Anthropicのコマンドラインインターフェース「Claude Code」のソースコードが、最近のリリースにおけるパッケージングミスによりオンラインで流出した。このインシデントにより、約2,000個のTypeScriptファイルから51万2,000行以上のコードが露呈した。同社はこれを人為的ミスによるものであり、機密データは含まれていないと説明している。
Anthropicは2026年3月31日、npmパッケージ「Claude Code」のバージョン2.1.88をリリースした。このパッケージには誤ってソースマップファイルが含まれており、コードベース全体へのアクセスが可能となっていた。セキュリティ研究者のChaofan Shou氏がXでこの問題を最初に指摘し、ファイルのアーカイブへのリンクを共有した。その後、このコードは公開GitHubリポジトリに掲載され、それ以来数万回フォークされている。Anthropicの担当者によると、顧客データや認証情報が流出した事実はなく、これはセキュリティ侵害ではなく、人為的ミスによるリリースパッケージングの問題であったと述べた。同社は「本日未明、Claude Codeのリリースに一部の内部ソースコードが含まれていました。機密性の高い顧客データや認証情報が含まれたり、流出したりした事実はありません。これはセキュリティ侵害ではなく、人為的ミスによるリリースパッケージングの問題です。今後このような事態が再発しないよう対策を講じています」と声明を出している。開発者たちは直ちに流出したコードの解析を開始した。例えば、ある概要では、バックグラウンドでのメモリ書き換えや検証ステップを含む、Claude Codeのメモリ管理アーキテクチャが詳述された。また別の分析では、プラグインのようなツールシステムに約4万行、クエリシステムに4万6,000行が割かれていることが指摘され、単なるAPIラッパーを超えた洗練された実用レベルの開発ツールであると評された。これまでコミュニティによるリバースエンジニアリングの試みは一部で行われていたが、今回の流出により、前例のない完全なコードが提供されることとなった。この流出は、競合他社に対してAnthropicのアーキテクチャやガードレールにおける潜在的な脆弱性に関する知見を与える可能性がある。
