Claude Codeソースコード流出:512,000行のTypeScriptが丸見えに
Mythosリークから5日後、Anthropicはnpmのパッケージングミスでclaude Codeの全ソースコードを流出させた——1,900ファイル、512,000行。
要点: 2026年3月31日、セキュリティ研究者Chaofan Shouが@anthropic-ai/claude-code npmパッケージのバージョン2.1.88に59.8MBのJavaScriptソースマップファイルが含まれていることを発見した。そのマップはAnthropicのCloudflare R2ストレージバケット上の公開zipアーカイブを参照していた。中身は約1,900のTypeScriptファイル、合計512,000行超のコード。44個の未リリース機能のfeature flagも含まれていた。GitHubのバックアップリポジトリは41,500回以上フォークされ、Anthropicが対応する前に手遅れになった。Anthropicは「リリースパッケージングの問題で、人為的ミス。セキュリティ侵害ではない」と説明。Fortuneは「5日間で2度目の重大セキュリティ事故」と報じた。
Mythosリークから5日後:Anthropicがまたやった
3月26日のCMS設定ミスで約3,000件の未公開ファイルが露出し、Claude Mythosのブログ草稿を含む内部資料が明るみに出た。サイバーセキュリティ株の約4,000億ドル規模の売りを引き起こした。
その5日後、3月31日。またやった。
今度のベクターはCMSではなくnpm——世界中の何百万ものJavaScript開発者が毎日使うパッケージマネージャだ。Fortuneはこれを「1週間足らずで2度目の重大セキュリティ事故」と位置づけた。
Claude Codeソースコードはどうやって流出したか
@anthropic-ai/claude-code npmパッケージの2.1.88にJavaScriptソースマップファイルが含まれていた。59.8MB——本番パッケージとしては異常に大きい。ソースマップは開発用のアーティファクトで、バンドルされたJavaScriptを元のソースコードに対応づけるもの。通常は本番ビルドで除外する。
このソースマップ自体にはフルソースは直接含まれていなかった。ただし、AnthropicのCloudflare R2バケット上のzipアーカイブを参照していた。バケットはアクセス制御なしで公開状態。ソースマップの参照先を辿れば、誰でもソースコードにたどり着ける。
zipには約1,900のTypeScriptファイル、計512,000行超——Claude Code(Anthropicのコマンドラインアシスタント)の完全なソースツリーだ。
曝露の連鎖は単純だった:ビルドパイプラインがソースマップを除外せず、参照先のバケットにアクセス制御がなかった。どちらか一方だけなら全ソース流出には至らなかった。だが二つが重なった。
誰がClaude Codeリークを発見したか
Chaofan Shouが3月31日(火曜日)の朝に発見し、ソースマップの異常なサイズとアクセス可能なR2バケットURLを公開した。
数時間以内にコードのミラーリングが始まり、GitHubバックアップリポジトリは41,500回以上フォークされた。Anthropicのテイクダウン要求が間に合う速度ではなかった。
Claude Codeソースコードの中身
流出したコードベースは44個のfeature flagを含んでいた。4つが特に注目された:
KAIROS: コードベース全体で150回以上参照。自律的なデーモンモード——ユーザーの操作なしに持続実行するバックグラウンドエージェント。詳細はKAIROSデーモンモード。
BUDDY: 18種類のターミナルペットシステム。コーディング中に端末上にアニメーションの仲間を表示する。
COORDINATOR MODE: 単一のClaude Codeセッションから複数の並列ワーカーエージェントを起動・管理。マルチエージェントアーキテクチャ。
ULTRAPLAN: 10〜30分のリモートマルチエージェント計画セッション。複雑なタスクを複数エージェントが並列で処理。
44個のfeature flag全体の分析はClaude Code Feature Flag全カタログで。
Anthropicの対応
公式声明:「リリースパッケージングの問題で、人為的ミス。セキュリティ侵害ではない。」顧客データ、APIキー、認証情報は含まれておらず、流出はAnthropic自身のアプリケーションコードに限定されたと強調した。
5日前のMythosリーク対応とほぼ同じ言い回しだった——どちらも外部攻撃やシステム的脆弱性ではなく内部エラーに帰結させている。
ソースマップがいつからパッケージに含まれていたか、2.1.88以前のバージョンも影響を受けたか、ビルドパイプラインの何が変わったかは開示されていない。
Claude Codeリークが開発者に意味すること
オープンソースコミュニティの反応は複雑だった。npmパブリッシングパイプラインの監査不足を懸念する声と、Anthropicがどうやってai開発ツールを構築しているかを初めて詳しく見れた機会を歓迎する声が入り混じった。
流出コードは、Claude Codeが大規模言語モデルとローカル開発環境の連携をどう編成しているかの初の詳細な視点を提供した。エージェントアーキテクチャ、ツール呼び出しパターン、プロンプトエンジニアリング戦略が即座に分析対象になった。
Claude Codeはオープンソースではない。ユーザーはブラックボックスとして使っている。今回の事故で、ワークフローに直接影響する意思決定——コンテキストの管理方法からツール呼び出しの優先順位まで——が可視化された。コードはすでに永久に公開領域に入った。
関連ページ
- KAIROSデーモンモード — 流出コードに見つかった自律バックグラウンドエージェント
- Claude Code Feature Flag全カタログ — 44個の未リリース機能
- 5日で2度のリーク:Anthropicのセキュリティ危機 — 比較分析
- リークタイムライン — 両事件の時系列