Claude Codeのソースコード流出で個人情報は漏洩しましたか？

いいえ。Anthropicは「顧客データや認証情報は一切含まれていない」と明言しています。流出したのはClaude Code自体のTypeScriptソースコードであり、ユーザーのコードやAPIキーなどは含まれていません。

今もClaude Codeを使い続けて大丈夫ですか？

はい。流出したのはツール自体のソースコードであり、ユーザーのセキュリティに直接影響するものではありません。Anthropicは流出発覚後すぐにnpmパッケージを更新し、ソースマップを除去しています。通常通り利用可能です。

流出したソースコードから何がわかりましたか？

偽ツール注入によるモデル蒸留対策、ユーザーのフラストレーション検知用の正規表現、OSS貢献時にAIであることを隠す「潜入モード」、BUDDYというたまごっち風AIペット機能など、未公開の内部実装が多数発覚しました。

Claude Mythosのリーク事件とは別の事件ですか？

はい。Claude Mythosのリークは3月26日にCMSの設定ミスで発生した事件です。今回のソースコード流出は3月31日にnpmパッケージのソースマップ同梱ミスで発生しました。わずか5日間で2件のデータ漏洩が起きたことになります。

AI News 2026年4月1日 16分で読める

Claude Codeソースコード流出の全貌｜npm経由で51万行が丸見えになった日

#Claude Code #Anthropic #ソースコード流出 #npm #セキュリティ #AI開発ツール

この記事はこんな人におすすめ

Claude Codeを日常的に使っているエンジニア・PM
AIツールのセキュリティや内部構造に関心がある開発者
Anthropicの最新動向を追いかけている人

要点: (1) Claude Code v2.1.88のnpmパッケージにソースマップが同梱され、約51万行のTypeScriptソースが流出、(2) 偽ツール注入・潜入モード・たまごっちAIペットなど未公開機能が多数発覚、(3) 5日前のClaude Mythosリークに続く2件目の漏洩で、Anthropicの内部管理体制に疑問の声

「皮肉が過ぎる」。Hacker Newsのトップコメントがこの一言に集約されていた。

2026年3月31日、Anthropicが誇るAIコーディングツール「Claude Code」のソースコード約51万行が、npmレジストリ（JavaScriptパッケージの公開・配布プラットフォーム）経由で全世界に公開された。原因は、本番パッケージにソースマップファイルを同梱してしまったという、開発者なら背筋が凍るような初歩的ミスだ。

コードレビューの精度を売りにするAIツールが、自社のリリースパイプラインでソースマップの除外を忘れる。ある開発者はRedditで「Claude Codeにレビューさせていれば防げたのでは」と書いた。笑えない冗談だが、的を射ている。

何が起きたのか：流出の経緯

2026年3月31日の早朝、npmレジストリに@anthropic-ai/claude-codeのバージョン2.1.88が公開された。このパッケージの中に、59.8MBのJavaScriptソースマップファイルが含まれていた。

ソースマップとは、本来は開発者がミニファイ（コードを圧縮・軽量化する処理）されたコードをデバッグするための内部ファイルだ。TypeScriptの元ソースコードを完全に復元できる情報が詰まっている。本番環境に含めるものではない。

発見者はSolayer LabsのインターンChaofan Shou氏。X（旧Twitter）で発見を公表すると、数時間のうちに51万2,000行・約1,900ファイルのTypeScriptソースコードがGitHubにミラーリングされた。フォーク（コードの複製）数は4万1,500件を超えた（Decrypt報道時点）。

Mythos漏洩との関係

今回の流出は、わずか5日前に発生したClaude Mythosの情報漏洩に続く2件目だ。Mythos事件はCMSツールの設定ミスが原因で、下書きブログ記事から未発表モデルの存在が発覚した。立て続けの漏洩に、開発者コミュニティからはAnthropicの内部管理体制を疑問視する声が上がっている。

流出の原因：Bunのソースマップ処理

Alex Kim氏のブログ分析によると、問題の根本はBun（Node.js代替の高速JavaScriptランタイム）のビルドツールチェーンにある可能性が高い。Bunのドキュメントでは本番モードでソースマップが無効化されるとされているが、実際にはプロダクションビルドでもソースマップが生成・同梱されるバグが報告されていた（oven-sh/bun#28001）。

加えて、.npmignoreやパッケージ設定で.mapファイルを除外する設定が漏れていた。二重の防壁があるべきところに、どちらも穴が開いていた。

Anthropicは「ヒューマンエラーによるリリースパッケージングの問題であり、セキュリティ侵害ではない」と声明を出した。顧客データや認証情報は含まれていなかったと強調している。

ソースコードから見えた5つの内部実装

流出したコードを世界中の開発者が分析し、いくつかの注目すべき内部実装が明らかになった。

1. 偽ツール注入（Anti-Distillation）

ANTI_DISTILLATION_CCというフラグが存在し、有効化するとAPIリクエストにanti_distillation: ['fake_tools']が付与される。サーバー側で偽のツール定義がシステムプロンプトに注入され、Claude CodeのAPI通信を傍受してモデルを蒸留（大規模モデルの出力を使って小型モデルをコピー学習させる手法）しようとする競合他社のデータを汚染する仕組みだ。

GrowthBook（A/Bテスト・フィーチャーフラグ管理ツール）のフラグtengu_anti_distill_fake_tool_injectionで制御されており、Anthropic公式CLIからの利用時のみ動作する。

モデル蒸留対策としては合理的だが、「ユーザーが気づかないところでプロンプトを改変している」という事実に不快感を示す開発者もいた。

2. フラストレーション検知の正規表現

ユーザーの入力から不満を検知する正規表現が含まれていた。

/\b(wtf|shit|fuck|horrible|awful|terrible)\b/i

LLM企業が感情分析に正規表現を使っている点が、Hacker Newsで「peak irony（究極の皮肉）」と話題になった。高度な自然言語処理モデルを開発している会社が、感情検知には単純なパターンマッチを使っているのだ。

ただし、この正規表現の具体的な用途についてAnthropicからの公式説明はない。UX改善のためのフィードバック収集である可能性が高いが、確認は取れていない。

3. 潜入モード（Undercover Mode）

OSS（オープンソースソフトウェア）への貢献時に、AIであることを隠すためのサブシステムが実装されていた。システムプロンプトには「Do not blow your cover（正体を明かすな）」と記述されており、コミットメッセージにClaude Codeの名前やAIの痕跡を残さない仕組みだ。

Anthropicが自社のOSSプロジェクトにClaude Codeで貢献しているのか、それとも外部プロジェクトにも使っているのか。後者であれば、OSSコミュニティの信頼に関わる問題になりかねない。IDEsaster脆弱性の記事でも取り上げたように、AIツールの透明性は今後ますます重要になる。

4. 44個のフィーチャーフラグと20以上の未公開機能

コードベースには44個のフィーチャーフラグが確認された。完全に実装済みだが出荷されていない機能が20以上含まれていた。主な未公開機能は以下の通りだ。

機能名	概要
KAIROS	常時稼働型のClaude。ユーザーの入力を待たず、環境を監視して能動的に行動する
ULTRAPLAN	複雑な計画タスクをクラウドのOpus 4.6に委託し、最大30分の思考時間を与えるモード
BUDDY	たまごっち風のAIペット。18種のキャラ、レア度、ステータス（DEBUGGING, PATIENCE, CHAOS, WISDOM, SNARK）を持つ
Coordinator Mode	複数エージェントのスウォーム（群制御）システム
Workflow Scripts	タスク自動化のためのスクリプト実行基盤

BUDDYについてはnote上で詳細な解析記事も公開されており、4月1日〜7日にティーザー公開、5月に正式リリースという計画だったようだ。エイプリルフール企画との兼ね合いも指摘されている。

5. コード品質の実態

コード品質について、気になる数字も発覚した。Alex Kim氏の分析によると、print.tsは5,594行に達し、単一の関数が3,167行、ネストは12段階に及んでいた。

開発者Skanda氏は「この”流出”はちょっとクリックベイト。Claude Code CLIのnpmパッケージは以前からミニファイされたJSとして読めた。ソースマップのおかげでTypeScriptとして読みやすくなっただけ」と冷静な見方も示した。事実、ソースマップがなくても逆コンパイルは技術的に可能だった。

開発者コミュニティの反応

反応は大きく3つに分かれた。

「皮肉だ」派: コードレビューを得意とするAIツールが、自社のリリースプロセスでソースマップの除外を忘れたことへの皮肉。Reddit、Hacker Newsともに最も多かったリアクションだ。

「有益だ」派: 韓国の開発者Sigrid Jin氏は、流出コードのアーキテクチャを参考にPythonでclaw-codeを一晩で実装。GitHubで約3万スターを記録したと報じられている（36Kr、中国大手テックメディア）。Claude Codeの設計思想が公開されたことで、AIコーディングツール全体の進化を促すとの見方もある。

「冷静に見るべき」派: 前述のSkanda氏のように、ミニファイされたJSはすでに読解可能であり、今回の件は「読みやすさが向上した」に過ぎないとする意見。Qiitaでも「512,000行が教えるプロダクションAIアーキテクチャ」というタイトルで技術的な分析記事が投稿されており、流出を学習機会として捉える動きも見られた。

Anthropicの対応と残った課題

Anthropicは発覚後、以下の対応を行った。

npmパッケージを更新し、ソースマップファイルを除去
旧バージョンをnpmレジストリから削除
「顧客データ・認証情報は一切含まれていない」との声明を発表

しかし、GitHubには少なくとも3つのミラーリポジトリが残っており、4万件以上のフォークと合わせて「インターネットは永遠に忘れない」状態だ。Decrypt誌は「The Internet Is Keeping It Forever（ネットは永遠に保存する）」と見出しに付けた。

5日間で2件のデータ漏洩（Mythosのリークとソースコード流出）という事態は、Anthropicの急成長に内部プロセスの整備が追いついていない可能性を示唆する。年間換算売上（ARR）190億ドル超・評価額3,800億ドルの企業として、リリース管理の強化は急務だろう。

PMとしての所感

筆者はClaude Codeを毎日の業務で使っている。今回の流出を受けて「使うのをやめよう」とは思わなかった。理由は単純で、流出したのはツール自体のソースコードであり、筆者のコードやデータが危険にさらされたわけではないからだ。

むしろ興味深かったのは、Claude Codeの内部設計だ。偽ツール注入によるモデル蒸留対策は、AI企業が知的財産をどう守るかという現在進行形の課題を映し出している。KAIROSやULTRAPLANといった未公開機能は、AIコーディングツールの次の進化の方向性を垣間見せてくれる。

一方で、潜入モードには正直なところ引っかかる。AIが人間のふりをしてコードを書く行為が、OSSコミュニティでどこまで許容されるのか。透明性を重視するAnthropicのブランドイメージとの整合性も気になる。この点は今後の動向を注視したい。

BUDDYについては、正直に言えば、ちょっと楽しみだ。

Claude Code 大型アップデートまとめ — Opus 4.6やAgent Teamsなど、Claude Codeの主要機能を解説
Claude Mythosとは｜Anthropic新モデルがデータ漏洩で発覚 — 5日前に発生したMythosのリーク事件の詳細
Claude Code Security｜AIが脆弱性を狩る時代へ — Claude Codeのセキュリティ機能。皮肉にも、今回は自社のセキュリティが問われた

Claude Codeの機能や料金について詳しく知りたい方は、Anthropic公式サイトで最新情報を確認できる。既存ユーザーは通常通り利用を継続して問題ない。Claude Codeの機能を詳しく知りたい方は「Claude Code 大型アップデートまとめ」も参考にしてほしい。

詳しく見る

免責事項: 本記事の情報は2026年4月1日時点のものだ。流出したソースコードの分析結果は第三者の報告に基づいており、Anthropicが公式に確認していない情報を含む。最新の状況はAnthropicの公式発表を参照されたい。

商標に関する注記: Claude、Claude Code、AnthropicはAnthropic, PBCの商標または登録商標だ。その他記載の会社名・製品名は各社の商標または登録商標である。