
Anthropic、Claude Codeの512K行のコードを流出
リークされたソースマップがAnthropicのR2バケットと51万2000行のClaude Codeを露出させ、KAIROSモニタリングとDreamエンジンを含む4つの未リリース機能が浮上。
まとめ
Claude Codeのnpmパッケージにソースマップファイルがバンドルされていたことで、URLさえ知っていれば誰でも、AnthropicのプライベートなR2ストレージバケットと、その中に含まれる完全な非難読化TypeScriptのソースツリーに直接アクセスできる状態になっていた。露出の規模は1,900ファイル、50万行超のコード。さらに深い問題もある。一度も公式発表されたことのない社内機能が4つ見つかったのだ。その中には、常時活動監視モードと、Anthropicが「Dreamエンジン」と呼ぶバックグラウンドのメモリ統合システムが含まれている。
何が起きたか
開発者がJavaScriptやTypeScriptをプロダクション向けにビルドする際、Bunなどのバンドラーはデバッグをサポートするためにソースマップファイル(.map)を生成する。これらのファイルは元の難読化されていないソースコードを参照する。公開パッケージに含めないよう明示的に除外しなければ、パッケージを公開した時点でそれらの参照も公開されてしまう。
AnthropicのエンジニアリングチームはClaude CodeをBunでビルドしており、プロダクションビルドにはAnthropicのR2クラウドストレージ上のURLを指し示す.mapファイルが含まれていた。そのURLにはアクセス制限がなかった。Web3企業FuzzLandのセキュリティ研究者Chaofan Shou(@shoucccc)は2026年3月31日にこの参照を発見し、URLにアクセスして完全なソースツリーを取得した。
これを防ぐために必要な修正は、.npmignoreに1行追加するか、パッケージング前にソースマップ生成を無効にするだけだった。どちらも実施されていなかった。
数字で見る
| 詳細 | 数値 |
|---|---|
| 露出したTypeScriptの行数 | 512,000行超 |
| 漏洩したソースファイル数 | 1,900 |
| 未発表機能数 | 4 |
| Anthropicの公式声明 | 0 |
内部コードに見つかった4つの未リリース機能
KAIROSモード
社内用 — ユーザーには未提供
ユーザーの活動を常時監視・記録するバックグラウンドモード。コードを見ると、プッシュ通知の送信やプルリクエストのイベント購読が可能で、Claudeが介入の好機を検知した際にユーザーに割り込む設計であることがわかる。名称は「好機」を意味するギリシャ語の概念「kairos」に由来する。事前の告知も公開ドキュメントも存在しない。
ULTRAPLAN
未リリース — コードにクラウドランタイムのインフラが確認
複雑なマルチステップの推論を、AnthropicのOpus 4.6モデルを実行するCloud Container Runtime(CCR)にルーティングするリモート計画システム。セッションは最大30分間の非同期実行が可能で、通常のコンテキストウィンドウをはるかに超える。コードのコメントには目的が明記されている。1回のインタラクティブセッションでは処理しきれないタスクをバックグラウンドにオフロードして完了させるためのものだ。
バディシステム
コード実装済み — 公式発表なし
18種類のコンパニオンペット(「Cosmoshale」や「Nebulynx」といった名前のキャラクターを含む)を軸にしたゲーミフィケーションシステム。決定論的なガチャメカニクスと、「SNARK」や「WISDOM」といったパラメータを持つ手続き的に生成されたパーソナリティステータスを備える。これがリテンション機能なのか、開発者向けの社内ツールなのか、将来の製品なのかはコードだけでは判断できない。
Dreamシステム
アーキテクチャが確認される — リリース時期は不明
セッションとセッションの間にオフラインで動作するメモリ統合エンジン。人間の記憶が睡眠中に整理されると考えられているメカニズムを模したアーキテクチャで、ユーザーがアクティブに操作していない間にメモリを処理・整理する。これはステートレスなAIからの大きな転換を意味する。アイドル時にも知識ベースが進化し続けるエージェントの実現だ。
その他の発見
| 発見内容 | 示唆するもの |
|---|---|
| 罵倒語のテレメトリ | ユーザーがClaudeに向かって罵倒語を使うと専用のイベントが発火する — これまで開示されていなかったフラストレーション計測シグナル |
| 「続けて」のトリガー | ユーザーが「continue」や「keep going」と入力する頻度を追跡 — レスポンスの途中切れを計測 |
| Capybara / Mythosへの参照 | 社内コードのコメントが、Anthropicの次世代モデル層に関する3月27日のCMS文書漏洩の内容を裏付けている |
| 中国のAPTに関するドキュメント | Claude Codeを使って約30の組織を侵害した国家支援グループに関する社内資料 |
| 未公開のスラッシュコマンド | /commit、/review、/doctorが確認された — 公式ドキュメントよりも充実した社内ツールセット |
背景: 2026年3月に起きた3件目のインシデント
| 日付 | インシデント |
|---|---|
| 3月初旬 | 国防総省との契約拒否に関する社内情報が発表前に報道機関に漏洩 |
| 3月27日 | CMSの設定ミスにより、モデルロードマップの草案を含む約3,000件の社内文書が露出 |
| 3月31日 | npmソースマップ漏洩 — 今回のインシデント |
npmの漏洩は、前の2件とは本質的に異なる。これは政策上の判断でも、意図的な開示でも、AIのエラーでもない。.npmignoreルールなしでBunを使用しているチームなら誰でも起こりうる、ありふれたパッケージングのミスだ。この事件の重要性は、ミスそのものよりも、コードが明らかにした内容にある。
今後の展開
Anthropicはソースマップ生成を無効化またはフィルタリングしたnpmのパッチバージョンをリリースするだろう。R2バケットはすでにアクセス制限がかかっている可能性がある。GitHubのミラー(instructkr/claude-codeおよびKuberwastaken/claude-code)は執筆時点でパブリックにアクセス可能だが、DMCAの通知を受ける可能性が高い。
KAIROSとDreamの機能が最も継続的な議論を呼ぶだろう。特にKAIROSは — 常時ユーザー監視モードという性格上 — Claude Codeがプロンプトへの返答をしていない間も何を観察・記録しているのかという疑問を提起する。フィーチャーフラグの背後に隠れていることは、アーキテクチャ上の意図を変えるものではない。
現時点のユーザーへ: このインシデントが露出させたのはAnthropicのソースコードだ。ユーザーのデータ、会話、認証情報は露出していない。
よくある質問
ソースコードはなぜ漏洩したのか? Claude Codeのnpmパッケージにソースマップファイルがバンドルされていたためだ。このファイルにはAnthropicのR2ストレージバケットへの直接URLが含まれており、元のTypeScriptソースツリーがアクセス制限なしで公開されていた。URLにアクセスすれば誰でもコードベース全体を取得できた。根本原因は.mapファイルを公開パッケージから除外しなかったことだ。
Claude Codeのユーザーとして私のデータは影響を受けるか? 受けない。漏洩が露出させたのはAnthropicの独自ソースコード — ユーザーの会話、ファイル、APIの認証情報ではない。ユーザーデータが関与していた形跡はない。
漏洩コードにおけるKAIROSモードとは何か? KAIROSは未リリースの「常時稼働」監視モードで、ユーザーの活動をログに記録し、通知をプッシュしたりリポジトリのイベントを購読したりする機能を持つ。社内フラグの背後に隠されており、公開提供はされていない。コード内にその存在があることは、AnthropicがClaude Codeのアーキテクチャに組み込んだユーザー活動監視の仕組みについて、未解決の疑問を提起する。
漏洩コードのGitHubミラーはどこにあるか?
2026年3月31日時点: github.com/instructkr/claude-codeおよびgithub.com/Kuberwastaken/claude-code。どちらもDMCAによる削除要請を受けることが予想される。
出典
- DEV Community — 「Claude Code's Source Code Leaked via npm Source Maps」(dev.to、2026年3月31日)
- ByteIota — 「Claude Code Source Leaked via npm: 512K Lines Exposed」(2026年3月31日)
- Reddit r/ClaudeAI — ソース漏洩に関するディスカッションスレッド(2026年3月31日)
- GitHubミラー: instructkr/claude-code、Kuberwastaken/claude-code

