2026年3月31日、AnthropicのAIコーディングツール「Claude Code」のソースコードが、誤ってインターネット上に公開される事態が発生した。
流出規模は約512,000行・1,900ファイルにのぼり、世界中の開発者や研究者の目に触れることとなった。
「Claude Code ソースコード 流出」というワードで調べている方に向けて、この記事で整理する。
- 何がどのように流出したのか
- 流出したのはAIモデル本体か、それとも別のものか
- ユーザーへの具体的な影響と確認事項
何が起きたのか — 事件の概要
2026年3月31日深夜(UTC)、Anthropicはnpmレジストリに「Claude Code」の新バージョン v2.1.88 を公開した。
このリリースに、本来は含まれるべきではないソースマップファイル(.mapファイル)が混入していた。
問題はセキュリティ研究者のChaofan Shou氏によって発見され、数時間以内に広く知られることとなった。
流出したコードはGitHub上で数万回以上フォークされ、世界中の開発者が内容を解析し始めた。
| 項目 | 内容 |
|---|---|
| 発生日時 | 2026年3月31日(UTC 00:21頃) |
| 発見者 | セキュリティ研究者 Chaofan Shou 氏 |
| 流出規模 | 約512,000行 / 1,900ファイル / 59.8MB |
| 流出経路 | npmレジストリ(@anthropic-ai/claude-code v2.1.88) |
| Anthropicの公式見解 | 流出したコードの本物であることを認め、対処済みと発表 |
流出したのは「AIモデル」ではなくCLIツールのコード
「Claudeのソースコードが流出」という見出しを見て、AI本体の設計や学習データが漏れたと誤解する方も多い。
しかし、流出したのはAIモデル(Claude)の本体ではなく、コマンドラインツール「Claude Code」のフロントエンド実装コードだ。
具体的に含まれていたのは以下のとおり。
- ターミナルUIのフレームワーク実装(React + Ink 使用)
- APIクライアントのロジック
- OAuth 2.0 認証フロー
- 約40種類のエージェントツール定義
ユーザーデータや会話履歴、Claudeのモデルウェイト、訓練データは含まれていない。
この点はAnthropicも明示的に認めている。
ただし、内部実装の詳細が明らかになったことで、アーキテクチャを理解した上での高度な攻撃が理論的には可能になった。
また、未公開の次世代プロジェクト「KAIROS」の存在や、未リリース機能の詳細も明らかになったと報じられている。
なぜ流出したのか — ソースマップという技術的落とし穴
流出の直接原因は、ソースマップファイル(.mapファイル)のパッケージへの誤混入だ。
ソースマップとは、圧縮・難読化されたJavaScriptを、元の読みやすいソースコードに対応付けるためのデバッグ用ファイルだ。
開発者がエラーを追跡するときに使われるもので、本来は公開パッケージに含めるものではない。
今回、以下の2つの条件が重なって流出が起きた。
- Claude CodeはJavaScriptランタイム「Bun」を採用しているが、Bunはデフォルトでソースマップを生成する
- npmへの公開設定で、.mapファイルを除外する指定が抜け落ちていた
悪意あるコードが混入されたわけでも、外部からの攻撃を受けたわけでもない。
リリース工程における設定ミス、いわば「うっかり公開」だ。
Anthropicの対応
事態発覚後、Anthropicは速やかに以下の対応を取った。
- 問題のある v2.1.88 をnpmレジストリから非公開化
- 修正版 v2.1.89 をリリース
- 流出コードを掲載したGitHubリポジトリへDMCA(著作権侵害)申請を送付(対象は8,100以上のリポジトリ)
米Gizmodoの取材に対し、流出したコードが本物であることを認め、「ユーザーデータへの影響はない」と述べた。
今回の件では、AnthropicがGitHubに対して著作権侵害を主張する側に立つという構図も生まれた。
同社はこれまでAIの学習データ利用をめぐる著作権訴訟で被告側に立つケースが多かったためだ。
ユーザーが確認すべきこと
【要注意】特定時間帯にインストール・更新した場合
[alert]2026年3月31日 UTC 00:21〜03:29 の間に Claude Code v2.1.88 をインストール・更新したユーザーは、RAT(リモートアクセス型トロイの木馬)を含む可能性のある悪意ある axios パッケージが混入していた恐れがある。セキュリティ専門家は、該当する場合はホストマシンを完全に侵害されたものとみなし、全シークレットのローテーションとOSの再インストールを推奨している。[/alert]
それ以外の一般ユーザーへの影響
AIモデル本体やユーザーデータの漏洩はない。
ただし、以下の点には引き続き注意が必要だ。
偽GitHubリポジトリに注意:「流出したClaude Codeのソースコード」を謳い、実際にはマルウェアを配布するリポジトリが確認されている。絶対にクローンや実行をしないこと。[/warn]
Claude Codeのインストールは、Anthropic公式が推奨するネイティブインストーラーを使用すること。
curl -fsSL https://claude.ai/install.sh | bash
この事件が示すもの
今回の流出は、AIツール企業のリリース管理の甘さを浮き彫りにした。
ソースマップの除外設定はnpmパッケージの基本的なセキュリティ対策であり、世界規模で利用されるツールでこの見落としが起きたことは業界全体への警鐘といえる。
一方、「Claudeは安全なのか」という本質的な問いへの答えは変わらない。
AIモデル本体・ユーザーデータへの影響はなく、あくまでCLIツールの実装コードの公開にとどまる。
ただし、内部アーキテクチャが公開されたことで、今後より洗練された攻撃手法が生まれる可能性は排除できない。
Anthropicがどのようなセキュリティ強化策を打つか、引き続き注視が必要だ。
よくある質問
Q. 自分のClaudeとの会話は流出しましたか?
いいえ。今回流出したのはCLIツール「Claude Code」のソースコードのみで、ユーザーの会話データは含まれていない。
Q. Claude Codeは今も安全に使えますか?
現在は修正版(v2.1.89以降)がリリースされており、通常利用であれば問題ない。
必ず公式インストーラー経由で最新版を使用すること。
Q. AIモデル(Claude本体)の設計は流出しましたか?
いいえ。流出したのはターミナルで操作するためのフロントエンドCLIのコードであり、Claudeを動かすAIモデルのウェイトや訓練データは含まれていない。
Q. GitHubで「Claude Code 流出コード」を名乗るリポジトリは信頼できますか?
信頼できない。マルウェアを配布する偽リポジトリが多数確認されている。
クローンや実行は絶対にしないこと。
まとめ
Claude Codeのソースコード流出事件(2026年3月)の要点をまとめる。
- 原因はnpmパッケージへのソースマップ誤混入というリリースミス
- 流出したのはCLIツールの実装コードであり、AIモデル本体・ユーザーデータは含まれない
- 特定時間帯にインストールしたユーザーは追加確認が必要
- 偽リポジトリ・タイポスクワッティングへの注意が必要
- AnthropicはDMCA申請など対応済み、修正版リリース完了
過剰な不安を持つ必要はないが、インストールのタイミングによっては具体的な対応が必要なケースもある。
公式情報を確認しながら、最新版を正規の方法で使い続けることが最善策だ。
コメント