどのユーザーが現在使っているセッションベースのモデルではなく、常時オン・自律的な操作を指している。Claude Codeを中心にワークフローを構築しているなら、最終的な自律的運用を念頭に置いて設計することが今すぐ価値のあることだ。

オープンソース論争にとって

流出後に人々がGoogleで最初に検索したこと: Claude Codeはオープンソースか？技術的には、Anthropicがリポジトリを公開することを選んで以来、ソースはGitHubで見えている。しかし「ソースが見られる」と「オープンソース」は同じではない。ライセンスは再配布や改変を許可していない。だからAnthropicはミラーにDMCAを送ることができた。npmの流出は、ソースマップも含めた完全なコードベースを、読み取れるTypeScriptとして再構築された形で、より多くの人の手に届かせた。そのことはライセンスを何も変えていない。

Anthropicの声明は短かった: 「機密性の高い顧客データや認証情報は関係していない。人的ミスによるリリースパッケージングの問題であり、セキュリティ侵害ではない。」最初は実際にパッケージを削除する代わりにnpmのdeprecatedフラグを使ったことで、対応の遅さへのさらなる批判を招いた。公式の事後報告書はまだ出ていない。

よくある質問

Claude Codeのソースコード流出とは何か？

2026年3月31日、@anthropic-ai/claude-code npmパッケージのバージョン2.1.88が、59.8 MBのソースマップファイル（cli.js.map）とともにリリースされ、完全なTypeScriptソースが公開された。このファイルは約1,900のソースファイルと51万2,000行以上のコードを再構築し、隠し機能、内部コードネーム、KAIROSバックグラウンドエージェントやUndercoverモードなどの未リリース機能を明らかにした。

Claude Codeはオープンソースか？

Claude Codeのソースは GitHub で見られるが、ライセンスの意味ではオープンソースではない。ライセンスは再配布や改変を許可していない。npmの流出によりソースマップを通じてより多くの人がフルソースにアクセスできるようになった。Anthropicは著作権を保持しており、無許可のミラーに対してDMCA通知を提出した。

Claude Code Undercoverモードとは何か？

Undercoverモードは、Anthropicの従業員が内部ではないリポジトリでClaude Codeを使うときにオンになる機能だ。Co-Authored-Byアトリビューションを削除し、コミットで内部の詳細を言及することを禁止し、未リリースモデルへの参照をブロックする。コードが公開ビルドに届く前にデッドコード除去されるため、通常のユーザーには影響しない。

Claude CodeのKAIROSとは何か？

KAIROSはClaude Codeのソースに150回以上参照されている未リリースの自律デーモンモードだ。「適切な時」というギリシャの概念にちなんで名付けられ、セッションをまたいで永続するバックグラウンドエージェントで、定期的なtickプロンプトを受け取り、通知の送信やGitHubウェブフックの監視などを自律的に決断できる。発表されたローンチ日なしにフィーチャーフラグの裏にある。

流出で見つかったモデルのコードネームは何か？

流出によりいくつかの内部コードネームが明らかになった: Tengu（Claude Codeのプロジェクトコードネーム）、Capybara（新しいモデルファミリー、漏洩したMythosモデルの可能性あり）、Fennec（Opus 4.6）、Numbat（未リリースモデル）。Opus 4.7とSonnet 4.8への参照がUndercoverモードの禁止文字列リストで見つかり、両モデルが開発中であることが確認された。

Claude Codeの流出はどのように起きたか？

Bunランタイムはビルド中にデフォルトでソースマップを生成する。Anthropicの誰も.npmignoreに*.mapを追加しなかったため、ソースマップが公開されたnpmパッケージの中に乗って行ってしまった。Claude CodeのトップBoris Chernyはこれを「単純な開発者のミス」と表現した。これは少なくとも2025年2月の同様の流出に続く2度目だった。