結論: 2026年3月31日、Anthropicが公式npmパッケージのビルドミスでClaude Codeの全ソースコード約51万行を一般公開してしまいました。ユーザーデータ・APIキーの流出はありませんが、未公開機能「KAIROS(常時稼働デーモンモード)」を含む内部設計が世界中のエンジニアに解析されています。
この記事の要点:
- ソースコード512,000行(TypeScript 1,900ファイル)が59.8 MBのソースマップ経由で流出
- 未公開機能44件が発覚。特にKAIROSと呼ばれる自律デーモンモードは開発ロードマップを示唆
- Anthropicは「ヒューマンエラーによるパッケージングミス。顧客データ・認証情報の流出なし」と公式声明
対象読者: Claude Codeを業務利用している開発者・IT部門責任者、AI開発ツールの導入を検討している企業のDX担当者
読了後にできること: 自社のAIツール利用ポリシーと、npmパッケージ管理のリスクチェックをすぐに着手できます
何が起きたのか — 事件の全体像(3月31日〜4月2日)
「えっ、Claude Codeのソースが全部見えてる……?」
2026年3月31日早朝、GitHubとRedditのコミュニティが一気に沸騰しました。セキュリティ研究者のChaofan Shoudが、Anthropicが公式npmレジストリに公開した@anthropic-ai/claude-codeパッケージのバージョン2.1.88に、本来含まれるべきでないファイルが含まれていることを発見したのです。
以下に時系列で整理します。
| 日時(JST) | 出来事 |
|---|---|
| 2026-03-31 早朝 | Claude Code v2.1.88がnpmに公開される(59.8MBのソースマップファイル同梱) |
| 2026-03-31 午前中 | セキュリティ研究者Chaofan Shoudがソースマップ経由でコードベースへのリンクを発見 |
| 2026-03-31 数時間後 | GitHubに約51万行のTypeScriptコードがミラーされ、41,500回以上クローン |
| 2026-03-31 夜 | Anthropicが公式声明を発表。npmパッケージを修正版に差し替え |
| 2026-04-01 | エンジニアコミュニティが解析を進め、未公開機能44件が次々と報告される |
| 2026-04-02現在 | Anthropicが追加の技術的対策を進行中。Rustによる再実装リポジトリも登場 |
「これはリリースパッケージングの問題であり、ヒューマンエラーによるものです。セキュリティ侵害ではありません。顧客データや認証情報は一切含まれていませんでした。再発防止策を展開中です。」
— Anthropic広報(The Register, 2026-03-31)
まず安心していただきたいのは、Claude CodeユーザーのAPIキー、個人情報、会話ログは一切流出していないという点です。Anthropicはこれを明確に確認しています。
Claude Codeとは何か・どう業務に使うかについては、Claude Code入門ガイドで体系的にまとめています。また、AIエージェント全般の最新動向についてはAIエージェント導入完全ガイドもあわせてご覧ください。
技術的な原因 — .npmignoreの1行が引き起こした大事件
なぜこんなことが起きたのか。原因は驚くほどシンプルです。
Claude CodeはBunというJavaScriptランタイム/バンドラーを使ってビルドされています。Bunはデフォルトでソースマップ(.mapファイル)を生成します。ソースマップとは、難読化・圧縮されたコードと元のソースコードを対応させるデバッグ用ファイルです。
本来、本番リリースにはこのソースマップを含めるべきではありません。.npmignoreファイルか、package.jsonのfilesフィールドで除外するのが標準的な実践です。ところが v2.1.88 のビルドパイプラインでは、この設定が漏れていました。
結果として、59.8MBの.mapファイルがパッケージに含まれて公開されてしまいました。このファイルはAnthropicのCloudflare R2ストレージバケット上のZIPアーカイブを指しており、そこにはTypeScript 1,900ファイル、512,000行超のコードベースがそのまま収められていたのです。
# 本来 .npmignore に必要だった1行(または相当する設定)
*.map
*.map.js
# package.json の files フィールドでも対応可能
"files": ["dist/**/*.js", "!dist/**/*.map"]
エンジニアのGabriel Anhaiaはこの件を「.npmignoreかpackage.jsonのfilesフィールドの設定ミス1つで全てが露出する、ありふれた過ちだが今回は規模が巨大だった」と解説しています。
AIツールチェーンのサプライチェーンセキュリティが注目されるなか、依存パッケージ管理の重要性を改めて示した事例です。関連記事として、LiteLLMサプライチェーン攻撃の解説も参考にしてください。
流出したコードの中身 — 44個の未公開機能が明らかに
エンジニアコミュニティが解析した結果、最も注目を集めたのは「まだ公開されていない機能」の存在です。コードベースには44個のフィーチャーフラグが確認され、その多くが本番レベルで開発済みの状態でした。
最大の注目:KAIROS(常時稼働エージェントモード)
コードベース内に150回以上登場するフィーチャーフラグ「KAIROS」は、古代ギリシャ語で「好機・ちょうどよいとき」を意味します。その内容は、Claude Codeを常時稼働のバックグラウンドデーモンとして動作させる仕組みです。
現在のClaude Codeはユーザーが指示を出した時だけ動く「リアクティブ型」ですが、KAIROSを使うと:
- GitHubのWebhookイベントをトリガーにして自動でコードレビューやPRコメントを実行
- Cronスケジュールで定期タスクを自律実行(ジョブの作成・削除・一覧管理も含む)
- ユーザー介入なしにエージェントが自己再起動して長時間タスクを継続
- プッシュ通知経由でエージェントの完了・状態を受信
つまりKAIROSは、人間が眠っている間もClaude Codeが働き続けるインフラです。Anthropicが毎週(隔週)リリースを続けているのは、このような完成済み機能のキューがあるからだという見方もコミュニティで広まっています。
その他の注目機能
- マルチエージェントオーケストレーション: 1つのClaudeがスーパーバイザーとして複数のワーカーClaudeを指揮する構造
- フルボイスコマンドモード: 専用CLIによる音声入力対応
- Playwright統合ブラウザ制御: Webフェッチにとどまらない実際のブラウザ操作
- クロスセッション永続メモリ: セッションをまたいで記憶が継続する仕組み
- 外部Webhookサポート: 任意のサービスとのイベント連携
また、Anthropic社員向けとフラグ付けされた内部ツーリング、187個のローディングスピナーメッセージ動詞リスト、内部システムプロンプトなども含まれていました。
なぜこれが重要なのか — 業界的・技術的な意味
ここからは、100社以上のAI研修・コンサルティング経験から見た実務的な視点でお伝えします。
1. AIツールのサプライチェーンリスクが現実のものに
今回の件は「悪意ある攻撃」ではなく「ミス」ですが、全く同じ経路(npmパッケージへの不正混入)で悪意あるコードが埋め込まれる攻撃が可能なことを示しています。2024-2026年にかけてAI開発ツールを狙ったサプライチェーン攻撃は増加傾向にあります。
企業でClaude Codeやその他のAI開発ツールを使っている場合、使用しているパッケージバージョンの固定(lock file)と定期的な依存関係の監査が特に重要になります。
2. Anthropicのロードマップが一部可視化された
KAIROSをはじめとする未公開機能の存在は、Anthropicが「常時稼働型AIエージェントインフラ」をすでに開発済みであることを示唆しています。これはOpenAIのOperatorやGoogleのDuplexと同じ方向性であり、2026年後半に大きな発表がある可能性があります。
企業のAI戦略担当者にとっては、単純なCLIツールとしてClaude Codeを評価するのではなく、自律エージェント基盤として位置付けて検討する価値があります。
3. AI企業のDevSecOpsへの問いかけ
Anthropicほどのリソースを持つ企業でも、基本的なビルドパイプラインの設定ミスが起きることが明らかになりました。逆に言えば、自社でAI関連ツールを開発・運用している企業はより慎重にCI/CDパイプラインを設計する必要があるということです。
コミュニティの反応 — 評価と懸念はどう分かれたか
楽観論:「透明性が高まった。むしろ良かった」
エンジニアコミュニティの一部からは「Anthropicの設計思想やコード品質が確認できた」「KAIROSのような機能が明かされることで競合ツールの開発が加速する」というポジティブな見方が出ています。実際にRustによるClaude Code再実装リポジトリが数時間で登場し、コミュニティのエンジニアリング能力の高さが改めて示されました。
また、「ソースコードはAnthropicの競争優位ではなく、学習済みモデルとデータパイプラインにある」という意見も多く、ソースコードそのものの漏洩が競争上の致命傷にはならないとの見方が大勢です。
慎重論:「AI企業のセキュリティ文化に疑問」
一方で、「Claude Codeはセキュリティに敏感な企業向けに推進されているツール。その開発元がこの基本ミスを犯したことへの信頼低下は避けられない」という批判的な声もあります。
さらに「今回はミスだったが、npmレジストリに依存するAIツール全体のサプライチェーンリスクを見直すべき時期が来た」という指摘は、多くのセキュリティ専門家が同意しています。
知的財産の観点
GitHubにミラーされたリポジトリのオリジナルアップローダーは、後に「知的財産上の懸念」を理由にTypeScriptコードを削除し、Pythonによるポートに差し替えました。Anthropicの著作権が存在するコードを利用・参照することの法的リスクについては、企業として十分に注意が必要です。
日本企業への影響と実務的な注意点
日本国内でもClaude Codeの企業導入が急速に進んでいます。今回の件を受けて、実務的に確認すべきポイントを整理します。
ユーザー・利用企業への直接的な影響
Anthropicが明確に確認している通り、今回の流出はAnthropicのソースコードのみです。以下は影響を受けていません:
- ユーザーのAPIキー・認証情報
- チャット履歴・プロジェクト内容
- 企業の業務データ(Claude Codeで処理したファイル等)
- Claudeのモデルウェイト(学習済みパラメータ)
現時点でClaude Codeの利用を停止する理由はありません。最新バージョンに更新した上で通常通り使用して問題ありません。
CI/CDパイプラインを持つ企業の確認事項
今回の事件は、自社のAI関連ツール開発・配布プロセスを見直すきっかけにもなります。
# npmパッケージのソースマップ除外チェックリスト
# 1. .npmignoreに以下が含まれているか確認
*.map
src/ # ソースディレクトリ
*.ts # TypeScriptファイル(distのJSのみ配布する場合)
# 2. package.jsonのfilesフィールドで明示的に含めるファイルを指定
"files": [
"dist/**/*.js",
"!dist/**/*.map"
]
# 3. Bun/webpack等のバンドラー設定でsource map生成を本番では無効化
# bun build --target=node --sourcemap=none src/index.ts
自社でAIエージェントやCLIツールを開発・配布している企業は、このチェックリストを開発フローに組み込むことをお勧めします。
今回の事件が示すAIツール管理の3つの教訓
100社以上の企業向けAI研修・コンサルティングを通じて感じるのは、AIツールの「機能選定」には熱心でも「ツール自体のセキュリティ管理」は後回しになりがちだという点です。今回の件は、その盲点を鮮明に映し出しました。
教訓1: AIツールも「ソフトウェアサプライチェーン」の一部である
企業のClaude Codeの使い方はおおむね2種類あります。①開発者が直接CLI上で使う場合と、②社内ツールや自動化パイプラインにClaude Code(またはAnthropic SDK)を組み込む場合です。
後者の場合、npmパッケージの依存関係はそのまま自社システムのサプライチェーンの一部になります。悪意あるパッケージの混入(今回のようなミスではなく意図的な攻撃)が起きれば、自社のコードベースやCI/CD環境全体が影響を受けます。
実際、2024年から2025年にかけてAI関連の人気npmパッケージを標的にした攻撃は増加しています。定期的な依存関係の監査(npm audit / Snyk等)は今や必須の業務プロセスです。
教訓2: 「Anthropicがやった」ということは「他社でも起きうる」
Anthropicは世界有数のAIセーフティ企業です。そこでさえ、.npmignoreの設定漏れというシンプルなミスが本番リリースに紛れ込みました。
これは「Anthropicのセキュリティ文化が低い」ことを意味しません。むしろどれほど優秀なチームでも、人間が作業する以上、こうしたミスは起きうるということを示しています。自社の開発チームで同様のリスクがないか、CIパイプラインのレビューを行う機会として捉えることをお勧めします。
教訓3: 次世代機能の登場は想定より早い
KAIROSをはじめとする44個の未公開機能の存在は、AIツールの機能進化スピードが一般に認識されているより速いことを示しています。
「常時稼働エージェント」「自律的なGitHub連携」「クロスセッションメモリ」——これらは数ヶ月以内に正式公開される可能性が高い機能です。自社のAI活用ロードマップにこれらを織り込んでおくと、競合他社より早く活用体制を整えられます。
企業がとるべきアクション — 5つのポイント
AIガバナンスと企業のAI利用ポリシー設計の観点から、以下の5点を今すぐ実施または検討することをお勧めします。
アクション1: Claude Codeを最新版に更新する(今日)
v2.1.88以降、Anthropicはソースマップを含まない修正版を公開しています。以下のコマンドで最新版に更新してください。
# グローバルインストールの場合
npm update -g @anthropic-ai/claude-code
# バージョン確認
claude --version
アクション2: 社内AI利用ポリシーにサプライチェーンリスク条項を追加する(今週中)
「AIツールを使う」ポリシーから「AIツールの依存パッケージも管理する」ポリシーへのアップデートが必要です。具体的には:
- 使用するAIツールのパッケージバージョンを固定し、更新は検証後に行う
- 定期的な依存関係の脆弱性スキャン(npm audit, Snyk等)を義務化する
- 重大な脆弱性・情報漏洩があった場合の情報収集・対応フローを整備する
アクション3: KAIROSを見据えたAIエージェント戦略の見直し(今月中)
今回の流出で明らかになった「常時稼働型AIエージェント」の近い将来の登場を前提に、自社の業務フローを整理する準備を始めましょう。具体的には:
- 自動化したい定型業務のリストアップ(Cronで自律実行できる候補)
- GitHub Webhookと連携させたいコードレビュー・QAプロセスの洗い出し
- 常時稼働エージェントの稼働コスト(API料金)の事前試算
アクション4: 知的財産リスクの確認(リーガル部門と連携)
流出したソースコードをビジネス目的で使用・参照・派生物の作成を行うことは、Anthropicの著作権を侵害する可能性があります。エンジニアチームに「漏洩コードをコピーしない」「参照しない」ことを明確に周知することをお勧めします。
アクション5: 競合他社の動向ウォッチを強化する
今回の件でKAIROSの存在が明らかになったことで、OpenAI・Google・Microsoftなどの競合がAnthropic追随の製品を加速させる可能性があります。AI開発ツール市場の動向を週次で確認する体制を整えておくと良いでしょう。
具体的には以下のような情報収集チャネルが効果的です:
- Anthropicの公式ブログ(anthropic.com/news)を週次で確認
- Hacker News(Y Combinator)でAI関連のトップ記事を日次チェック
- X(旧Twitter)でAnthropicの公式アカウントと主要エンジニアをフォロー
- GitHubの
@anthropic-aiオーガニゼーションのリリース通知を設定
大企業でのAIツール管理体制の整備方法については、Claude Code企業向けセキュリティガイドも参考にしてください。
まとめ:今日から始める3つのアクション
今回のClaude Codeソースコード流出は、「悪意なきヒューマンエラー」でしたが、AI業界全体のサプライチェーンセキュリティと、AIエージェントの次世代機能という2つの重要な示唆を与えてくれました。
- 今日: Claude Codeを最新バージョンに更新する(
npm update -g @anthropic-ai/claude-code) - 今週中: 社内で使用するnpmパッケージのlock fileとバージョン管理を確認する
- 今月中: 常時稼働AIエージェント(KAIROS的な機能)が使えることを前提に、自動化できる社内業務を洗い出す
AI開発ツールの選定・活用方針についてのご相談は、お問い合わせフォームからお気軽にどうぞ。
参考・出典
- Anthropic accidentally exposes Claude Code source code — The Register(参照日: 2026-04-02)
- Claude Code’s source code appears to have leaked: here’s what we know — VentureBeat(参照日: 2026-04-02)
- Claude Code Source Leaked via npm Packaging Error, Anthropic Confirms — The Hacker News(参照日: 2026-04-02)
- Claude Code source code inadvertently leaked — SC Media(参照日: 2026-04-02)
- Claude Code’s Entire Source Code Was Just Leaked via npm Source Maps — DEV Community(参照日: 2026-04-02)
- Claude Code Source Code Leaked: What’s Inside (2026) — The AI Corner(参照日: 2026-04-02)
著者: 佐藤傑(さとう・すぐる)
株式会社Uravation代表取締役。早稲田大学法学部在学中に生成AIの可能性に魅了され、X(旧Twitter)で活用法を発信(@SuguruKun_ai、フォロワー約10万人)。100社以上の企業向けAI研修・導入支援を展開。著書『AIエージェント仕事術』(SBクリエイティブ)。SoftBank IT連載7回執筆(NewsPicks最大1,125ピックス)。
あわせて読みたい
- Claude Code活用テクニック(AIツールラボ)
