Claude Code 源碼外洩,Anthropic DMCA 下架 8100 GitHub 倉庫
Anthropic は3月31日、Claude Code CLI ツールの npm パッケージのバージョン v2.1.88 が、リリースのバンドルにおけるミスにより約 51.2 万行のソースコードが露出したことを確認した。Anthropic は直ちに GitHub に DMCA の著作権保護通知を提出し、合計 8,100 件のリポジトリが強制的に公開アクセスを禁止された。
漏えいの根本原因:Bun バンドルツールの既定の挙動が、無コード突破につながる完全な露出を引き起こした
今回の事件の根本原因は、開発者コミュニティに衝撃を与えた。Bun バンドルツールの既定では Source Map のデバッグ用ファイルが生成されるが、Anthropic の一連のリリースプロセスには、このファイルを無効化または除外する手順が何も存在しなかった。Source Map は、圧縮された本番用コードを元の TypeScript コードにマッピングするためのもので、このファイルは Anthropic 自社の Cloudflare R2 ストレージバケット内にある一般公開された ZIP 圧縮パッケージを直接指していた――攻撃者がいかなるハッキング手法を用いる必要もない。
ブロックチェーンセキュリティ企業 Fuzzland のインターン研究員 Chaofan Shou が問題を見つけた後、X プラットフォーム上でバケットへの直接リンクを公開した。数時間のうちに GitHub 上には多数のミラーリポジトリが出現し、一部のリポジトリは DMCA 通知が有効化される前にすでに数万件のスターを積み上げていた。
技術的には、.npmignore ファイルに該当する項目を追加するか、package.json の files 欄で設定するだけで、この事件は防げた。Anthropic は VentureBeat に確認し、これは「人為的なミスによって引き起こされたリリースのバンドル問題」であり、再発防止の措置を講じていると述べた。
しかし、これは同じ誤りの2度目の発生だ。2025 年 2 月、Claude Code の初期バージョンでも、ほぼ完全に同様の Source Map 漏えい事件が起きており、Anthropic はその後 2025 年 4 月に最初の DMCA 通知を提出した。
漏えい内容:1,900 個のファイルが KAIROS など複数の未公開の秘密機能を露出
今回露出した約 1,900 個の TypeScript ファイルは、ツールの実行ロジック、権限アーキテクチャ、メモリシステム、テレメトリ、機能スイッチを含んでいた。コミュニティのメンバーは迅速にテレメトリデータを抽出し、隠し機能スイッチを切り替え、Python と Rust で「クリーンルーム」再構築版を書いた。最も注目すべき未公開機能は以下のとおりだ:
KAIROS:常時稼働するバックエンドの監視デーモン。ファイルを監視し、イベントを記録し、アイドル時には「夢(Dreaming)」というメモリ統合プロセスを実行する
BUDDY:端末のペット機能。18 種類(カピバラを含む)のペットを備え、DEBUGGING(デバッグ)、PATIENCE(忍耐)、CHAOS(混乱)などの属性を持つ
COORDINATOR MODE:単一のエージェントが複数の並列作業エージェントを生成し、管理できるようにする
ULTRAPLAN:リモートで複数エージェントによる計画会議を 10 分から 30 分の間で設定する
1週間に2回漏えい:Anthropic のリリース規範が広く疑問視される
今回の事件は孤立した事故ではない。今回の 5 日前の 3 月 26 日、Anthropic は CMS の設定ミスにより、未公開の「Claude Mythos」モデルに関する詳細を含む約 3,000 件の社内文書を漏えいさせており、同様に人為的なミスが原因とされた。1週間足らずで相次いで2件の重大な予期せぬ漏えいが発生し、広くコード開発やリリースを支援しているこの AI 企業のリリース規範に対して、外部から体系的な疑念が生じた。
Anthropic は、今回の事件には機密性のある顧客データ、資格情報、モデルの重み、または推論基盤インフラの漏えいは含まれておらず、主要な Claude モデルには影響がないことを確認した。しかし、Claude Code の競合プロダクトを作るための技術アーキテクチャの設計図は、今や大幅に参入障壁を下げてしまっている。
さらに注意が必要だ。同日 UTC 00:21 から 03:29 にかけて、npm では axios パッケージを対象としたサプライチェーン攻撃も同時に発生した。Anthropic は、この時間帯のウィンドウ内に Claude Code の開発者向け依存関係をインストールまたは更新し、資格情報をローテーションすることを推奨し、今後は npm ではなく公式のネイティブインストーラを優先的に利用するよう提案している。
よくある質問
Claude Code のソースコードはなぜハッキング手段なしで完全に入手できるのか?
Bun バンドルツールの既定で生成される Source Map ファイルは、Anthropic 自社の Cloudflare R2 ストレージバケット内の公開 ZIP 圧縮パッケージへ直接指している。誰でもこの公開リンクにアクセスするだけで、完全な TypeScript のソースコードをダウンロードでき、プロセス全体にいかなる技術的な侵入行為も関与しない。
DMCA により 8,100 件のリポジトリが削除された後、ソースコードは完全に消えたのか?
いいえ。GitHub が DMCA 通知に基づいて該当リポジトリを削除したとしても、漏えいしたソースコードはアーカイブ、ミラー、再構築版として複数のプラットフォームで流通しており、完全に「ほぼ不可能」と言えるほどのクリアは実現できない。Anthropic の DMCA 行動は直接の拡散を制限したが、技術アーキテクチャの設計図は広範に拡散してしまった。
今回の事件は Claude Code のユーザーに実際どのような安全上の影響がある?
Anthropic は、ユーザーデータ、資格情報、モデルのいずれも漏えいしていないことを確認した。ただし、開発者が 3 月 31 日 UTC 00:21 から 03:29 の間に npm を通じて Claude Code をインストールまたは更新した場合は、依存関係を精査し資格情報をローテーションすべきだ。同じ時期に npm では axios パッケージを対象としたサプライチェーン攻撃が起きているからだ。