51万2,000行。1,900ファイル。
2026年3月31日、Anthropicが開発するAIコーディングツール「Claude Code」のソースコードが、npmレジストリを通じて世界中に公開された。
ハッキングではない。サイバー攻撃でもない。ビルド時にsource mapファイルを消し忘れた、ただそれだけのことだった。
セキュリティ研究者のChaofan Shou氏がX上で指摘してからわずか数時間。Anthropicが削除に動く前に、GitHubには複数のバックアップリポジトリが立ち上がっていた。
AI安全性を社是に掲げる企業の、最も皮肉な事故だった。
npmに残された57MBの「忘れ物」
発端は、npmレジストリに公開されたClaude Codeのパッケージだった。
バージョン2.1.88。そこに、本来含まれるべきではない57MBのsource mapファイルが同梱されていた。source mapとは、ミニファイ(圧縮・難読化)されたコードを元のソースコードに逆変換するためのファイルだ。
開発中のデバッグには不可欠だが、本番環境のnpmパッケージに含めるものではない。
原因はシンプルだった。Claude CodeはJavaScriptランタイム「Bun」のバンドラーを使用している。Bunはデフォルトでsource mapを生成する。明示的にオフにしない限り、ビルド成果物にsource mapが含まれる。
.npmignoreに*.mapを追加する。たったこれだけの設定が抜けていた。
| 項目 | 詳細 |
|---|---|
| 対象バージョン | Claude Code v2.1.88 |
| source mapサイズ | 約57MB |
| 流出ファイル数 | 約1,900ファイル |
| 流出コード行数 | 512,000行以上 |
| バンドラー | Bun(デフォルトでsource map生成) |
| 原因 | .npmignoreの設定漏れ |
Chaofan Shou氏がXに投稿したのは日本時間3月31日の午前。その後、複数の開発者がソースコードをダウンロードし、GitHubにミラーリポジトリを作成。Anthropicは速やかにnpmパッケージを更新して削除したが、インターネットに一度放たれた情報は回収できない。
コードが語る「Claude Codeの中身」
流出したコードは、Claude Codeのクライアント側——つまり開発者のPCで動作するCLIツールの全容だった。
モデルの重み(weights)やトレーニングデータは含まれていない。Claudeの「知能」そのものは漏れていない。だが、それを操る「手」の設計図が、完全に露出した。
技術スタックは以下の通りだ。
| レイヤー | 技術 |
|---|---|
| ランタイム | Bun(Node.jsではない) |
| UIフレームワーク | React + Ink(ターミナルUI) |
| 内蔵ツール | 約40種 |
| スラッシュコマンド | 約50種 |
| クエリエンジン | 約46,000行 |
| エージェントオーケストレーション | マルチエージェント「Swarms」 |
| IDE連携 | JWT認証によるブリッジシステム |
ターミナルのUIをReactで描画する。一般的なCLIツールの発想を超えた設計だ。
Hacker Newsの解析スレッドでは、コード品質への指摘も相次いだ。print.tsという単一ファイルが3,167行。486の分岐点に12段のネスト。エージェントループ、レートリミット、AWS認証、MCPライフサイクルが1ファイルに詰め込まれている。
リバースエンジニアリングで算出されたAPI失敗率は16.3%。3,539件のリクエストのうち、9.3%がサーバー過負荷、4.4%がアボート失敗、1.3%がウォッチドッグタイムアウトだったという。
「たまごっち」と「夢を見るAI」——未公開機能の全容
開発者コミュニティが最も色めき立ったのは、コードに埋め込まれた未公開機能の数々だった。
BUDDY——AIたまごっち
Claude Codeのターミナルに住みつくAIペット。全18種のキャラクター(アヒル、ドラゴン、ウーパールーパー、カピバラ、キノコ、ゴーストなど)が用意され、レアリティは5段階。最高ランクの「レジェンダリー」は出現率1%だ。
各キャラクターには5つのステータスがある。DEBUGGING(デバッグ力)、PATIENCE(忍耐力)、CHAOS(混沌度)、WISDOM(知恵)、SNARK(皮肉度)。コード内の記述によれば、4月1日から7日までティザー公開し、5月に本格リリースする計画だった。
エイプリルフールのジョークか、本気のエンゲージメント施策か。コミュニティの見解は割れている。
KAIROS——「常時起動するClaude」
最もインパクトが大きかったのがKAIROSだ。「Always-On Claude」の名を持つ常駐アシスタントモード。
セッションを終了しても動き続ける。メモリログをプライベートディレクトリに保存し、夜間には「ドリーミング」と呼ばれるプロセスでログを整理する。さらに、ユーザーの指示がなくてもタスクを自律的に開始する機能が実装途中だった。
KAIROSがアクティブな場合、「Brief」と呼ばれる超簡潔な出力モードに切り替わる。常駐するアシスタントがターミナルを埋め尽くさないための設計だ。
Capybara——未発表のモデルファミリー
流出コードには「Capybara」という新しいモデルファミリーへの参照が含まれていた。3つのティアに分かれている。
| ティア | 想定用途 |
|---|---|
| capybara | 標準モデル |
| capybara-fast | 高速推論モデル |
| capybara-fast[1m] | 100万トークンコンテキスト対応の高速モデル |
コード内では「Capybara v8」と記され、「Tengu」「Fennec」など他のコードネームも確認されている。既存のClaude 4.5/4.6ファミリーとは別系統の新モデルを準備していた可能性がある。
その他の未公開機能
流出コードからは、他にも複数の未公開機能が確認された。
- ULTRAPLAN: 30分間のリモート計画モードで、複雑なタスクの設計をクラウド側で実行する
- Coordinator Mode: 複数のエージェントを統括するオーケストレーション機能
- Workflow Scripts: 定型作業の自動化スクリプト
- ユーザー感情検知: 正規表現でユーザーの怒りや苛立ち(罵倒語、「continue」の繰り返し)を検出し、テレメトリとして記録する仕組み
「情報漏洩を防ぐ仕組み」が漏洩した皮肉
流出コードの中で、最も皮肉な発見があった。
「Undercover Mode」。Anthropicの社内情報がオープンソースへの貢献を通じて漏れることを防ぐための仕組みだ。メタデータからAnthropicの痕跡を消し、社内ツールであることを隠す機能が実装されていた。
情報漏洩を防ぐための仕組みそのものが、source mapの消し忘れという初歩的なミスで流出した。
もうひとつ注目すべきは「Anti-distillation Defense」だ。競合他社がClaude Codeの挙動を模倣してモデルを蒸留(distillation)することを防ぐため、デコイのツール定義を注入する仕組みが組み込まれていた。AIの知的財産を守るための防衛策が、今回の流出で丸裸になった格好だ。
開発者コミュニティの温度差
Hacker Newsでは500件を超えるコメントが飛び交い、反応は大きく3つに分かれた。
「教育的価値がある」という声がまずあった。最先端のAIエージェントがどう設計されているか、51万行のリアルなコードで学べる機会は滅多にない。React + InkでターミナルUIを構築する手法、マルチエージェントの協調設計、ツールシステムのアーキテクチャ。AIエージェントを自作したい開発者にとっては、教科書以上の教材だ。
一方で、「コード品質に問題がある」という指摘も目立った。3,000行超えの巨大ファイル、テストカバレッジの不足、デッドコードの放置。「AI自身がコードの大部分を書いているのではないか」という推測も飛び交った。AI時代の開発チームが抱える構造的課題が、図らずも可視化された形だ。
「基本的なオペレーションの失敗だ」という冷ややかな見方もある。AI安全性を事業の根幹に据える企業が、npmパッケージの設定ひとつで全ソースコードを流出させた。セキュリティの信頼性に傷がつくのは避けられない。
Anthropicにとっての「損害」は何か
冷静に整理すると、今回の流出で「漏れなかったもの」も大きい。
モデルの重み、トレーニングデータ、サーバーサイドのインフラ設計。Claudeの知能の核心は守られている。流出したのはあくまでクライアント側のCLIツールだ。
だが、漏れたものの影響は小さくない。
開発ロードマップが露出した。Capybara、KAIROS、BUDDY。どのような機能をいつリリースするつもりだったか、競合各社は手に取るように把握できる。OpenAI、Google、Cursor。彼らにとって、これは願ってもない情報だ。
パーミッションモデルの全容が読める。ツールの承認フロー、ファイルアクセスの制御、実行境界の判定ロジック。セキュリティ研究者にとっては有益だが、攻撃者にとっても同じことが言える。
システムプロンプトの全文も流出した。Anthropicがどのようにモデルの振る舞いを制御しているか、指示の全文が読める状態になっている。
Fortune誌は3月26日、Anthropicが未発表モデルの情報とCEO限定イベントの詳細を公開データベースに放置していたと報じていた。同じ月に2件の情報管理事故。偶然の一致と呼ぶには、タイミングが悪すぎる。
source mapひとつで変わる景色
AIコーディングツールは、開発者のマシンで最も深い権限を持つソフトウェアになりつつある。ファイルを読み書きし、コマンドを実行し、APIキーにアクセスする。
その「中身」が誰でも読める状態で公開された。
模倣品が出回るだろう。セキュリティの穴が精査されるだろう。競合はロードマップを参考にするだろう。
だが一方で、コードの公開が結果としてエコシステムを強くする可能性もある。脆弱性は早く発見され、アーキテクチャは検証され、開発者コミュニティの知見が蓄積される。
Anthropicが意図した「オープンソース化」ではなかった。だが、AIコーディングツールの内部構造がここまで詳細に公開された前例はない。
.npmignoreに一行追加するだけで防げた事故が、業界の景色を変えようとしている。
出典・参考
- Chaofan Shou氏 X投稿(2026年3月31日)
- Hacker News「Claude Code's source code has been leaked via a map file in their NPM registry」
- DEV Community「Claude Code's Entire Source Code Was Just Leaked via npm Source Maps — Here's What's Inside」
- CyberSecurity News「Anthropic's Claude Code Source Code Reportedly Leaked Via Their npm Registry」
- Fortune「Anthropic left details of an unreleased model in a public database」(2026年3月26日)
- GitHub: Kuberwastaken/claude-code「Claude Code's Source Code & Breakdown」
