2026.04.04 06:00
2026.04.03 17:55
●この記事のポイント
3月31日、アンソロピックのAIコーディングツール「Claude Code」の約50万行のソースコードがnpmパッケージの設定ミスで流出。未公開機能や内部ロードマップも露出し、同日発生のaxiosサプライチェーン攻撃とも重なり、AI企業のセキュリティ管理能力が問われる事態となった。
3月31日、世界のAI開発者コミュニティに衝撃が走った。米AI企業アンソロピックが提供するコーディング支援AIツール「Claude Code」の内部ソースコードが、同社自身の誤操作によってインターネット上に公開される事態が発生したのだ。
漏洩を発見したITエンジニアのチャオファン・ショー氏によるX(旧Twitter)への投稿は3,400万回を超えるビューを集め(日本経済新聞報道)、GitHubでは公開されたコードのフォーク数が4万件を超えた。「AI安全性」を企業の中核価値に掲げてきたアンソロピックにとって、これは製品の技術的な問題にとどまらず、企業ブランドそのものを揺るがす事案となっている。
●目次
- 何が起きたのか…「デバッグファイル」の誤梱包
- これは「初めての失態」ではない
- 流出内容の戦略的インパクト
- 偶然ではない「二重の危機」…axiosサプライチェーン攻撃との同日発生
- 「AI安全」をブランドにする企業が直面する逆説
- 企業・開発者が今すぐ確認すべきこと
- まとめ――「AI安全」の意味が問われている
何が起きたのか…「デバッグファイル」の誤梱包
今回流出したのは、59.8MBのJavaScriptソースマップファイル(.map)で、Claude Codeのバージョン2.1.88としてnpm公開レジストリに誤って公開された。ソースマップとは本来、開発者が難読化されたコードをデバッグするために内部で使用するファイルだ。これが製品リリース時の設定ミスで一般向けパッケージに混入した。
流出規模は約1,900ファイル、50万行に及ぶソースコードだった。発見者は暗号資産スタートアップSolayer Labsのインターン、Chaofan Shou氏だ。同氏がXに投稿した数時間後には、コードはGitHub上でミラーリングされ、世界中のエンジニアがその内容を解析し始めた。
アンソロピックの広報担当者は声明で「顧客データや認証情報は一切含まれていない。今回はセキュリティ侵害ではなく、人的ミスによるリリースパッケージングの問題だ」と説明した。
その後、同社幹部はBloombergの取材に対し、急速なプロダクトリリースサイクルに伴う「プロセスエラー」が原因だったと認めている。
これは「初めての失態」ではない
見落とされがちな重要な事実がある。今回の流出は2025年2月にも同様の事案が発生してから約13カ月後のことであり、アンソロピックはそのときもソースコードとシステムアーキテクチャの一部が外部に漏れるという失態を経験していた。
また今回は、別の重大インシデントとも時期が重なっている。Fortuneによれば、Claude Codeのソースコード流出からわずか数日前、アンソロピックのウェブサイト上の公開ストレージに約3,000ものファイルが誤って格納されていたことが報じられており、その中には未発表の新モデル「Mythos(別名:Capybara)」に関する内部ブログの草稿も含まれていた。
短期間に複数の情報管理ミスが重なったことは、単発の事故ではなく、組織的なプロセス上の課題を示唆している。
「AI開発競争が激化する中、リリースサイクルの高速化とセキュリティチェックのバランスが崩れているケースが業界全体で見られます。特にスタートアップ段階から急成長した企業では、内部プロセスの整備が追いつかないことがあります」(ITジャーナリスト・小平貴裕氏)
流出内容の戦略的インパクト
アンソロピックが強調するとおり、今回の流出には「AIモデルそのもの」は含まれていない。しかし、その意味を過小評価すべきではない。
流出したのはLLM APIの呼び出し処理、ストリーミングレスポンスの管理、ツール呼び出しのループ処理、思考モード、リトライロジック、トークンカウント、権限モデルなど、Claude Codeの中核エンジンを構成するソースコードだ。
Fortuneの取材を受けたサイバーセキュリティ専門家は「このコードは競合他社がClaud Codeのエージェント型ハーネスの仕組みを逆解析し、自社製品の改善に活用することを可能にする」と指摘している。
さらに、流出コードには未公開のフィーチャーフラグが多数含まれており、「セッションを振り返り次の行動に活かすセルフレビュー機能」「ユーザーが操作していない間も継続動作するバックグラウンドアシスタント」「スマートフォンや別ブラウザからリモート操作する機能」など、開発済みながら未リリースの機能群が確認されている。
「特許や企業秘密という観点では、これは相当なダメージです。機能の差別化戦略や開発優先順位まで読み取れるロードマップが流出したも同然で、競合他社にとって無償の情報収集になりえます」(同)
偶然ではない「二重の危機」…axiosサプライチェーン攻撃との同日発生
今回の事案をより複雑にしているのが、同日に発生した全く別の重大セキュリティインシデントの存在だ。
3月31日の00時21分から03時29分(UTC)の間、Claude Codeが依存するJavaScriptライブラリ「axios」のnpmパッケージがジャックされ、リモートアクセス型トロイの木馬(RAT)を含む悪意あるバージョンが公開されていた。
週間ダウンロード数が約1億件に達するaxiosへの攻撃は、その影響範囲の広大さから、npm史上最大規模のサプライチェーン攻撃の一つとなった可能性がある。
これら二つのインシデントは技術的には独立したものだが、開発者・企業側から見ると「同日にClaud Codeを更新した開発者が、情報流出とマルウェア感染のリスクに同時にさらされた」という事実は変わらない。
アンソロピックはnpmを経由したインストールを推奨しなくなり、公式のネイティブインストーラーへの移行を呼びかけている。
「AI安全」をブランドにする企業が直面する逆説
アンソロピックは創業時から「安全性最優先のAI企業」を標榜し、同社の企業価値の根拠の一部はその信頼性にある。同社は2026年3月時点で年間換算収益が190億ドル(約2.8兆円)規模に達したと報じられており、IPO(新規株式公開)に向けた準備を進めている。
今回の流出は同社のIPO戦略における核心事業であるエンタープライズ向け展開にとっても、信頼性という面でリスク材料となる。
「AI企業に求められる信頼性は、モデルの性能だけではありません。自社の情報をきちんと守れるかどうかが、エンタープライズの調達判断に直結する時代になっています」(同)
企業・開発者が今すぐ確認すべきこと
今回の事案から実務面で引き出せる教訓は明確だ。
(1)依存ライブラリの検証を習慣化する
axiosのような週間1億ダウンロード規模の著名ライブラリもハイジャックされうることが証明された。パッケージのバージョンを固定し、npm ciを使用してロックファイルを厳密に管理することがリスク軽減の基本となる。
(2)ビルドパイプラインの設定を定期監査する
ソフトウェアエンジニアのGabriel Anhaia氏が指摘するように、「.npmignoreやpackage.jsonのfilesフィールドの設定ミス一つで、すべてが公開されてしまう」という現実は、大企業・スタートアップを問わず等しく当てはまる。
(3)公式チャネル以外の「改造版ツール」に注意する
流出直後からGitHub上には独自ビルド版Claude Codeを宣伝する動きが現れており、その中に悪意あるコードが混入するリスクがある。開発ツールの導入は必ず公式経路から行うことが鉄則だ。
まとめ――「AI安全」の意味が問われている
今回の事案は、AI企業の「安全性」という概念が根本的に拡張される必要があることを示している。AIモデルの倫理的安全性だけでなく、開発・配布プロセスそのものの情報セキュリティ、組織的なオペレーショナルエクセレンスが問われる時代に入った。
アンソロピックは今回の対応において透明性を維持し、迅速に声明を出した点は評価できる。しかし短期間に複数の情報管理ミスが重なった事実は重い。AIツールが企業の中核業務に組み込まれていく中で、その提供者のガバナンス能力もまた、選定基準の重要な一軸になるはずだ。
(文=BUSINESS JOURNAL編集部、協力=小平貴裕/ITジャーナリスト)
RANKING
RELATED POSTS
ニューアングル
