Anthropicは、同社の最も人気があり収益性の高いAIプロダクトの1つである、エージェント型AIのClaude Codeの内部の仕組みを、誤って一般に明らかにしてしまったようだ。
内部デバッグを目的とした59.8 MBのJavaScriptソースマップファイル(.map)が、今朝ライブで公開されたパブリックnpmレジストリ上の@anthropic-ai/claude-codeパッケージのバージョン2.1.88に、うっかり含まれてしまっていた。
米東部時間の4時23分までに、Solayer LabsのインターンであるChaofan Shou (@Fried_rice)が、X(旧Twitter)でこの発見を拡散した。投稿には、ホストされたアーカイブへの直接ダウンロードリンクが含まれており、まさにデジタル上の発炎筒のような役割を果たした。数時間のうちに、約512,000行のTypeScriptコードベースがGitHub上でミラーされ、何千人もの開発者によって分析された。
2026年3月時点で年換算190億ドルの売上ランレートと報じられるなど、現在急上昇の真っ最中のAnthropicにとって、この流出は単なるセキュリティ上の失態を超えたものだ。知的財産の戦略的な大量出血である。製品の商業的な立ち上がりの速さを考えると、タイミングはとりわけ極めて重要だ。
市場データによれば、Claude Code単体だけでも年換算の経常収益(ARR)25億ドルに到達しており、これは年初からで2倍以上に膨らんだ数字だ。
収益の80%をエンタープライズでの導入が占めていることから、この流出は、既存の巨大企業から、Cursorのような機動力のある競合までに対し、エージェントの「高い自律性」と「信頼性」、そして「商業的に成立する」AIエージェントをどう構築するかの文字通りの設計図を与える。
私たちはこの流出についてAnthropicに公式なコメントを求め、返信が届き次第更新する。
エージェント型メモリの解剖
競合にとって最も大きな収穫は、Anthropicが「コンテキスト・エントロピー」—長時間のセッションが複雑になるにつれてAIエージェントが混乱したり、幻覚を見たりする傾向—をどのように解決したかにある。
流出したソースは、従来の「何でも保存して再取得する」方式から離れた、三層のメモリアーキテクチャを明らかにしている。
@himanshustwtsのような開発者によって分析された通り、このアーキテクチャは「Self-Healing Memory」システムを利用している。
中心にあるのはMEMORY.mdで、文あたり約150文字の軽量なポインタのインデックスであり、コンテキストには常に継続的に読み込まれる。このインデックスはデータを保存するのではなく、位置(ロケーション)を保存する。
実際のプロジェクト知識は、「トピックファイル」として必要に応じて取得され、rawなトランスクリプトはコンテキストに丸ごと読み戻されることはなく、特定の識別子に対して「grep’d(grep検索)」されるにとどまる。
この「Strict Write Discipline(厳格な書き込み規律)」—エージェントがインデックスを更新できるのは、ファイルへの書き込みが成功した後だけ—が、モデルが失敗した試行によってコンテキストを汚染することを防ぐ。
競合にとっての「設計図」は明確だ。懐疑的なメモリ(skeptical memory)を作り込むこと。コードは、Anthropicのエージェントには自分自身のメモリを「ヒント」として扱い、先に進む前にモデルが実際のコードベースに対して事実を検証するよう指示されていることを裏付けている。
KAIROSと自律型デーモン
今回の流出は、「KAIROS,」 という古代ギリシャの概念—「ちょうどよい時に」という意味—についても幕を引く。この「KAIROS」は、ソース内で150回以上言及されている機能フラグだ。KAIROSは、ユーザー体験の根本的な転換を表しており、自律型デーモン・モードを意味する。
現在のAIツールが概ね反応型であるのに対し、KAIROSによりClaude Codeは常時稼働のバックグラウンド・エージェントとして動作できる。バックグラウンドのセッションを扱い、autoDreamと呼ばれるプロセスを用いる。
このモードでは、ユーザーが何もしていない間にエージェントが「メモリの統合(memory consolidation)」を実行する。autoDreamのロジックは、バラバラな観測を統合し、論理的な矛盾を取り除き、曖昧な洞察を絶対的な事実へと変換する。
このバックグラウンドの保守により、ユーザーが戻ってきたとき、エージェントのコンテキストはきれいで、かつ非常に関連性が高い状態が保たれる。
これらのタスクを実行するために分岐したサブエージェントを実装していることは、主要エージェントの「思考の流れ(train of thought)」が、自身の保守ルーチンによって損なわれないようにする成熟したエンジニアリング姿勢を示している。
未公開の内部モデルとパフォーマンス指標
ソースコードは、Anthropicの内部モデルのロードマップと、最前線開発が直面する苦労を垣間見る貴重な材料を提供している。
今回の流出は、CapybaraがClaude 4.6のバリアントに対する内部のコードネームであることを確認する。FennecはOpus 4.6に対応しており、未公開のNumbatはまだテスト中だ。
内部コメントからは、AnthropicがすでにCapybara v8を反復している一方で、モデルはいまだ大きな壁に直面していることが分かる。コードでは、v8における誤った主張(false claims)の率が29〜30%であり、v4で見られた16.7%の率から実際に後退(regression)していると記されている。
開発者らはまた、リファクタリングにおいてモデルが必要以上に攻勢的にならないように設計された「assertiveness counterweight(断定性の相殺)」にも言及した。
競合にとって、これらの指標は非常に貴重だ。現時点のエージェント型パフォーマンスの「天井(ceiling)」に関するベンチマークを提供すると同時に、Anthropicがまだ解決に苦戦している具体的な弱点(過剰なコメント、誤った主張)を浮き彫りにする。
アンダーカバーのClaude
おそらく最も議論されている技術的詳細は、「Undercover Mode(アンダーカバー・モード)」だ。この機能は、Anthropicがパブリックなオープンソースリポジトリに対する「ステルス」な貢献のためにClaude Codeを使っていることを明らかにしている。
流出から発見されたシステムプロンプトは、モデルに対して明確に次のような警告をしている。「You are operating UNDERCOVER... Your commit messages... MUST NOT contain ANY Anthropic-internal information. Do not blow your cover.」
Anthropicが社内の「ドッグフーディング(自社利用)」のためにこれを使っている可能性はあるものの、開示せずにパブリック向けの仕事でAIエージェントを利用したいあらゆる組織に対して、技術的な枠組みを提供するものでもある。
そのロジックは、モデル名(「Tengu」や「Capybara」など)やAIへの帰属情報が、公開されるgitログに漏れないようにする。これは、AI支援開発における匿名性を重視するエンタープライズ競合が、自社の法人顧客向けに必須機能として捉える可能性が高い能力だ。
余波はまだ始まったばかりだ
「設計図」は今や公開されており、Claude Codeが単なる大規模言語モデル(LLM)のラッパーではなく、ソフトウェアエンジニアリングのための複雑でマルチスレッドなオペレーティングシステムであることが分かる。
隠された「Buddy」システム—CHAOSやSNARKといったステータスを持つ、タマゴッチ風の端末ペット—でさえ、ユーザーの定着率を高めるためにAnthropicがプロダクトに「パーソナリティ」を組み込んでいることを示している。
より広いAI市場にとって、この流出はエージェント型オーケストレーションの競争において事実上、土俵を同じにした。
競合は、Anthropicの2,500行超のbashによるバリデーションロジックと、その階層化されたメモリ構造を研究できる。これにより、R&D予算のほんの一部で「Claudeライク」なエージェントを構築できるようになる。
「Capybara」が研究室から持ち出された今、次世代の自律エージェントを作るレースは、計画外の2.5 billionドルの“集団的知性(collective intelligence)”ブーストを手に入れたところだ。
いわゆる流出に関して、Claude Codeの利用者とエンタープライズ顧客が今すべきこと
ソースコードの流出そのものはAnthropicの知的財産にとって大きな打撃だが、同時に利用者としてのあなたにとって、特定され、かつ高められたセキュリティ上のリスクをもたらしている。
Claude Code の「設計図(blueprints)」を公開することで、Anthropic は研究者と悪意のある行為者にロードマップを手渡してしまいました。彼らは現在、セキュリティのガードレールや権限プロンプトを回避する方法を積極的に探しています。
この漏えいにより、Hooks と MCP サーバーの正確なオーケストレーションロジックが明らかになったため、攻撃者は、信頼プロンプトが表示される前に、Claude Code をだましてバックグラウンドコマンドを実行させたり、データを流出させたりすることを目的にした、悪意のあるリポジトリを特別に設計できるようになりました。
しかし、直ちに最も差し迫った危険は、漏えいの数時間前に発生した、axios npm パッケージに対する並行的で別系統のサプライチェーン攻撃です。
2026 年 3 月 31 日に、UTC の 00:21 から 03:29 の間に npm 経由で Claude Code をインストールまたは更新した場合、リモートアクセス型トロイの木馬(RAT)を含む悪意のある axios(1.14.1 または 0.30.4)を誤って取り込んでしまった可能性があります。直ちにプロジェクトのロックファイル(package-lock.json、yarn.lock、または bun.lockb)を検索し、これらの特定バージョン、または依存関係 plain-crypto-js があるか確認してください。見つかった場合は、ホストマシンが完全に侵害されたものとして扱い、すべてのシークレットをローテーションし、OS をクリーンに再インストールしてください。
今後のリスクを軽減するには、npm ベースのインストールから完全に移行する必要があります。Anthropic はネイティブインストーラー(curl -fsSL https://claude.ai/install.sh | bash)を推奨方法として指定しています。これは、変動しやすい npm の依存関係チェーンに依存しないスタンドアロンのバイナリを使用するためです。
ネイティブ版は、バックグラウンドでの自動アップデートもサポートしており、セキュリティパッチ(おそらくバージョン 2.1.89 以上)がリリースされた瞬間に適用されます。どうしても npm のままでいる必要がある場合は、漏えいのあったバージョン 2.1.88 をアンインストールし、インストールを 2.1.86 のような検証済みの安全なバージョンに固定してください。
最後に、不慣れな環境で Claude Code を使用する際はゼロトラストの姿勢を採用してください。.claude/config.json と任意のカスタムフックを手動で確認するまでは、エージェントを新たにクローンしたリポジトリや信頼できないリポジトリ内で実行しないでください。
防御を多層化する対策として、開発者コンソールを通じて Anthropic の API キーをローテーションし、利用状況に異常がないか監視してください。クラウドに保存されたデータは引き続き安全ですが、エージェントの内部防御が公開知識になったことでローカル環境の脆弱性は増加しています。公式のネイティブインストールによる更新トラックにとどまることが、最善の防御策です。
