Claude Codeのソースコードがnpm経由で全部見えた日 — 流出から判明した未公開モデルと隠し機能

Claude Codeを毎日触っている人間にとっては、2026年3月31日の朝は忘れられないものになった。

きっかけはひとつのツイートだった。セキュリティリサーチャーのChaofan Shou氏が「Claude Code のソースコードが npm にあがった map ファイル経由で見えている」と投稿したのが、日本時間の3月31日夕方。この投稿は24時間以内に1,600万ビューを超え、GitHubには有志が流出したコードをミラーしたリポジトリが次々と立ち上がり、それらがまたAnthropic本体より高速にスターを集めるという、いかにも2026年らしい光景が広がっていった。

流出したのは、@anthropic-ai/claude-code npm パッケージの v2.1.88 に紛れ込んでいた cli.js.map ファイル。サイズは約 59.8 MB、復元されたソースは 約1,900ファイル・512,000行以上。顧客データや APIキーは含まれていなかったものの、Claude Code 内部のほぼすべてのロジックが一晩で世間に出てしまった。

どうしてこうなったのか。何が中から出てきたのか。そして我々ユーザー側は何をすればいいのか。1週間経って情報が出揃ってきたので、ここで整理しておきたい。

原因はたった1行の.npmignore

AnthropicのBoris Cherny氏（Claude Code の責任者）は事態を認めたうえで、「plain developer error」と率直に説明している。言い訳なしの素直な表現だ。

技術的な経緯はこうだ。Claude Code は TypeScript で書かれており、Bun でシングルバイナリ風の cli.js に束ねて npm に publish している。Bun はビルド時にデフォルトでソースマップ（cli.js.map）を生成する。これ自体は開発者にとってはデバッグの味方だ。

問題はここから。.npmignore に *.map が書かれていなかったために、ビルド成果物の cli.js.map がそのままパッケージに同梱されてしまった。ソースマップはミニファイ後の1行コードを元のファイル・行番号に戻すためのマップなので、中にはオリジナルのソース文字列がほぼ丸ごと入っている。つまり、ソースマップがあれば元のコードは9割以上復元できる。

ここに、直近数ヶ月でClaude Codeが爆発的に機能追加してきた「勢い」が裏目に出た。変更のスピードが速すぎて、リリーススクリプトの見直しにまで手が回らなかったのだろう、というのが海外エンジニア界隈での大方の見方である。筆者もここは同情的だ。OSS ではないプロプライエタリのコードで .npmignore の1行を忘れる、というのはそれ自体は誰にでも起こりうるミスだし、だからこそ恐ろしい。

見つかったもの①：未公開モデル「Capybara」「Opus 4.7」「Sonnet 4.8」

中身のインパクトが最も大きかったのは、やはり未公開モデルの名前である。

流出コードの中には、モデルIDのホワイトリストが定数として残っており、そこに公開済みの claude-opus-4-6 や claude-sonnet-4-6-1m と並んで、以下のようなまだ公式発表されていない名前が入っていた。

• claude-opus-4-7
• claude-sonnet-4-8
• capybara-*（ファミリー扱い）

特に面白いのが、これらが "forbidden version strings" として扱われる「Undercover Mode」というフラグに紐づいていたことだ。Undercover Mode は、社内でモデルをブラインドテストする際に、ユーザー（＝Anthropicの社員）がどのモデルと話しているかをわからなくするためのモードらしい。UIからモデルIDが剥がされ、内部ログもマスクされる。

ここから読み取れることは2つある。

1つは、Opus 4.7 / Sonnet 4.8は「ある」ということ。 リークは出てはいけない形で出てしまったが、結果として「次のモデルが存在する」という事実が確定した。海外のVentureBeatの続報やGeeky Gadgetsの解説でもこの点が強調されている。

もう1つは、Capybaraは単一モデルではなくファミリーっぽいという点。これは以前から噂されていた「Claudeの次の世代ライン」が、4.x の延長ではなく別トラックで育っている可能性を示唆する。Anthropicは、Claude Mythos PreviewをProject Glasswingの一部として限定公開した直後でもあり、モデル公開戦略が「フロンティア研究モデルを広くは出さない」方向にシフトしているのは明らかだ。

Capybaraがどのタイミングで正式に姿を見せるかはまだわからない。ただ、Claude Capybara Tierの噂と合わせて考えれば、月単位ではなく週単位で動いている可能性がある。

見つかったもの②：autoDream と KAIROS

もうひとつの目玉は、コードベース内に埋め込まれていた2つの常時稼働エージェントの痕跡だった。

ひとつが autoDream。これはユーザーが Claude Code を立ち上げていない「アイドル時間」に、裏で走るメモリ統合エンジンらしい。コード上はforkされたサブプロセスとして実装されており、過去のセッション履歴を読み込み、要約・インデックス化・重要度スコアリングをしてから永続ストアに書き戻す、という処理が確認されている。人間の「睡眠中の記憶固定化」からネーミングしたとおぼしい。

もうひとつが KAIROS。こちらは「常時ON の背景エージェント」で、開発セッション全体を横断して、ユーザーの意図の変化（「あ、やっぱりあっちの方針で」と方向転換するパターン）を検出する役目を担っているように見える。コードの一部は未使用フラグ（feature flag）で制御されており、現時点で実環境にはデプロイされていないようだ。

個人的には、autoDreamの方が実用段階に近いと感じた。Claude Codeを複数プロジェクトで使い分けている身からすると、セッションをまたいで「あの議論の続き」を覚えていてくれるというのは単純にありがたい。現状の Claude Code は、session ID ベースのメモリはあるものの、セッションを抜けると温まった文脈が消える。autoDream が本当に実装されれば、エージェントが「昨日の続きから始める」ことが可能になる。

一方で、ここにはプライバシー上の新しい論点が生まれる。過去のセッションを勝手に要約して別ストアに書き戻す、という挙動は、企業ユーザーにとっては監査対象の話だ。Opt-outが実装されるのか、データレジデンシーはどう扱われるのか、この辺は正式リリース時に確認すべきポイントになる。

見つかったもの③：44個の隠しフィーチャーフラグ

config/feature_flags.ts 相当のファイル内に、44個の未公開フラグが並んでいたのも話題を呼んだ。全部を紹介するとキリがないので、特にインパクトの大きいものだけ拾っておく。

• enableBackgroundReasoning — アイドル時に次の手を先読みして前倒しで計算するモード。体感レイテンシを大幅に下げる可能性がある
• enableStealthContributions — Anthropic社員がOSSプロジェクトにコントリビュートする際、自動的にAnthropic由来である痕跡を隠す。倫理的にはかなりグレー
• enableClaudeBuddy — ターミナル常駐の「たまごっち」的キャラクター。エイプリルフール企画として後日Anthropicが正式発表し、笑いを取った
• enableAutoMode — これは既に出ている「Auto Mode」。ソースコードにはクラシファイアの内部構造が赤裸々に書かれており、これを読むことで「何をブロックし、何を素通しするか」の境界がかなり明確になった

enableStealthContributions は、個人的には「そんな機能を堂々とコードに残すのか……」と軽く引いた。使われていないフラグだったとしても、社員がフロンティアモデルを使って書いたOSSコードに、その出自をわざと見えなくする仕組みを持っていたのはなかなか刺激的だ。OSSコミュニティからの反発は小さくなく、現時点ではこのフラグが本番で使われていたかどうかは不明のままになっている。

便乗マルウェアまで出てきた

混乱を利用するプレイヤーが出てくるのが現代の悲しいところで、Trend Microは本インシデントの便乗キャンペーンについてレポートを出している。

観測された手口は以下のようなもの。

1. 「流出版Claude Codeソース完全版」を謳うGitHubリポジトリをいくつも立てる
2. READMEにcurl | sh形式のインストールコマンドを書き、リリースページにペイロードをホストする
3. 実行するとリモートアクセストロイ（RAT）が仕込まれ、認証情報・SSH鍵・ブラウザCookieを持ち出す

特に~/.anthropicや~/.config/claude-codeのディレクトリを優先的にスキャンする実装が確認されており、明らかにClaude Codeユーザーを狙い撃ちしている。ソースコードに興味本位でアクセスしたいだけの開発者が一番引っかかりやすい導線になっているので、公式以外のリポジトリからのインストールは今だけは特に避けたほうがいい。

同時期に完全に独立した別の事件として、axios npmパッケージの正規バージョンに悪性コードが混入するサプライチェーン攻撃も発生していた（時間帯が数時間ずれた偶然である）。この2つは技術的にはつながっていないが、ニュース上は混ざって伝わっている部分があるので注意してほしい。

ユーザー側でやるべきこと

事業で Claude Code を使っている人、特に CI/CD や本番デプロイの文脈で動かしている人向けに、最小限の確認リストを置いておく。

• @anthropic-ai/claude-code を 2.1.89 以降にアップデートする（同梱ソースマップが除外された最初のバージョン）
• もし cli.js.map をローカルに残している場合、削除してよい。Anthropicとしては非公開扱いの情報だ
• 流出ソースをGitHubミラーからcloneしているリポジトリは個人・組織問わず触れないほうがいい。正しいURLかどうかの確認が困難で、便乗マルウェアのリスクが残る
• AnthropicのステータスダッシュボードとClaude Code リリースノートをいつもより丁寧にフォローする

Boris Chernyは、リリースパイプラインを見直し、*.mapを含むデバッグ成果物をpublish前に自動で剥がすための検査を複数層追加したと述べている。同じ手口は再現しない、と見ていいだろう。とはいえ、「静的解析に頼ったホワイトリスト」ではなく、「Publishできる拡張子のallow-list」に切り替えるのが本筋なので、そこは筆者としても今後見ていきたい。

この事件が暗に示していること

今回のリークは、Claude Codeの内側を覗けたという一過性のイベントではなく、現在のAIコーディングツールが「アプリ」ではなく「エージェント OS」として設計されているという事実を、生々しい形で見せつけた。

autoDreamもKAIROSもフィーチャーフラグ構成も、もはや単一コマンドラインツールの設計ではない。バックグラウンドで走る常駐プロセス、セッションをまたぐ記憶、リアルタイムのユーザー意図推論——これらはそのままオペレーティングシステムが備える要素である。Cursor 3の「Agents Window」や、Zed のエージェンティック編集と方向性は同じで、Claude CodeもまたIDE の横にある小さなアシスタントからエージェント実行基盤へと静かに姿を変えている最中なのだ。

この前提に立つと、ユーザーとしては「どのCLIが便利か」よりも「自分の手元のマシンにどの会社のエージェントOSを常駐させるのか」という問い方に変わっていく。その重みは、従来のIDE選びとは比較にならない。プライバシー、セキュリティ、ガバナンス、費用、ロックイン——考えるべきことが一気に増える。

ただし、これは悪い話ばかりではない。autoDreamが本当に実装されれば「昨日の続きから始める開発」という夢は近づくし、KAIROSのような意図追跡がうまく動けば「毎回同じ説明を繰り返す徒労」からも解放される。今回の流出で未来が見えてしまっただけで、本当に面白い部分はこれから実装されると考えた方が建設的だ。

一方で、Anthropicには早めに「何を実装していて、何はしていて、何はしていないのか」のマップを公式に公開してほしいと思う。今回のような事故で未来の絵がリークするのは、ユーザーにとっても会社にとってもフェアではない。

---

参考リンク:

• VentureBeat — Claude Code's source code appears to have leaked
• Layer5 Blog — The Claude Code Source Leak: 512,000 Lines, a Missing .npmignore
• Alex Kim's blog — fake tools, frustration regexes, undercover mode, and more
• Trend Micro — Claude Code ルアーとGitHubリリース悪用のペイロード
• Zenn — Claude Codeソースコード流出事件｜何が起きたか＆今すぐやるべき対策