「Claude Code流出」と
ハーネス設計
(npm ソースマップ)

by
  • Claude Codeのnpmパッケージにデバッグ用ファイルが誤って含まれ、約512,000行のTypeScriptコードが誰でも閲覧できる状態になりました。
  • 流出したのはAIモデル本体ではなく、権限制御やツール呼び出しなどの実行制御層(ハーネス)で、製品の競争力がそこに宿っていることが広く知られる結果になりました。
  • 同日にaxiosのサプライチェーン攻撃も発生しており、該当時間帯にnpm経由でインストールしたユーザーは依存関係の確認と認証情報のローテーションが必要です。

関連記事

1. npmのsource map事故と、AIコーディング支援の「ハーネス設計」

米AnthropicのAIコーディング支援ツール「Claude Code」をめぐって、2026年3月31日、公開npmパッケージに含まれたsource map(変換後のコードと元コードの対応を示すファイル)を通じて、内部のTypeScriptコードが広く参照できる状態になりました。

Claude Code 流出事件 512,000行 TypeScriptコード 1,900ファイル 2026年3月31日 — npm source map 配布事故 モデル本体の漏えいではなく、ハーネス実装の露出

流出したのはバージョン2.1.88のパッケージで、59.8MBのsource mapファイルが誤って同梱されていました1
Anthropicはこれをセキュリティ侵害ではなくリリース時のパッケージングにおける人為的ミスと説明しており、顧客データや認証情報の漏えいは確認されていないとしています2

1.1. 「モデル漏えい」ではなく「ハーネス漏えい」

勘違いしやすいのですが、この件は、「モデル本体の漏えい」ではありません。

「モデル漏えい」ではなく「ハーネス漏えい」 漏れていない 🧠 モデル本体 weights(重み) 学習データ 推論インフラ VS 露出したもの ⚙️ ハーネス実装 エージェント実行基盤 権限制御・ツール設計 マルチエージェント処理

表に出たのはClaudeの重み(weights)や学習データではありません。
Claude Codeという製品を支えるエージェント実行基盤・権限制御・ツール呼び出し・マルチエージェント処理といった、いわゆる「ハーネス」に属する実装部分です。
Claude Codeは、「ターミナルに住むagentic coding tool」で、プラグインやコマンド拡張を含む製品として位置づけています3

1.2. GitHubでの公開済みコードとの違い

ところで、Anthropicは、Claude Codeに関連するコードや資産をGitHub上で一定の範囲で公式公開しています。
しかし、「今回露出した内部コードも最初から公開対象だった」わけではありません。

公開リポジトリとして運用される、anthropics/claude-codeでは、導入方法・プラグイン・サンプル・各種スクリプトを閲覧できます。
また、anthropics/claude-plugins-officialでは、Anthropic管理の公式プラグイン群も公開されています。

ただし、GitHub上では「Claude Code CLI is currently closed-source(現在クローズドソース)」という issue が立っているように、 本体CLIの内部実装一式は公式OSS化されていません。
今回の問題の核心は、Claude Codeの内部実装の相当部分が外部から読み取れる状態になった点です。
公式に見せていた部分と、配布ミスによって意図せず見えてしまった部分は別物です。

2. ハーネス設計から何が読み取れるか

流出コードや公開資料から見えてくる基本思想は、「LLMにただコードを書かせる」のではなく、「権限の境界と実行面を細かく分け、その上に対話・計画・実行・検証を重ねる」という設計です。

ハーネス設計から何が読み取れるか 外部入力 ファイル読取 Webフェッチ Prompt Injection サーバー側プローブ 入力レイヤー防御 Transcript Classifier Sonnet 4.6 動作 FPR 0.4% 実行 or ブロック Classifierの2段階判定 ① 高速シングルトークン → ② chain-of-thought(フラグ時のみ) Auto Mode — 2026年3月25日公開

実は、Anthropicが2026年3月25日に公開したAuto Modeの技術記事でも、その方向性は明示されていました。
Claude Codeはもともとコマンド実行やファイル変更の前に承認を求める設計で、Auto Modeではそれをさらに発展させ、入力側にはprompt injection(外部入力でモデルの行動を乗っ取ろうとする攻撃)の検査を、出力側には会話とツール呼び出しを見て危険操作を止めるtranscript classifierを置いています。
しかも、その判定は、サブエージェントへの委譲時と結果返却時の両方に差し込まれています4

2.1. Auto Modeが生まれた背景

Auto Modeが設計された背景には、現実的な利用実態があります。
Anthropicの内部データによれば、ユーザーは承認プロンプトの93%をほとんど確認せずに通しており、人間によるレビューが形骸化していました5
これを受けて、分類器に判断を委ねる仕組みを整備することで、意味のある安全性を確保しようとした形です。

2.2. オーケストレーション設計が競争力の源泉

この構造が示しているのは、Claude Codeの価値は、「ClaudeをCLIにした」ことだけではないということです。

実際の競争力は、モデルをどう道具に接続するか、どの操作を自動許可してどこから先を止めるか、失敗時にどうリカバリさせるか、といった「オーケストレーション(実行制御)」の設計にあります。
Auto Modeの説明でも三層構造が示されており、読み取り専用やプロジェクト内ファイル編集のような操作は軽く通し、シェル実行・外部送信・境界外ファイルアクセスはより重い判定に回します。
「賢い単体モデル」よりも「モデルを暴走させずに働かせる制御面」こそが製品の実体になっています6

2.3. ハーネスに宿る差分

その意味で、今回の明らかになったことは「AIコーディングエージェントの差分は、かなりの部分がハーネスに宿る」ということです。

以前から言われていた一般論に、今回はかなり具体的な輪郭が与えられました。
公開GitHubリポジトリを見ても、Claude Codeはcommands・components・permissions・tools・services・pluginsといった層に分かれた大きなプロダクトであり、多機能な運用を前提に育てられていることがわかります7

3. source mapとはなにか

次に、今回の入口となったsource mapの仕組みを押さえておきます。

source map とはなにか TypeScript cli.js.map 対応表(JSON) sourcesContent ↕ 元コード埋込 59.8 MB 公開状態 🔓 内部実装へ 直接アクセス可 原因の一つ:Bun バグ #28001(2026年3月11日報告・未修正) ドキュメントに反し、プロダクションビルドで source map が出力されていた

source mapはデバッグのための仕組みで、圧縮・変換後のJavaScriptが元のTypeScriptのどこに対応するかを示すJSON形式の対応表です。
ブラウザやデバッガはsourceMappingURLなどを手がかりにこれを読み、開発者に元コードに近い形で表示します。
配布物にsource mapが残っているだけなら常に危険というわけではありませんが、sourcesContentのような形で元コードそのものが埋め込まれていれば、実質的にソース配布に近い状態になります。
今回は、そのデバッグ用の橋が公開物から内部実装へそのまま伸びていたことが問題でした8

3.1. 「侵害」ではなく「配布事故」

強調しておきたいのは、source mapの公開とセキュリティ侵害は同じではないという点です。

原因は高度な侵入や権限突破ではなく、公開パッケージに本来含めるべきでない情報が混入したこと、つまり「侵害」より「配布事故」と表現するほうが正確です。
ただし、原因が地味だからといって影響まで軽いわけではありません。
外部の開発者はこの公開物をもとにClaude Codeの内部構造をかなり具体的に観察できました9

3.2. 流出コードへの削除申請

経緯を整理すると、npm上の配布物から参照可能な状態が見つかり、その情報がXで指摘され、以後GitHubなどでミラーや再構成版が共有されて急速に拡散しました10
その後、Anthropicは、DMCA(デジタルミレニアム著作権法)に基づく削除申請を実施し、一部は削除されています。

3.3. 同時多発したaxiosサプライチェーン攻撃

この事故と同日(3月31日 00:21〜03:29 UTC)に、Claude Codeが依存するHTTPクライアントライブラリaxiosの悪意あるバージョン(1.14.1 / 0.30.4)がnpmに公開されるという、別のインシデントも発生しました11

Claude Codeの流出自体とaxiosの攻撃には直接の関係はありませんが、同日に重なったことで状況が複雑になりました。
現在の公式リポジトリは公開されており、READMEにはnpmインストールがdeprecated(非推奨)であることやプラグイン・公式ドキュメントへの導線が明記されています。
Anthropicは現在、npmではなくネイティブインストーラー
curl -fsSL https://claude.ai/install.sh | bash)の利用を推奨しています。

4. この事故が示すこと

今回の件は、AnthropicのAIモデルの秘密が丸ごと漏れた話ではありません。

しかし、Claude Codeを実用的な製品にしている制御層の知見がかなり具体的に見えてしまった出来事ではあります。
そこから見えたのは、AIコーディング支援の競争が、モデル性能だけでなく、権限境界・ツール設計・承認フロー・マルチエージェントの分業・失敗時の停止条件といった実装に支えられているということです。
npmのsource mapはデバッグ補助にすぎませんが、配布設計を誤れば製品全体の設計図への入口になります12

  1. 流出を最初に公開したのは、Solayer Labsのインターン研究者Chaofan Shou(@Fried_rice)です。彼はXに直接ダウンロードリンク付きで投稿し、数時間でGitHub上にミラーが広まりました。 – Claude Code’s source code appears to have leaked: here’s what we know
  2. 流出コードの規模は約1,900ファイル・512,000行以上のTypeScriptで、ツールシステム(約40ツール・29,000行)やクエリエンジン(46,000行)などを含みます。 – Claude Code’s Entire Source Code Was Just Leaked via npm Source Maps
  3. 今回はこれが2回目の同種事故です。ほぼ同じ構造のsource mapリークが2025年2月にも発生しており、Anthropicは当時も「再発防止策を講じる」と表明していました。 – Anthropic Source Code Leak 2026: Claude Code CLI Exposed via npm Source Map Error
  4. transcript classifierはSonnet 4.6で動作し、誤検知率(FPR)は0.4%と報告されています。ただし意図を超えた過剰行動の見逃し率は17%という数字もAnthropicが開示しています。 – Claude Code auto mode: a safer way to skip permissions
  5. Anthropicはこの実態を設計の根拠として公開しており、「ユーザーがどうせ承認するなら、分類器に判断させたほうがましだ」という発想でAuto Modeを設計しました。 – Claude Code Auto Mode: The Absent Human
  6. Anthropicが公開したインシデント事例として、曖昧な指示によるリモートgitブランチの削除、エンジニアのGitHub認証トークンの内部クラスターへのアップロード、本番データベースへのマイグレーション実行の試みなどが記録されています。Auto Modeはこうした「善意の暴走」を止めることを主目的としています。 – Claude Code auto mode: a safer way to skip permissions
  7. 流出コードのコミュニティ分析では、GrowthBookを使ったランタイム機能フラグが25種類以上確認されており、tengu_プレフィックスを持つフラグがサーバー側から動的に制御されていることが明らかになりました。 – Anthropic accidentally published Claude Code’s source code. Here’s the part nobody’s talking about.
  8. 技術的な原因の一つとして、AnthropicがBun JavaScriptランタイムを使っていることが指摘されています。Bunには2026年3月11日にissue #28001として報告されたバグがあり、ドキュメントに反してプロダクションビルドでsource mapが出力される挙動が確認されていました。このバグは事故の20日前から未解決のままでした。 – The Great Claude Code Leak of 2026
  9. AIセキュリティ企業Straikerは、内部コードへのアクセスにより「Claude Codeの4段階コンテキスト管理パイプラインを研究して、コンパクション後も生き残るペイロードを設計できるようになった」と指摘しています。これは直接の漏えい被害ではなく、今後の攻撃の精度が上がるリスクです。 – Claude Code Source Leaked via npm Packaging Error, Anthropic Confirms
  10. GitHubミラーの一つは30,000スターを超え、その後AnthropicはDMCAに基づく削除申請を実施しました。ただし、DMCA申請が届かないプラットフォーム(Gitlawbなど)では「削除しない」と明示したまま公開が続いているものもあります。 – The Great Claude Code Leak of 2026
  11. このaxiosへの攻撃は北朝鮮関連とされる脅威グループUNC1069によるものと報告されています。Windows・macOS・Linux向けのリモートアクセストロイの木馬(RAT)が埋め込まれていました。該当時間帯にnpm経由でClaude Codeをインストールまたは更新したユーザーは、lockfileにplain-crypto-jsが含まれていないかを確認することが推奨されます。 – Claude Code Source Leaked via npm Packaging Error, Anthropic Confirms
  12. なお、今回の事故は5日前の別のインシデントとも重なっています。2026年3月26日には、AnthropicのCMSの設定ミスにより未発表モデル「Claude Mythos」の詳細を含む約3,000件の内部ファイルが公開状態になっていたことが明らかになっていました。1週間以内に2件の重大な情報開示事故が重なったことは、リリース管理体制への疑問を呼びました。 – Anthropic Source Code Leak 2026: Claude Code CLI Exposed via npm Source Map Error