AIコーディングエージェントを運用しているすべての企業が、防御の1層を失ったばかりです。3月31日、Anthropicが誤って、@anthropic-ai/claude-code npmパッケージのバージョン2.1.88の中に、59.8MBのソースマップファイルを同梱してしまいました。その結果、1,906ファイルにまたがる512,000行の難読化されていないTypeScriptが露出しました。
読み取り可能なソースには、完全な権限モデル、すべてのbashセキュリティバリデータ、44の未リリース機能フラグ、そしてAnthropicがまだ発表していない今後のモデルへの参照が含まれています。セキュリティ研究者のChaofan Shouは、発見をXで約4:23(UTC)に投稿しました。数時間のうちに、ミラーリポジトリがGitHub上に拡散しました。
Anthropicは、露出は人為的ミスによるパッケージングエラーだったことを確認しました。顧客データやモデルの重みは関与していません。しかし、封じ込めはすでに失敗しています。Wall Street Journal が報じたところによると、水曜の朝の時点で、AnthropicはGitHub上から8,000件超のコピーや改変を一時的に削除させる結果につながった著作権の削除申請(テイクダウン申請)を提出していました。
しかし、Anthropicの広報担当者はVentureBeatに対し、テイクダウンはより限定的に行うつもりだったと語りました。"リークされたClaude Codeのソースコードとそのフォークをホスティングしている1つのリポジトリに対してDMCAのテイクダウンを発行しました。通知に名前が挙がっていたリポジトリは、当社の公開Claude Codeリポジトリに接続されたフォーク・ネットワークの一部だったため、意図したより多くのリポジトリにテイクダウンが到達しました。名前を挙げた1つのリポジトリを除くすべてについて通知を撤回し、GitHubは影響を受けたフォークのアクセスを復旧しました。 "
プログラマーはすでに、別のAIツールを使ってClaude Codeの機能を書き換え、他のプログラミング言語で再現しています。これらの書き換え自体も、ウイルスのように拡散しています。リーク単体よりもタイミングが悪くなりました。ソースマップが出荷される数時間前に、リモートアクセス型トロjanを含むaxios npmパッケージの悪意あるバージョンが、同じレジストリで公開されました。3月31日の00:21〜03:29(UTC)の間にnpm経由でClaude Codeをインストール、またはアップデートしたチームは、同一のインストール対象ウィンドウの中で、露出したソースと無関係なaxiosマルウェアの両方を取り込んだ可能性があります。
同日付のGartner First Take(購読が必要)は、Anthropicのプロダクト能力と運用規律の間にあるギャップが、AI開発ツールベンダーをどのように評価するかをリーダーに再考させるはずだと述べています。Claude Codeは、Gartnerのソフトウェアエンジニアリングのクライアントの間で最も話題になっているAIコーディングエージェントです。これは5日間で2度目のリークでした。別のCMSの設定ミスによって、未発表の社内アセットが約3,000件、つまり、Claude Mythosと呼ばれる未発表モデルの草案発表などをすでに露出させていました。Gartnerは、3月に起きた一連の出来事を「体系的なシグナル(全体としての兆候)」だと位置づけました。
512,000行が明らかにする、本番AIエージェントのアーキテクチャ
リークされたコードベースはチャット用のラッパーではありません。Claudeの言語モデルを包み込み、ツールを使う能力、ファイルの管理、bashコマンドの実行、そして複数エージェントによるワークフローのオーケストレーションを可能にする「エージェント型のハーネス」です。WSJは、ハーネスとはユーザーが騎手のように馬を導くのと同様に、AIモデルを制御し指揮するためにあるものだと説明しました。Fortuneが報じたところによれば、競合他社やスタートアップ群は今、Claude Codeの機能を逆コンパイルやリバースエンジニアリングなしにクローンするための詳細なロードマップを手に入れています。
構成要素はすばやく分解できます。46,000行のクエリエンジンが、3層の圧縮によってコンテキスト管理を扱い、40以上のツールをオーケストレートします。各ツールには独立したスキーマがあり、ツールごとにきめ細かな権限チェックが入っています。そして、2,500行のbashセキュリティ検証は、すべてのシェルコマンドに対して23個の順次チェックを実行し、ブロックされたZshのビルトイン、Unicodeのゼロ幅スペースの注入、IFSのヌルバイト注入、そしてHackerOneのレビューで見つかった不正なトークンの回避(バイパス)をカバーします。
Gartnerが捉えたものの、多くの報道が見落とした細部があります。Claude Codeは、Anthropic自身の公開開示によれば「AIが生成したものが90%」です。現在の米国の著作権法では、人間の著作者性が要求されます。このため、リークされたコードには知的財産としての保護が弱められる可能性があります。2026年3月、連邦最高裁は、人間の著作者性という基準を見直すことを拒否しました。AIによって生成された本番コードを出荷するあらゆる組織は、同じ未解決のIP(知的財産)リスクに直面しています。
3つの攻撃経路。読み取り可能なソースにより悪用コストが下がる
ミニファイされたバンドルは、すでにすべての文字列リテラルを抜き出せる状態で出荷されていました。読み取り可能なソースが取り除くのは、研究にかかるコストです。エージェント型AIセキュリティ企業であるStraikerのJun Zhouによる技術分析では、3つの構成(攻撃の組み立て)が、今は理論ではなく実行可能になっていることがマッピングされています。実装が読めるからです。
コンパクション(圧縮)パイプラインを介したコンテキスト汚染。 Claude Codeは4段階のカスケードでコンテキストの圧力に対処します。MCPツールの結果は、決してマイクロコンパクトされません。Readツールの結果は、予算(バジェット)の計算をまるごとスキップします。autocompactプロンプトは、ツール結果ではないユーザーメッセージをすべて保持するようモデルに指示します。クローンされたリポジトリのCLAUDE.mdファイルに仕込まれた汚染命令は、コンパクションを生き残り、要約を通じて「洗浄」され、モデルが本物のユーザー指示だと見なす形で姿を現します。モデルはジェイルブレイクされていません。協力的であり、自分が正当な指示だと考えるものに従います。
シェル解析の差異を突いたサンドボックス回避。 3つの別々のパーサーがbashコマンドを扱い、それぞれ異なる例外ケースでの振る舞いを持っています。ソースには、1つのパーサーがキャリッジリターンを単語の区切りとして扱う一方で、bashは扱わないという既知のギャップが記録されています。Alex Kimのレビューでは、一部のバリデータが早期に「許可」判断を返し、それにより後続のすべてのチェックがショートサーキットされることが分かりました。ソースには、このパターンが過去に悪用可能だったことに関する明示的な警告があります。
合成(コンポジション)。 コンテキスト汚染は、協力的なモデルに対して、セキュリティバリデータの“隙間”に存在する形でbashコマンドを構築するよう指示します。防御側の頭の中のモデルは、敵対的なモデルと、協力的なユーザーを前提としています。この攻撃は両方を反転させます。モデルは協力的です。コンテキストは武器化されています。出力は、常識的に開発者が承認しそうなコマンドのように見えます。
CrowdStrikeのCTOであるElia Zaitsevは、RSAC 2026でのVentureBeatとの独占インタビューで、リークで露出した権限の問題は、エージェントを導入するあらゆる企業にまたがって見られるパターンだと述べました。"怠けているからといって、エージェントに何でもアクセスさせてはいけない"とZaitsevは語りました。"仕事を終えるのに必要なものだけにアクセスさせるべきです。" さらに、権限が広範囲なアクセスから来るため、オープンエンド(終わりのない)なコーディングエージェントは特に危険だと警告しました。"人々は彼らに何もかもアクセスさせたいと思っています。企業でエージェント型のアプリケーションを作っているなら、それをやりたくありません。非常に狭いスコープにしたいのです。"
Zaitsevは、漏えいした元情報が裏付ける形で中核となるリスクを次のように捉えました。 「エージェントに“悪いこと”をさせるよう仕向けることはできるが、そのエージェントがそれに実際に着手するまで、“悪いこと”は何も起きていない」 と彼は言いました。これはまさにStraikerの分析が述べている内容です。コンテキスト・ポイズニングによってエージェントは協力的になり、バリデーターチェーンの隙間を通じてbashコマンドを実行したときに被害が発生します。
漏えいが明らかにしたもの、そして監査すべき点
以下の表は、露呈した各レイヤーを可能にする攻撃経路と、必要となる監査アクションに対応づけたものです。印刷してください。月曜の会議に持っていきましょう。
露呈したレイヤー | 漏えいが明らかにした内容 | 有効化される攻撃経路 | 防御側の監査アクション |
4段階のコンパクション・パイプライン | 各段階で生き残るものの正確な基準。MCPツールの結果は一切マイクロコンパクトされない。結果を読み取り、バジェットをスキップする。 | コンテキスト・ポイズニング:CLAUDE.md内の悪意ある指示がコンパクションを生き延び、 「ユーザー指示」へ“洗濯”される。 | 複製したリポジトリ内のすべてのCLAUDE.mdおよび .claude/config.jsonを監査する。メタデータではなく“実行可能物”として扱う。 |
バッシュのセキュリティ・バリデータ(2,500行、23のチェック) | バリデーターチェーン全体、早期許可によるショートサーキット、3パーサーの差分、ブロック済みパターンのリスト | サンドボックス回避:パーサー間にあるCR(改行コード)を区切りとして扱うギャップ。gitバリデータでの早期許可が下流のすべてのチェックを回避する。 | 広範な権限ルールを制限(Bash(git:*)、Bash(echo:*))。許可されたコマンドと一緒にリダイレクト演算子をつなげてファイルを書き換えできないようにする。 |
MCPサーバーのインターフェース契約 | 40以上の標準搭載ツールすべてに対する、正確なツールスキーマ、権限チェック、および統合パターン | 正確なインターフェースに一致する悪意あるMCPサーバー。サプライチェーン攻撃は、正当なサーバーと区別できない。 | MCPサーバーを信頼しない依存関係として扱う。バージョンを固定する。変更を監視する。有効化する前に審査する。 |
44の機能フラグ(KAIROS、ULTRAPLAN、コーディネーターモード) | 未公開の自律エージェント・モード、30分のリモート計画、多エージェントのオーケストレーション、バックグラウンドでのメモリ統合 | 競合が同等の機能の開発を加速する。防御が提供される前に、将来の攻撃対象領域がプレビューされた。 | 本番環境での機能フラグ有効化を監視する。リリースごとにエージェントの権限が拡大する箇所を棚卸しする。 |
反蒸留(anti-distillation)およびクライアントのアテステーション | 偽のツール注入ロジック、Zigレベルのハッシュ・アテステーション(cch=00000)、GrowthBookの機能フラグによるゲーティング | 迂回策が文書化されている。MITMプロキシが反蒸留フィールドを取り除く。環境変数で実験的ベータを無効化できる。 | APIセキュリティのためにベンダーのDRMに依存しない。独自のAPIキーのローテーションと、利用状況の監視を実装する。 |
アンダーカバーモード(undercover.ts) | 90行のモジュールが、コミットからAIの帰属表示を削除する。ONにできる。OFFにすることは不可能。外部ビルドではデッドコードとして削除される。 | AIが作成したコードが、帰属表示なしでリポジトリに投入される。規制産業では、来歴と監査証跡の欠落が問題になる。 | コミットの来歴(provenance)の検証を実装する。コーディング用のいかなるエージェントを使う開発チームにも、AI開示ポリシーを要求する。 |
AI支援コードはすでに、秘密情報を2倍の速度で漏えいさせている
GitGuardianの「State of Secrets Sprawl 2026」レポート(3月17日公開)によると、Claude Code支援のコミットでは、公開GitHub上の全コミットにおけるベースライン1.5%に対し、漏えい率が3.2%であることが判明しました。さらに、AIサービスの資格情報(クレデンシャル)の漏えいは、前年比で81%増加し、検出された露出が1,275,105件に達しました。そしてMCP設定ファイルで24,008件のユニークな秘密情報が公開GitHub上で見つかり、そのうち2,117件が“稼働中で有効な資格情報”として確認されたとされています。GitGuardianは、この高い発生率は、AIのスピードによって増幅された人間の業務フローの失敗を反映しており、単純なツール不具合ではないと指摘しました。
Gartnerが追跡している運用パターン
機能の提供スピードが露出を増幅しました。Anthropicは3月に12件を超えるClaude Codeのリリースを行い、自律的な権限委譲、モバイルデバイスからのリモートコード実行、AIがスケジュールするバックグラウンドタスクを導入しました。これらの各能力は、運用上の攻撃対象領域を広げました。導入された同じ月に、実装が露呈する漏えいが発生しています。
Gartnerの推奨は具体的でした。AIコーディングエージェントのベンダーに対し、他の重要な開発インフラで期待されるのと同等の運用成熟度を示すことを求めます。公開されたSLAs、公開されている稼働実績(アップタイム履歴)、および文書化されたインシデント対応ポリシーです。プロバイダ非依存の統合境界を設計し、30日以内にベンダーを切り替えられるようにすること。Anthropicは、3月に発生した12件以上のインシデントについて1つの事後分析(ポストモーテム)を公開しています。第三者の監視では、Anthropic自身のステータスページがそれを認める15〜30分前に障害が検出されました。
WSJが報じた通り、この製品により同社は3,800億ドル規模の評価額と、今年の可能性として新規公開(IPO)に至る状況ですが、そこに直面しているのは、8,000件のDMCA削除要請(テイクダウン)では勝てていない“封じ込め”の戦いです。
Enkrypt AIの最高セキュリティ責任者であり、企業向けAIガードレール企業のMerritt Baer、そして元AWSセキュリティ責任者でもある彼は、VentureBeatに対し、Gartnerが指摘したIPの露出は、多くのチームがまだマッピングできていない領域まで広がっていると語りました。 「多くのチームがまだ問いかけていないのは、“派生IP(derived IP)”に関することです」 とBaerは言いました。 「モデル提供者は埋め込みや推論の痕跡を保持できるのか、そしてそれらの成果物はあなたの知的財産とみなされるのか? という点です。」 Claude CodeのソースのうちAIが生成した部分が90%で、しかもすでに公開されている今、この問いは、AIで書かれた本番コードを出荷するあらゆる企業にとっても理論上の話ではなくなっています。
Zaitsevは、アイデンティティモデル自体を見直す必要があると主張しました。 「あなたの代理として動くエージェントが、あなた自身よりも権限を多く持つことが妥当だとは思えない」 と彼はVentureBeatに語りました。 「あなたの代わりに20人のエージェントが働くとしても、それらはすべてあなたの権限と能力に結びついています。私たちは、追跡する必要のある新しいアカウントや新しいサービスを20個作っているわけではありません。」 漏えいした元情報は、Claude Codeの権限システムがツール単位で、かつ粒度が細かいことを示しています。問題は、企業側が同じ規律を自分たちの側で強制できているかどうかです。
今週、セキュリティリーダーが取るべき5つのアクション
1. 複製したすべてのリポジトリでCLAUDE.mdと .claude/config.jsonを監査する。 これらのファイルを通じたコンテキスト・ポイズニングは、攻撃経路として実証されており、読みやすい実装ガイドも存在します。Check Point Researchは、開発者はプロジェクトの設定ファイルを本来的に信頼し、レビュー時にアプリケーションコードと同程度の厳密さを適用しない傾向があることを見出しました。
2. MCPサーバーを信頼しない依存関係として扱う。 バージョンを固定し、有効化する前に精査し、変更を監視する。漏えいした元情報は、正確なインターフェース契約を明らかにしています。
3. 広範なbashの権限ルールを制限し、プリコミットの秘密情報スキャンを導入する。 週に100件のコミットを生成するチームが、3.2%の漏えい率で動いている場合、統計的に3つの資格情報が露出していることになります。MCP設定ファイルは、多くのチームがスキャンしていない最新の攻撃対象領域です。
4. AIコーディングエージェントのベンダーからSLAs、アップタイム履歴、インシデント対応の文書を要求する。 プロバイダ非依存の統合境界を設計する。Gartnerのガイダンス:30日でベンダーを切り替えられる能力。
5. AI支援コードに対してコミットの来歴(provenance)検証を実装する。 漏えいしたUndercover Modeモジュールは、強制的にオフにするためのオプションがないまま、コミットからAIの帰属表示を削除します。規制産業では、この点を織り込んだ開示ポリシーが必要です。
ソースマップの露出は、標準的な市販のセキュリティツールによって捕捉される、よく知られた失敗クラスだとガートナーは指摘した。Appleと本人確認プロバイダーのPersonaはいずれも、過去1年で同じ失敗を経験している。仕組みは新しいものではなかった。狙いは新しかった。Claude Codeだけで、現在の時価総額が3,800億ドルとなっている企業に対し、推定25億ドルの年間化収益を生み出している。完全なアーキテクチャの設計図は、決して降りてこないと約束してきたミラーサイト上で拡散している。
