2026年3月31日、AI開発企業Anthropicが提供するCLIベースのコーディング支援ツール「Claude Code」のソースコード全容が、オープンなnpmレジストリを通じて誰にでもアクセス可能な状態になっていたことが判明した。サイバーセキュリティ研究者Chaofan Shou氏の公表により発覚したこの事象は、高度なサイバー攻撃や内部犯行によるものではない。開発パイプラインにおける初歩的な設定ミスが引き金となっている。

公式のnpmパッケージ「@anthropic-ai/claude-code」の中に、TypeScriptプロジェクトのビルドプロセスで生成されるソースマップ(.mapファイル)が誤って同梱されていた。このファイルは、コンパイル・圧縮された暗号のような実行用コードを、人間が読める元のソースコードにマッピングしてデバッグを容易にするためのものである。このソースマップ内に、難読化されていない元のコードが格納されているAnthropicのCloudflare R2ストレージバケットへの直接的な参照が含まれていた。結果として、誰もがZIPファイルをダウンロードし、51万2,000行以上の未圧縮コードを展開できる状態になっていたのだ。

Anthropicの広報担当者はメディアの取材に対し、「顧客データや認証情報は含まれておらず、セキュリティ侵害ではなく人的エラーによるリリースパッケージングの問題である」と事実関係を認めている。すでにソースマップを除外した修正版パッケージが再公開されているが、流出したコードはGitHub上で数万回以上フォークされ、研究者や競合他社の手元に渡っている状態だ。

AD

情報流出のメカニズムと皮肉な実態

今回流出したコードベースは、約1,900のファイルで構成されるClaude Codeのsrc/ディレクトリ全体である。Bunランタイムを使用し、ReactとInkを用いて構築されたターミナルUIフレームワークの実装から、APIクライアントロジック、OAuth 2.0認証フロー、そして約40種類のエージェントツールに及ぶ。

注目すべきは、情報漏洩を防ぐために設計されたセーフガードのコードそのものが、情報漏洩の憂き目に遭っているという事実である。流出したコード内には「Undercover Mode」と呼ばれるモジュールが存在する。これは、Claudeが自社の内部情報(「Tengu」というプロジェクトコードネームやSlackの社内チャンネル名など)を外部のパブリックリポジトリやユーザー応答に漏らさないよう、システムプロンプトに動的な制約を注入するメカニズムだ。機密情報を守るために数時間から数日をかけて設計された複雑なシステムが、設定ファイル(package.jsonのfilesプロパティや.npmignore)の一行の欠落によって全世界に公開された。

本番環境にソースマップを含めることは、ウェブ開発のベストプラクティスにおいて避けるべき行動として広く認知されている。開発者体験を優先する現代のビルドチェーンは、デフォルト設定で容易にデバッグ情報を含むバンドルを生成する。このギャップが引き起こした事故は、強力なLLM(大規模言語モデル)の内部構造よりも、古典的なリリース管理の盲点がいかに重大な結果をもたらすかを示している。

コードベースが明かすAIエージェントの深層構造

流出したコードの分析からは、Claude Codeが単なるターミナルエミュレータ上のチャットボットではなく、精緻に設計されたエージェントアーキテクチャを有していることが読み取れる。

中心となるQueryEngine.ts(約46,000行)は、コアとなるLLM APIエンジンの制御プロセスを司る。ここでは、ストリーミングデータブロックの処理、トークンの消費トラッキング、そしてモデルとツールの間で発生するフィードバックループの精密な時間管理が実装されている。さらにTool.ts(約29,000行)では、CLIがホストマシンのファイルシステムやシェルと対話するための厳密な権限モデルが確認できる。

セキュリティとリスク管理の手法も白日の下に晒された。全てのツールアクションは低リスク、中リスク、高リスクに明確に分類されており、対象となるファイルパス(たとえば.gitconfig.bashrcといったシェル環境設定ファイル)に対する保護リストが存在する。さらに、機械学習モデルを利用してツール操作の安全性を自動判定・自動承認する「YOLO」と呼ばれる分類器の存在や、パストラバーサル(ディレクトリトラバーサル)攻撃をクライアント側で防ぐためのパス検証ロジックも詳細に解析可能となっている。

また、AIに指示を与える「システムプロンプト」の全構造が露呈したことは、リバースエンジニアリングの観点で極めて価値が高い。プロンプトをモジュール化して構成する柔軟な仕組みや、静的な文脈と動的な文脈の境界を定義する構造、そしてAPIコールバックにおけるプロンプトキャッシングの効率的な戦略がソースコードから読み取れる。

AD

次世代プロジェクト「KAIROS」と自律型AIへの進化

コード内には、107個に及ぶフィーチャーフラグが含まれており、Anthropicが目指している次世代プロダクトの具体的なロードマップが如実に示されている。特に注目を集めているのが「KAIROS」という未公開プロジェクト関連の記述である。

現在、多くのAIコーディングアシスタントはユーザーの明示的なコマンド(トリガー)を起点として動作するリアクティブな設計を採用している。しかし、KAIROSプロジェクトに関連するPROACTIVEフラグやDAEMONフラグの存在は、Claude Codeをバックグラウンドで常駐し、ユーザーのファイル変更やコンパイルエラーを検知して自律的に行動を提案・実行する「プロアクティブなエージェント」へと進化させる計画を明らかにしている。

加えて、「KAIROS_DREAM」と名付けられたメモリ管理機能の実装は、システム設計として非常に高度なアプローチを採っている。この機能は、ユーザーが作業を停止しているアイドル時間(24時間ごとの自動発火)を利用し、AI自身がシステム内で過去のセッションログを遡る。過去5セッション以上の活動履歴から有用なパターンやコンテキストを抽出し、矛盾する一時的な古い記憶を修正した上で、インデックスサイズを25KB以下に圧縮・整理する。これにより、長期的なタスクにおいてもコンテキストの破綻を防ぎ、よりユーザーのローカルな作業環境に最適化された応答が可能になる。

さらに、「ULTRAPLAN」と呼ばれる機能拡張フラグは、30分以上に及ぶ複雑なソフトウェア設計やアーキテクチャ計画を、遠隔のクラウドコンテナ上で動作する高性能モデル(Opus 4.6と表記されている)にオフロードして実行させる構想を含んでいる。その他にも音声入出力を想定したVOICE_MODEやブラウザ操作を内蔵するWEB_BROWSER_TOOLなど、CLIの枠を超えたマルチモーダルな拡張計画も明らかになった。

マルチエージェント体系「Coordinator Mode」の衝撃

Anthropicは単一の巨大なコンテキストコンテナであらゆる作業を処理するのではなく、責任を分割したマルチエージェント協調モデルへと移行している。「Coordinator Mode」のコードセクションは、その具体的な指揮系統の手法を提示している。

このモードでは、全体を統括する「Coordinator」エージェントが、特定のタスクに最適化された複数の「Worker」エージェントを動的に生成し、並行して管理する。例えば、コードベース全体を走査して情報を収集する「Explore Agent」、システム設計を練り上げる「Plan Agent」、実装されたコードの正当性を確認する「Verification Agent」などが個別に稼働する。

ここで重要なのは、探索や計画を担当するエージェントにはファイルシステムへの書き込み権限を持たない「READ-ONLY」制約が強制されている点だ。「何らかの変更を加えるモデル」と「情報を読み取るだけのモデル」をアーキテクチャレベルで分離することで、予期せぬ破壊的変更(無限ループによるファイルの大量上書きなど)のリスクを理論上低減させる。この精緻な権限分離モデルと非同期通信プロトコルは、エンタープライズ領域におけるAIエージェントの安全性設計において指標となる可能性を秘めている。

AD

技術業界全体に波及する戦略的影響

このソースコード流出がAnthropicのビジネス基盤そのものを破壊することはない。Claude Codeの実質的な価値の源泉は、クラウド側で稼働するLLM自体の高度な推論能力と、それを支える膨大なコンピュートリソースにある。流出したのはあくまでクライアント側のオーケストレーションロジックとインターフェース部であり、AIの頭脳そのものが奪われたわけではない。

しかし、製品開発の戦略的観点から見れば、競合他社に対して決定的な青写真を提供したのも同然である。主要な競合プレイヤーは、Anthropicのエンジニアリングチームが多大なリソースを投じて確立した「三段階のトリガー評価システム」や「プロンプトの動的キャッシング機構」、そして先述のマルチエージェントによるファイルシステムの安全な権限分離ロジックを手に取って分析することができる。これにより、競合各社は設計初期の試行錯誤や袋小路を完全にスキップし、アーキテクチャのアップデートを劇的な速度で進めることが可能になる。

また、将来展開されるはずだったKAIROSやULTRAPLANといった未公開機能の存在が公知となったことで、市場における情報の優位性は失われた。Anthropicは競合に先を越されるリスクを防ぐため、品質検証に時間をかけるはずだった新機能のリリーススケジュールを前倒しするなどの戦略的な調整を迫られる可能性が高い。開発パイプラインにおける小さなミスが、結果としてAIコーディングツール市場全体の劇的な技術的底上げと開発競争の激化を誘発することとなった。


Sources