Anthropic Leaks 512,000 Lines of Claude AI Code in Major Blunder
2026/04/01 hackread — 高収益のコード生成ツール Claude Code の機密情報を誤って流出させた Anthropic は、戦略に影響を及ぼす重大な打撃を被っている。通常のアップデート時の単純なミスにより、同社の最重要テクノロジーの内部動作を示す設計図が競合他社へ流出した。この問題は 2026年3月31日に発生した。公開 npm レジストリにおけるバージョン 2.1.88 の通常リリース時、59.8MB のソースマップファイルが誤って含まれていた。このファイルは、開発者が理解可能な平易な形式へと、複雑なコードを変換するものである。
3月31日 04:23 (ET) に、このミスを発見したのは、Solayer Labs のインターン Chaofan Shou である。彼により、発見された内容が X 上で公開されたことで、それから数時間のうちに 512,000 行のコードがインターネット上へとコピー/ミラー展開された。つまり、多数の開発者および競合他社へと、重要な情報が拡散したことになる。
高リスク財務インパクト
Anthropic は迅速に対応を開始した。同社の広報は、本件がハッキングではなく、人的ミスによるパッケージングの問題であると説明し、機密顧客データの流出はないと明言した。
データ自体は安全であるが、この漏洩は戦略的に重大な問題である。Anthropic の公開データによると、Claude Code は年間で $2.5 billion の収益を生み出しており、2026年の初頭から倍増している。このツールは、同社の推定総収益 $19 billion の中で大きな割合を占めている。
重大なミス
流出ファイルの解析により、このツールの価値の理由が明らかになった。Anthropic は、context entropy と呼ばれる問題を解決している。これは、長時間におよぶタスクの最中に、AI が混乱する現象を指すものである。同社は、三層のメモリ・システムにより、この問題を解決していた。
この仕組みは、懐疑的なライブラリアンのように動作し、実ファイルと照合しながら継続的に検証を行い、誤生成を防止する。それとは別に、複数の内部プロジェクトも明らかになった。
KAIROS:ユーザー不在時にロジックエラーを修正する常時稼働モード
Undercover Mode:AI の痕跡を残さずに公開プロジェクトで動作する機能
Capybara (Claude 4.6)/Fennec:次世代モデル
Buddy:CHAOS や SNARK などの属性を持つターミナル・ペット
サプライチェーン攻撃との関連
この漏洩は、Axios に対する攻撃と同時期に発生している。2026年03月31日 00:21〜03:20 (UTC) の間に、npm 経由で Axios 更新した場合に、Trojan マルウェアが混入した可能性が生じている。
安全対策として推奨されるのは、公式 Web サイトから提供される Native Installer の使用である。現時点では、公式インストーラの使用が、攻撃に対する最も有効な防御手段である。
訳者後書:Anthropic の主力 AI コード生成ツール Claude Code のソースコードが、 2026年3月31日に誤って公開 npm レジストリ上に流出した事件について解説する記事です。このミスにより、 本来は難読化されているはずのコードが、人間が読める形式に復元するための 59.8MB のソースマップ・ファイルが配布されてしまいました。 4月1日にかけて、Solayer Labs のインターンである Chaofan Shou が、この事実を X 上で指摘したことで騒動が拡大しました。 わずか数時間のうちに、約 512,000 行 に及ぶ TypeScript ソースコードがインターネット上に複製 され、 数万回もフォークされる事態となりました。
この騒動と同時期に、Axios へのサプライチェーン攻撃が発生しました。 北朝鮮の国家アクター Sapphire Sleet が関与したとされる攻撃では、 悪意の Axios バージョン (1.14.1 など ) を介して RAT が混入されました。 Anthropic の混乱に乗じて、流出したコードを試せる と主張する、偽のレポジトリがマルウェアを配布している例も確認されています。これほど大規模で知的財産が流出したことで、 他の AI 開発企業が Claude Code の設計図を参考にすると予測されます。AI エージェントを巡る競争が、さらに加速するのでしょうか?
IoT OT Security News 
You must be logged in to post a comment.