世界一賢いAIの、世界一うっかりなミス
最先端のAI企業が、同じ鍵のかけ忘れを2度繰り返した。
設計図が、箱に入りっぱなしだった。
流出したファイルの重さ。プログラムの設計図がまるごと詰まっていた
しかも、これは2度目だった。
51万行は、どこからこぼれたか
ソフトウェアには「設計図」がある。開発者が書いた元のプログラムだ。
製品として届けるとき、企業はその設計図を圧縮し、読めない形に変換して箱に詰める。中身を見られないようにするためだ。29
開発者がプログラムの設計図を作成する
Bunバンドラー(箱詰め機)がコードを圧縮。このとき設計図のコピー(source map)が自動生成される
圧縮済みファイルをnpm(部品倉庫)に送り出す
ユーザーが部品倉庫から製品を取り出して使う
ところが、この箱詰め機には落とし穴があった。初期設定のまま使うと、圧縮前の設計図のコピーを箱に一緒に入れてしまうのだ。29
Anthropicはこの設定を変えなかった。結果、誰でもダウンロードできる部品倉庫に、設計図がまるごと公開された。12
セキュリティ研究者のChaofan Shou氏が、部品倉庫を調べていて異常に気づいた。59.8MBもある不審なファイル。開いてみると、製品の全設計図だった。13
59.8MBのファイルを見つけた。中にはClaude Codeの完全なソースコードが入っていた
彼の投稿は瞬く間に広がり、約1,000万人の目に触れた。GitHubにコピーされたコードは、30分で5,000人以上が「お気に入り」に登録した。13
Anthropicが問題のファイルを削除したときには、すでに世界中にコピーが行き渡っていた。15
箱の中には、何が眠っていた?
散らばった設計図を、世界中の開発者が読み始めた。そこに記されていたのは、Anthropicが隠していた「次の一手」だった。
| コードネーム | 動物 | モデル | ステータス |
|---|---|---|---|
| Capybara | カピバラ | Claude 4.6バリアント | 本番稼働中 |
| Fennec | フェネック | Opus 4.6 | 本番稼働中 |
| Numbat | ナンバット | 未公表 | テスト中 |
| Tengu | テング | Claude Codeプロジェクト | 内部用 |
AIモデルには社外に出さない「あだ名」がつけられていた。カピバラ、フェネック、ナンバット。Anthropicの命名ルールは「動物の名前」だった。27
しかし開発者たちが本当に驚いたのは、あだ名の先にあった。
スイッチをオンにすれば動き出す、秘密の機能たち。なかでも話題を集めたのが「BUDDY」だ。27
ターミナルに住みつくAIペット。文字で描かれたアヒルやドラゴンが画面の隅に現れる。種類は18種。最も珍しい「レジェンダリー」の出現率はわずか1%。27
ターミナルにたまごっち。開発者コミュニティは「Easter egg hunting(宝探し)」と盛り上がった。7
| 機能名 | 概要 | 目的 |
|---|---|---|
| BUDDY | ターミナルに住むAIペット | 開発者との情緒的つながり |
| KAIROS | 常時稼働モード | AIの常駐化・先回り行動 |
| ULTRAPLAN | 複雑な計画をクラウドで処理 | ローカルの限界を超える大規模計画 |
| Computer Use "Chicago" | デスクトップ操作 | 画面のクリック・入力をAIが代行 |
AIペットから常時稼働まで。Anthropicが描いていた未来の全貌が、段ボール箱から転がり出た。
ただ、宝探しの興奮は長くは続かなかった。箱の底には、もっと厄介なものが眠っていた。
うっかりミスだけの話か?
ここまでは「うっかり漏れた」話だった。だが箱の底から出てきたものは、性質が違った。
流出したコードの中に、「Undercover Mode(変装モード)」と名付けられた機能があった。2718
これはAnthropicの社員が、外部のプログラム共有サイトでClaude Codeを使うときに起動するモードだ。中身は明快。「AIが書いたと分かるような痕跡を一切残すな」という指示。2718
具体的には、プログラムの変更履歴に内部のモデル名を書くな、未発表バージョンの情報を出すな、そして——AIであることに触れるな。2718
| 禁止対象 | 詳細 |
|---|---|
| 内部コードネーム | Capybara・Tenguなど動物名の記載禁止 |
| 未発表情報 | 未リリースモデルのバージョン番号禁止 |
| 内部名称 | 社内リポジトリ・プロジェクト・ツール名禁止 |
| AI利用の言及 | AIであることへの言及禁止 |
1度目はアクシデント。2度目はプロセスの欠陥だ。
違う。 Anthropicは、自社のAIが書いたコードを「人間が書いたように見せる」仕組みを、意図的に作っていた。
AI生成コードの透明性が業界の課題になっている中で、AIツールの開発元自身がその痕跡を消していた。コミュニティの反応は厳しかった。18
| プラットフォーム | 規模 | トーン |
|---|---|---|
| X(旧Twitter) | 約1,000万インプレッション | 「2度目の同じミス」への皮肉 |
| Hacker News | 200件以上のコメント | Undercover Modeへの倫理的批判 |
| ホットリストのトップ | BUDDY機能への興味と宝探し | |
| GitHub | 30分で5,000スター超 | ソースコード分析・コピー |
技術の流出よりも深刻なのは、「信頼の流出」かもしれない。7
なぜ同じ穴に2度落ちたのか
変装モードの衝撃が冷めないうちに、もう一つの事実が浮かび上がった。Anthropicがこの種のミスを犯すのは、これが初めてではなかったのだ。
1回目が起きたのは2025年2月。まったく同じ原因——設計図のコピーが製品の箱に紛れ込んだ——で、ソースコードが流出した。15
Anthropicはそのとき何をしたか。問題のバージョンを削除しただけだった。5
箱詰め機の設定を恒久的に変える。出荷前に中身を自動でチェックする仕組みを入れる。どちらもやらなかった。29
なぜ同じ穴に2度落ちたのか。対症療法だけで済ませたからだ。症状を消しただけで、病気を治さなかった。13か月という時間は、根本を直すのに十分すぎるほど長い。5
同じミスを直すのに与えられた時間。使われなかった。
年間売上規模25億ドルの製品を持つ企業にとって、3月は「流出の月」になった。16
自分が使うAIツールは大丈夫か?
ここまではAnthropicの話だった。だが、この問題はAnthropicだけのものではない。AIが書いたコードには、人間が書いたコードにはない弱点がある。
2025年にGitHub上で漏洩したパスワード・接続キーの総数。前年比34%増11
AIが一緒に書いたコードは、人間だけで書いたコードの約2倍、パスワードや接続キーを漏らしやすい。11
なぜか。AIはコードを生成するとき、設定ファイルの中身をそのまま埋め込む傾向がある。人間なら「これは外に出してはいけない」と立ち止まる場面で、AIは立ち止まらない。11
| 項目 | Claude Code | GitHub Copilot | Cursor |
|---|---|---|---|
| 重大な脆弱性 | CVE-2025-59536(深刻度8.7) | RoguePilot(深刻度9.6) | IDEsaster(24件超) |
| ソースコード流出歴 | 2回(2025年・2026年) | なし | なし |
| セキュリティ設計 | サンドボックス+許可制 | GitHubとの統合 | 第三者セキュリティ認証準拠 |
答えは「どれも完全には安全ではない」だ。主要な全ツールに深刻な脆弱性が報告されている。ただし、ソースコードの流出を同一原因で2度繰り返したのはClaude Codeだけだ。5810
AIツールは開発の速度を劇的に上げた。だがその速さは、安全を犠牲にして得るものであってはならない。11
この事件が教えているのは、単純な事実だ。
技術がどれほど先を行っていても、それだけではセキュリティの成熟を保証しない。
設計図のコピーを箱から抜く。出荷前に中身を確認する。やるべきことは、どちらも基本中の基本だった。29
Anthropicは世界で最も賢いAIを作る企業だ。その企業が、最も初歩的な鍵のかけ忘れを、2度繰り返した。15
問いは「2度目がないように」ではない。もう2度起きた。3度目を防ぐのは、誰なのか。
References
- VentureBeat. "Claude Code's source code appears to have leaked: here's what we know." https://venturebeat.com/technology/claude-codes-source-code-appears-to-have-leaked-heres-what-we-know, 2026-03-31.
- DEV Community. "Claude Code's Entire Source Code Was Just Leaked via npm Source Maps." https://dev.to/gabrielanhaia/claude-codes-entire-source-code-was-just-leaked-via-npm-source-maps-heres-whats-inside-cjo, 2026-03-31.
- Cybersecurity News. "Claude Code Source Code Reportedly Leaked." https://cybersecuritynews.com/claude-code-source-code-leaked/, 2026-03-31.
- MLQ.ai. "Anthropic's Claude Code Exposes Source Code Through Packaging Error for Second Time." https://mlq.ai/news/anthropics-claude-code-exposes-source-code-through-packaging-error-for-second-time/, 2026-03-31.
- Fortune. "Anthropic left details of an unreleased model in a public database." https://fortune.com/2026/03/26/anthropic-leaked-unreleased-model-exclusive-event-security-issues-cybersecurity-unsecured-data-store/, 2026-03-26.
- The AI Corner. "BREAKING: Anthropic just leaked Claude Code's entire source code." https://www.the-ai-corner.com/p/claude-code-source-code-leaked-2026, 2026-03-31.
- Check Point Research. "RCE and API Token Exfiltration Through Claude Code Project Files (CVE-2025-59536)." https://research.checkpoint.com/2026/rce-and-api-token-exfiltration-through-claude-code-project-files-cve-2025-59536/, 2026.
- Penligent. "Claude Code Source Map Leak: What Was Exposed and What It Means." https://www.penligent.ai/hackinglabs/claude-code-source-map-leak-what-was-exposed-and-what-it-means/, 2026-03-31.
- Pillar Security. "New vulnerability in GitHub Copilot and Cursor: How hackers can weaponize code agents." https://www.pillar.security/blog/new-vulnerability-in-github-copilot-and-cursor-how-hackers-can-weaponize-code-agents, 2025.
- Security Boulevard. "The State of Secrets Sprawl 2026." https://securityboulevard.com/2026/03/the-state-of-secrets-sprawl-2026-ai-service-leaks-surge-81-and-29m-secrets-hit-public-github/, 2026-03.
- Anthropic. "Claude Code Security Documentation." https://code.claude.com/docs/en/security, 2026.
- Anthropic. "Claude Code Sandboxing Architecture." https://www.anthropic.com/engineering/claude-code-sandboxing, 2026.
- Hacker News. "Claude Code's source code has been leaked via a map file." https://news.ycombinator.com/item?id=47584540, 2026-03-31.