Anthropic「Claude Code」のソースコードがnpmパッケージから一時流出、人為的ミスでソースマップ誤混入

AnthropicのAIコーディング支援ツール「Claude Code」のソースコードが、npmパッケージへの誤ったファイル混入により一時的に外部からアクセス可能な状態となり、ネット上で拡散した。同社はセキュリティ侵害ではなく人為的ミスと説明し、顧客データの漏えいはないと否定しているが、AI開発の中核を担うコードベースが意図せず公開されたことで、技術的機密性に対する重大な懸念が浮上している。

流出の直接的原因は、npmに公開されたパッケージに、通常は含まれないソースマップファイルが誤って混入されたことだ。このファイルにより、難読化された本番コードから元のソースコードを容易に復元・解析できる状態が生まれた。Anthropicは事態を迅速に認識し、問題のパッケージを更新したが、流出したコードのコピーは既に広く拡散しており、収拾は困難な状況にある。

このインシデントは、AI企業が扱う知的財産の保護における新たな脆弱性を露呈させた。流出したコードの解析や、それを基にした再実装の動きが開発者コミュニティ内で広がっている可能性があり、Anthropicの技術的優位性に影響を与えるリスクがある。同社の説明通り単純な人為的ミスであったとしても、厳重に管理されるべきコア技術の公開は、競争が激化する生成AI市場において、企業のセキュリティプロセスと内部統制に対する厳しい scrutiny（監視）を招くことになる。