3月31日の深夜、セキュリティ研究者の Chaofan Shou(@Fried_rice、Solayer Labs)が奇妙なことに気づいた。Claude Code v2.1.88 の npm パッケージに、59.8MB ものソースマップファイルが紛れ込んでいる。辿った先には Cloudflare R2 上に置かれた完全な TypeScript ソースコード——1,900ファイル、512,000行——が公開状態で転がっていた。
Anthropic は即座に「人的エラーによるパッケージングミス。セキュリティ侵害ではなく、顧客データや認証情報の露出もない」と声明を出した。だが、すでに遅い。この発見ツイートは 16M Views を記録し、GitHub 上では 41,500 以上のフォークが作られた(GitHub 史上最速成長リポジトリと報じられている)。DMCA で再配布は制限されたが、ミラーは無数に存在する。
偶然の産物が見せた「次の Claude Code」
流出コードの技術的な面白さは、まだ表に出ていない機能群が丸見えになったことだ。中でも注目すべきは以下の5つ。
KAIROS がもっともインパクトが大きい。常時稼働型のバックグラウンドエージェントで、コードベース内の150箇所以上で参照されている完成度の高い機能だ。GitHub Webhook のモニタリング、push 通知、15秒のブロッキングバジェットなど、「Claude Code が寝ている間も働き続ける」世界を見据えている。これが正式リリースされれば、開発ワークフローが根本的に変わる可能性がある。
autoDream は、セッションのアイドル時に記憶を統合するバックグラウンドプロセス。Orient → Gather → Consolidate → Prune の4フェーズで動き、「24時間以上経過」「5セッション以上完了」「並行プロセスなし」の3条件でトリガーされる。人間で言えば睡眠中の記憶定着に近い。
他にも Undercover Mode(Anthropic スタッフが公開リポジトリで AI 起源を隠すモード)、フラストレーション検出(ユーザーの感情的苦痛を正規表現でスキャン)、アンチ蒸留防護(フェイクツールインジェクションで競合のデータ収集を妨害)など、製品戦略の考え方が透けて見える機能が並んでいた。
見落とせないセキュリティの「もう一つの被害」
流出そのものより深刻かもしれないのが、同じ時間帯に起きた npm サプライチェーン攻撃だ。流出期間中(3/31 00:21〜03:29 UTC)に axios パッケージ(1.14.1 / 0.30.4)にトロイの木馬が混入していた。この時間帯に npm update を走らせたプロジェクトは、RAT(Remote Access Trojan)に感染した可能性がある。
偶然の一致なのか便乗攻撃なのかは不明だが、CI/CD パイプラインの dependabot アラートは必ず確認しておきたい。
マネージャーとしてどう構えるか
この事件から得られる教訓は2つある。ひとつは、KAIROS や autoDream の方向性を知ったうえで、正式リリース時にすぐ評価できる準備をしておくこと。もうひとつは、npm エコシステムのサプライチェーンリスクを改めてチームで共有すること。流出コード自体の再配布は DMCA で制限されているので、コンプライアンス上は「概要レベルでの方向性把握」に留めるのが賢明だろう。