Anthropicがnpmの設定ミスによりClaude Codeのソースコードを公開

Anthropicは、2026年3月31日に@anthropic-ai/claude-codeパッケージのバージョン2.1.88の一部として、誤設定されたソースマップファイルがnpmレジストリに公開されたことで、Claude Code AIエージェントの完全なソースコードを誤って公開してしまいました。

59.8 MBのファイルには、1,906ファイルにまたがる約512,000行のTypeScriptが含まれており、エージェントの3層メモリアーキテクチャ、KAIROSという自律デーモンモードへの言及、Capybara（Claude 4.6 (variant)）やFennec（Opus 4.6）を含む内部モデルのコードネーム、さらにAI関与を開示せずにオープンソースリポジトリへの「アンダーカバー」貢献を可能にする機能が明らかになりました。

ソースコードの漏えいによりClaude Codeの3層メモリアーキテクチャが判明

リークされたソースコードは、Anthropicが高度なメモリシステムによって長時間のコーディングセッションを管理するためにClaude Codeをどのように構築したかを詳述していました。中核にあるのは、完全な情報ではなく短い参照を保存する軽量なファイルMEMORY.mdで、より詳細なプロジェクトノートは別に保存され、必要なときだけ取得されます。過去のセッション履歴は、一度にすべて読み込むのではなく選択的に検索されます。システムはまた、行動を起こす前にメモリを実際のコードと照合します。これは、ミスや誤った前提を減らすことを目的とした設計です。

リークは、エージェントに対して自身のメモリを「ヒント」として扱い、進める前にコードベースに照合して検証するよう指示していることを示しました。このアプローチは「Strict Write Discipline」として説明されており、失敗した試行によってモデルがコンテキストを汚すことを防ぎます。メモリアーキテクチャは、開発者が「context entropy」と呼んだ問題、つまり長時間のセッションが複雑さを増すにつれてAIエージェントが混乱したり幻覚的になる傾向を解決するよう設計されています。

KAIROS自律モードとアンダーカバー機能が露呈

ソースコードは、KAIROSという名前で繰り返し言及されていた機能に触れており、これはエージェントが直接のプロンプトを待たずにバックグラウンドで動き続けられるデーモンモードとして説明されていました。関連するプロセスautoDreamは、アイドル期間中にメモリの統合を行い、矛盾を突き合わせて、暫定的な観察を検証済みの事実へと変換します。

最も機微な開示の1つには、Undercover Modeとして説明された機能が含まれていました。復元されたシステムプロンプトは、Claude Codeが公開されたオープンソースリポジトリに貢献する際に、AIが関与していることを明かさずに行動するよう指示しており、コミットメッセージや公開されたgitログにおいても、Anthropicのコードネームなどの内部識別子を露出させない具体的な指示が含まれています。リークを確認した開発者は、Playwrightによるブラウザ自動化への言及を含む、数十もの隠された機能フラグも見つけたとのことです。

内部モデルのパフォーマンス指標と開発ロードマップが露呈

リークは、内部モデル名とパフォーマンスデータを明らかにしました。ソースによれば、CapybaraはClaude 4.6 (variant)のバリアントを指し、FennecはOpus 4.6のリリースに対応し、Numbatはプリローンチのテスト段階のままです。内部ベンチマークでは、最新のCapybaraバージョンの虚偽主張率が29%から30%であり、以前のイテレーションでの16.7%から上昇していました。また、ユーザーのコードをリファクタリングする際にモデルが過度に攻撃的にならないよう設計されたassertiveness counterweight（自己主張の釣り合いを取る仕組み）への言及もソースにありました。

リークされた資料には、Anthropicの権限エンジン、マルチエージェントのワークフローのオーケストレーションロジック、bashのバリデーションシステム、そしてMCPサーバーのアーキテクチャも含まれており、競合に対してClaude Codeがどのように動作するかを詳細に示しています。Claude Codeは、2026年3月時点で年換算のリカーリング収益が2.5億ドルに達し、収益の80%がエンタープライズ導入によるものだと報じられています。

競合するnpmサプライチェーン攻撃がセキュリティリスクを増幅

ソースの露出は、別のサプライチェーン攻撃とも時期が重なっていました。axiosのnpmパッケージに対する悪意あるバージョンが、UTCの3月31日00:21から03:29の間に配布されていました。その期間中にnpm経由でClaude Codeをインストールまたは更新した開発者は、リモートアクセス型トロイの木馬を含む侵害済みのaxiosバージョン（1.14.1または0.30.4）を取り込んだ可能性があります。

Anthropicは声明でリークを確認し、Claude Codeのリリースには一部の内部ソースコードが含まれていたが、機微な顧客データや資格情報は関与せず、また公開されてもいないと述べました。同社はこの問題を、セキュリティ侵害ではなくリリース用パッケージングにおける人為的ミスに起因するとし、再発防止のための措置を展開していると表明しました。侵害の後、Anthropicは、npmの依存関係チェーンを回避できるため、Claude Codeのインストールに関してスタンドアロンのバイナリーインストーラを推奨手段として指定しました。

FAQ

Anthropicは誤ってどのようなソースコードを公開しましたか？

Anthropicは、npmに公開されたソースマップファイルの誤設定によって、Claude CodeのAIコーディングエージェントのTypeScriptソースコードを約512,000行、誤って露出させました。リークにより、エージェントのメモリアーキテクチャ、自律デーモンモードのKAIROS、内部モデルのコードネーム、さらにオープンソースリポジトリへの「アンダーカバー」貢献を可能にする機能が明らかになりました。

リーク後、ユーザーはどのようなセキュリティリスクに直面しますか？

ユーザーは、3月31日の3時間の窓の間にnpm経由でClaude Codeをインストールまたは更新した場合、リモートアクセス型トロイの木馬を含む悪意あるaxiosの依存関係を、意図せずインストールしてしまった可能性があります。セキュリティ研究者は、侵害されたバージョンがないかロックファイルを確認すること、資格情報をローテーションすること、そして影響を受けたマシンで完全なOSの再インストールを検討することを推奨しています。

Claude Codeのユーザーはリスクをどのように軽減すべきですか？

Anthropicは、npmのインストールではなくスタンドアロンのバイナリーインストーラを使用することを推奨しています。これはnpmの依存関係チェーンを回避できるためです。npm利用者は、バージョン2.1.88をアンインストールし、検証済みの安全なバージョンにピン留めしてください。さらに、構成ファイルやカスタムフックを確認するまで、未信頼のリポジトリでエージェントを実行しないようにしてください。