2026年3月31日、米国Anthropic社において、同社の主力AIコーディングエージェント「Claude Code」の完全なソースコードがnpmレジストリへの誤った公開を通じて漏洩するという重大なインシデントが発生しました。
本件は外部からのサイバー攻撃ではなく、CI/CDパイプラインにおける人為的なリリースミスに起因するものです。
しかし漏洩したコードには、未公開モデルのパフォーマンスデータやAIの痕跡を隠す「Undercover Mode」、次世代エージェント機能「KAIROS」「ULTRAPLAN」といった内部情報が含まれており、技術的・競争的・安全保障的な影響は計り知れません。さらに本件は、国防総省によるAnthropicの「サプライチェーンリスク指定」という地政学的な対立の最中に発生したことで、より深刻な意味を持つことになりました。
【30秒でわかる本記事の概要】
-
漏洩の規模: Claude Codeの完全なTypeScriptソースコード(512,000行以上)がnpm経由で誰でもダウンロード可能な状態に。
-
発覚した内部情報: 未発表モデル(Capybara v8等)のハルシネーション悪化データや、AI生成の痕跡を完全に隠蔽する倫理的リスクのある「Undercover Mode」の存在が判明。
-
悪用リスクの増大: CVE-2025-59536などの既知の脆弱性と組み合わせることで、攻撃者がCI/CDパイプラインにバックドアを仕掛けることが容易になった。
-
企業が取るべき行動: 直ちに利用を停止する必要はないが、「未知リポジトリでの実行禁止」「OSレベルの最小権限適用」など5つの厳格な対策の即時実装が不可欠。
【エンタープライズ利用者へ】
本件によりClaude Codeの内部アーキテクチャ・権限モデル・セキュリティ機構が完全に露出しました。
CVE-2025-59536・CVE-2026-21852を含む既知脆弱性への新たなエクスプロイト手法が開発されるリスクが高まっています。記事末尾の対策を速やかに実装してください。
同時期要警戒:JavaScript ライブラリ axiosのnpmが乗っ取られる-1.14.1と0.30.4は導入済みなら侵害前提で対応が必要
目次
- 1 インシデントの全容:npmへの誤公開が招いた512,000行の流出
- 2 露出したアーキテクチャ:Claude Codeの内部設計
- 3 明らかになった未公開機能と内部情報
- 4 最大の倫理的問題:「Undercover Mode(潜入モード)」
- 5 地政学的文脈:国防総省のサプライチェーンリスク指定
- 6 悪用リスクの増大:CVE-2025-59536・CVE-2026-21852の詳細
- 7 AI支援開発が加速させる「シークレットスプロール」問題
- 8 セキュリティ市場への影響:Claude Code Securityの評価
- 9 エンタープライズ向け:今すぐ実装すべき5つの対策
- 10 本質的な方針転換が必要
- 11 よくある質問(FAQ)
- 12 まとめ
インシデントの全容:npmへの誤公開が招いた512,000行の流出
漏洩の直接的な原因は、npmの公式レジストリに公開されたClaude Code v2.1.88のパッケージ内に、約60MBのデバッグ用ソースマップファイル(cli.js.map)が誤って同梱されていたことです。
ソースマップとは、本番環境向けに圧縮・難読化されたコードと開発者が記述した元のソースコードを対応付けるファイルです。このファイルがAnthropicのCloudflare R2バケット上にホストされた非難読化TypeScriptソースコード全体への直接参照を含んでいたため、誰でもZIPアーカイブとして完全なコードをダウンロードできる状態となっていました。
本件を発見したのは、ブロックチェーンセキュリティ企業Fuzzlandのインターンでありかつ研究者でもあるChaofan Shou氏です。発見から数時間以内にコードのバックアップはGitHub上にミラーリングされ、41,500回以上のフォークを記録しました。
2度目の同種ミス
Anthropicが同様の誤公開を行ったのはこれで2度目です。2025年2月にも初期バージョンのClaude Codeで同様のソースマップ漏洩が発生しており、対象パッケージの削除で収拾されています。今回の再発は同社のリリース管理プロセスにおける構造的な問題を示しています。
| 項目 | 詳細 |
|---|---|
| 発生日 | 2026年3月31日 |
| 原因 | CI/CDパイプラインにおける人為的リリースミス(外部からの攻撃ではない) |
| 漏洩物 | TypeScriptソースコード 1,906ファイル・512,000行以上 |
| 発見者 | Chaofan Shou氏(Fuzzland / Solayer Labs) |
| GitHub拡散 | 41,500回以上のフォーク。「instructkr/claw-code」リポジトリが数万スターを獲得 |
| 顧客データ | 顧客の機密データ・認証情報・モデルの重みは含まれず(Anthropic公式発表) |
| 製品規模 | 年間経常収益(ARR)推定25億ドルを生み出す中核製品 |
露出したアーキテクチャ:Claude Codeの内部設計
漏洩したコードにより、Claude Codeが単なるターミナル向けチャットボットではなく、ソフトウェア開発タスクを自律処理するための高度なオペレーティングシステムとして機能していることが明らかになりました。
| コンポーネント | 規模・技術 | 役割 |
|---|---|---|
| 実行ランタイム | Bun環境 | 高速起動とフィーチャーフラグによる不要コード削除(DCE) |
| UI | React + Ink | ターミナル上でのリッチな状態管理・ストリーミング描画 |
| Query Engine | 約46,000行のTypeScript | LLM API呼び出し・トークン予算管理・思考モードのオーケストレーション |
| モジュール型ツールシステム | 約40種類(基底定義約29,000行) | BashTool・FileEditToolなどローカル環境を操作するモジュール群(権限制御付き) |
| エージェンティック・ループ | 6段階サイクル | ユーザー入力 → 文脈構築 → 推論・ツール選択 → 権限チェック → 実行 → 反復 |
特に注目すべきはメモリ機構です。Claude CodeはGitステータス(ブランチ・コミット履歴)を自動収集するシステムコンテキストと、階層化されたCLAUDE.mdファイルを探索するユーザーコンテキストを組み合わせることで、長期セッションでもハルシネーションを起こしにくい堅牢なプロンプトを構築しています。この「文脈の崩壊(コンテキスト・エントロピー)を防ぐ」仕組みが競合との技術的差別化の核心であり、今回の漏洩でその詳細が競合他社に完全に公開されたことになります。
明らかになった未公開機能と内部情報
漏洩したコードの解析から、一般ユーザーには開示されていなかった複数の重大な内部情報が特定されました。
開発中モデルのパフォーマンスデータ
コード内には以下の未発表モデルの記述が発見されました。
- Capybara v8(Mythosモデルと推測):偽の主張(ハルシネーション)を行う確率が旧バージョンの16.7%から29〜30%へと退行(リグレッション)しているというパフォーマンス評価データを含む
- Opus 4.7:次世代Opusシリーズのバージョン識別子
- Sonnet 4.8:次世代Sonnetシリーズのバージョン識別子
「Capybara v8」のハルシネーション率悪化というデータは、AIエージェントが自律的にコードをリファクタリングする際の「自己主張性と事実的正確性のバランス」の困難さを示す貴重なベンチマークであり、競合他社にとって現在のアージェンティック・パフォーマンスの限界値を把握するための決定的な情報です。
3つの未公開アーキテクチャ機能
KAIROS
セッションをまたいで記憶を保持する永続的アシスタント機能。夜間に「Dream」と呼ばれる自動プロセスで過去ログを整理・剪定する
ULTRAPLAN
複雑なタスク時にクラウドのOpus 4.6インスタンスを並列起動し、最大30分間自律的に探索・計画立案を行う強力なオーケストレーション機能
Buddy
ユーザーのアカウントUUIDに基づき18種類の生物(Axolotl・Capybaraなど)からペットを生成するたまごっちスタイルのAIコンパニオン(April Foolsのイースターエッグと推測)
フラストレーション検知の意外な実装
技術的な妥協として注目されたのが、ユーザーのフラストレーション検知メカニズムです。最先端のAI企業でありながら、Claude Codeは高度なLLMによる感情分析ではなく、不満を示す単語を羅列した巨大な正規表現(Regex)を使用していることが発覚しました。これは開発者コミュニティで広く議論されましたが、ターミナルでの高頻度なインタラクション時にLLM推論を毎回実行することはレイテンシとトークンコストの観点で非現実的であり、ユニットエコノミクスを成立させるための合理的なエンジニアリングの妥協であるという評価に落ち着いています。
最大の倫理的問題:「Undercover Mode(潜入モード)」
機能的側面の暴露以上に倫理的な波紋を呼んでいるのが、「Undercover Mode(潜入モード)」の存在です。
【 Undercover Modeとは】
src/utils/undercover.ts に記述されたこの機能は、Anthropicの従業員がオープンソースリポジトリ等にコントリビューションを行う際、以下の要素を一切出力しないようモデルに強制するものです。
- 「Co-Authored-By」などのAI生成を示すコミット情報
- 「Capybara」などの内部コードネーム
- 「Claude Code」という単語そのもの
環境変数 CLAUDE_CODE_UNDERCOVER=1 で有効化できるこのモードには、コード内のコメントから「強制オフ」にする機能が意図的に排除されていることが判明しています。
これは、AIによって生成されたコードの出所を意図的に隠蔽する「アトリビューションのロンダリング」機能と見なすことができます。エンタープライズ顧客が自社コードベースにおいてAI利用履歴を外部に知られずに開発を進めたいという商業的要請を反映したものと推測されますが、オープンソースコミュニティの透明性の原則やAI開示規制の観点から、深刻な倫理的・法的問題を提起しています。
地政学的文脈:国防総省のサプライチェーンリスク指定
本漏洩事件を理解するには、Anthropicを取り巻く地政学的な背景を把握する必要があります。
漏洩のわずか数週間前、米国防総省(ペンタゴン)は「10 USC 3252」条項に基づき、Anthropicを国家安全保障上のサプライチェーンリスクとして公式指定しました。このラベルは従来、中国・ロシアなどの敵対的国家の企業に適用されるものであり、米国を拠点とする主要テクノロジー企業に対して適用されたのは前例のない事態です。
関連:2026 衆院選の自民・高市内閣 大勝と中国の焦り-生成AI動画に見るプロパガンダの構造
対立の構造
国防総省はAIモデルの完全自律型兵器システムへの適用を求め、セーフガードの解除を要求。Anthropicはこれを拒否してきました。CEOのDario Amodei氏は指定の法的根拠を否定し、連邦裁判所で争う姿勢を表明しました(裁判所は暫定的に国防総省の制裁措置を差し止め)。
なお、米軍は「Operation Epic Fury」などの実際の軍事作戦においてPalantirのシステム経由でClaudeを広範に活用しているという矛盾した実態もあります。
この政治的対立の最中に発生したClaude Codeの全ソースコード漏洩は、国防総省の主張に意図せず技術的論拠を与える結果となりました。AnthropicのCI/CDパイプラインに人為的な構成ミスが存在し、主力製品の全ソースコードが公開されたという事実は、「高度なAIツールを提供するベンダーのインフラストラクチャ自体にサプライチェーン攻撃を許容し得る脆弱性が存在する」という懸念を客観的に証明してしまいました。
一般エンタープライズ顧客への影響
国防総省のサプライチェーンリスク指定は軍との直接契約にのみ影響し、一般のエンタープライズ顧客の商業利用を制限するものではありません。
悪用リスクの増大:CVE-2025-59536・CVE-2026-21852の詳細
ソースコードの公開によって、既に知られていた脆弱性を応用した新たなエクスプロイトチェーン構築が加速しています。Check Point ResearchおよびF5 Labsが指摘していた以下の脆弱性は特に注意が必要です。
| CVE番号 | 脅威の概要 | 攻撃メカニズム |
|---|---|---|
| CVE-2025-59536 | MCPを通じた同意バイパスとRCE(リモートコード実行) | .mcp.json等の設定ファイルを操作し、リポジトリをクローンした瞬間に外部サーバーへの通信や任意のシェルコマンドをバックグラウンドでサイレント実行する |
| CVE-2026-21852 | APIトークンの流出を伴う重大な情報漏洩 | ANTHROPIC_BASE_URL環境変数を攻撃者サーバーのエンドポイントへ上書き。リポジトリを開いた瞬間にセキュリティプロンプト表示前にAPIリクエストが発行され、プレーンテキストのAPIキーが外部送信される |
| フックインジェクション | リポジトリクローン時のRCE | .claude/settings.json内の自動実行フックを悪用。Claude Codeはファイル読み込みには許可を求めるがフックコマンドの実行権限は要求しない仕様があり、プロジェクト初期化時に任意コードが実行される |
YOLO Auto-Permission Systemの暴露
漏洩コードの解析によって「YOLO Auto-Permission System」と呼ばれる内部ロジックの存在も明らかになりました。classifyYoloAction()と命名されたこの関数は、特定のツール実行においてユーザーへの都度承認(Ask)プロセスを省略し、AIの判断で即座に実行(Allow)するかのリスク評価を行うシステムです。
この決定ロジックが公開されたことで、攻撃者は「どの組み合わせのコマンドであればYOLOシステムが低リスクと判定してサイレント実行するか」を正確にシミュレーション可能になりました。プロンプトインジェクションや悪意のあるワークスペース構成を巧妙に調整し、CI/CDパイプラインへのバックドア設置を人間の監視をすり抜けて実行するような高度な攻撃ツールの開発が容易になったと言えます。
AI支援開発が加速させる「シークレットスプロール」問題
Claude Codeのような自律型エージェントの利用自体が、意図せぬ認証情報漏洩(Secrets Sprawl)を加速させているという実態も明らかになっています。
GitGuardianの「The State of Secrets Sprawl Report 2026」によると、2025年だけで2,865万件のハードコードされたシークレットがGitHub上で新たに漏洩しています。さらに、Claude Codeを利用してコードを生成・コミットする開発者はベースラインの2倍(約3.2%)の割合でAPIキーやパスワードなどの機密情報を漏洩させていることが判明しました。
なぜAIエージェントはシークレット情報を漏洩させやすいのか
AIエージェントは文脈を正確に補完するためにローカルの.envファイルや環境変数を読み取る広範な権限を与えられていることが多く、生成されたコード内に誤って機密情報が埋め込まれ、開発者がそれに気付かないまま公開リポジトリにプッシュしてしまう事故が多発しています。今回のソースコード漏洩でエージェントのファイルシステム走査・文脈構築(Context Assembly)の詳細な手順が公開されたため、この経路を意図的に狙った攻撃の増加が懸念されます。
また、セキュリティコミュニティではClaudeを搭載した自律型ボットがGitHub上の数万のリポジトリをスキャンし、CI/CDワークフローの脆弱性を突く悪意のあるプルリクエストを自動生成・送信して複数の主要プロジェクトを侵害した事例も報告されています。LLMが単なるコード生成ツールから、サイバー攻撃をエンドツーエンドで実行可能な「自動化されたハッカー」へと進化しつつあることを示す事例です。
セキュリティ市場への影響:Claude Code Securityの評価
本漏洩と並行して、Anthropicは2026年2月下旬にコードベースの脆弱性を自律的に推論・修正提案する「Claude Code Security」のプレビュー版を発表しました。この発表はセキュリティ市場に大きな波紋を呼び、CrowdStrikeをはじめとする主要サイバーセキュリティ企業の株価が急落しました。
Claude Code Securityの特徴は、従来のSAST(静的アプリケーションセキュリティテスト)が既知パターンや正規表現に依存するのとは異なり、人間のセキュリティ専門家のようにデータフローを追跡し、ビジネスロジックの欠陥やアクセス制御の不備を推論によって特定する点です。内部テストではオープンソースのコードベースから500以上のゼロデイ脆弱性を発見という成果を上げています。
【業界専門家の評価】
SemgrepのCEO Isaac Evans氏をはじめとする専門家は、AIセキュリティスキャナーは開発パイプライン初期段階での論理バグ発見に優れるが、既存AppSecプログラムの完全な代替ではないと指摘します。誤検知率の高さや、エンタープライズのコンプライアンス要件を満たす決定論的な結果出力には課題が残ります。Claude Code Securityは、従来のSAST/DASTツールを「補完」するレイヤーとして位置づけるのが適切です。
エンタープライズ向け:今すぐ実装すべき5つの対策
未知リポジトリに対するゼロトラスト・アプローチの徹底
新規クローンしたリポジトリ内でのClaude Code即時起動を禁止。実行前に人間が必ず以下を目視確認することを標準ワークフローとして義務付けます。
- .claude/config.json
- .mcp.json
- 隠しディレクトリ内のカスタムフック設定
OSレベルの最小権限(Least Privilege)の適用
- Claude Codeは決して管理者権限(Administrator/root)で実行しない
- アクセスできるディレクトリをプロジェクト単位でサンドボックス化
- システムファイルや機密領域へのアクセスをファイルシステムレベルのパーミッションで制限
ネットワークレベルのエグレス通信制御
- 開発者端末からの外部アウトバウンド通信をAnthropicの正規APIエンドポイントと業務必要ドメインのみにホワイトリスト化
- ファイアウォール/EDRを用いてCVE-2026-21852のような不正エンドポイントへのトークン流出をネットワーク境界で物理的に遮断
AI生成コードへの人間によるAppSec検証の義務化
- AI生成コードは常に「未検証の外部入力」として扱う
- GitGuardianなどのシークレットスキャンツールで認証情報漏洩を防止
- 従来のSAST/DASTsツールによる確定的な脆弱性スキャンを必ず通過させる
- AIによるコード生成と同じAIによるセキュリティレビューを単一プロバイダーに依存しない
継続的な認証情報管理と異常監視
- AnthropicのデベロッパーコンソールからAPIキーを定期的にローテーション
- 業務時間外の大量リクエストや未知IPからの異常なAPI使用パターンを監視
- 異常検知時は即座にアクセスを遮断し、インシデント対応プロセスを起動する体制を構築
本質的な方針転換が必要
開発者のターミナルエンドポイントそのものを新たな防御境界(Security Perimeter)として再定義してください。インシデントを理由にAIによる生産性向上を放棄することは競争力の喪失を意味します。高度な監視体制とコンプライアンス統制を構築した上でAIを安全に活用するアプローチへの進化が求められます。
よくある質問(FAQ)
Q. 今回の漏洩で顧客データや認証情報は流出しましたか?
Anthropicの公式発表によると、顧客の機密データ・認証情報・AIモデルの重みデータは含まれていません。ただし内部アーキテクチャ・セキュリティ機構・APIプロトコルが完全に公開されたことで、攻撃者が脆弱性を特定・悪用するための「解像度」が飛躍的に向上しています。
Q. エンタープライズ環境でClaude Codeの利用を停止すべきですか?
直ちに全面停止する必要はありませんが、内部アーキテクチャが公開された現在、ゼロトラスト原則に基づく厳格なセキュリティガードレールを構築せずに利用を継続することは容認できないリスクを伴います。本記事の5つの対策を速やかに実装してください。
Q. 国防総省のサプライチェーンリスク指定は一般企業のClaudeの使用に影響しますか?
影響しません。この指定は軍との直接契約にのみ適用され、一般エンタープライズ顧客の商業利用や軍需産業の請負業者が軍事契約以外の目的でClaudeを利用することは制限されません。
Q. Claude Code Securityは従来のSASTツールを置き換えられますか?
置き換えることはできません。Claude Code Securityは開発パイプライン初期段階での論理バグ発見に優れますが、誤検知率の高さやコンプライアンス要件を満たす決定論的な結果出力に課題が残ります。従来のSAST/DASTツールを「補完」するレイヤーとして位置づけるのが適切です。
まとめ
2026年3月31日のClaude Codeソースコード漏洩は、外部攻撃ではなく自社のCI/CDパイプラインの人為的ミスという「内側からの崩壊」によって引き起こされたインシデントです。技術的・競争的・地政学的・倫理的と多層にわたる影響は、AIツールのエンタープライズ利用における新たなリスク基準を提示しています。
- 512,000行のTypeScriptコードが漏洩、内部アーキテクチャと未公開機能が完全露出
- 未発表モデル(Capybara v8・Opus 4.7・Sonnet 4.8)の性能データが競合他社に公開
- AIの痕跡を隠すUndercover Modeの存在が倫理的問題を提起
- CVE-2025-59536・CVE-2026-21852を悪用した新エクスプロイトチェーン開発が加速
- 国防総省のサプライチェーンリスク指定に技術的論拠を与える結果に
- AI生成コードはベースラインの2倍の割合でシークレットを漏洩させるというリスク
- Claude Code Securityは「補完ツール」であり従来AppSecの代替ではない
参考情報:VentureBeat・Check Point Research(CVE-2025-59536・CVE-2026-21852)・GitGuardian Secrets Sprawl Report 2026・Anthropic公式発表・Rapid7・Veracode








