title: "Claude Code 51万行源码意外泄露:深度解析与行业启示"
description: "2026年3月31日,Anthropic的Claude Code因配置疏忽导致51.2万行源码通过npm source map泄露。本文深度解读泄露内容、隐藏的Capybara模型、Undercover Mode,以及对AI Agent创业公司的影响。"
作者注:深度解读 2026 年 3 月 31 日 Claude Code 通过 npm source map 意外泄露 51.2 万行源码事件:泄露了什么、隐藏的 Capybara 模型和 Undercover Mode、对 AI Agent 创业公司的影响
2026 年 3 月 31 日,一个构建配置的疏忽导致了 AI 行业最大的一次“意外开源”——Anthropic 的 Claude Code 全部 51.2 万行源码通过 npm 的 source map 文件泄露,1,900 个文件被完整暴露。安全研究员 Chaofan Shou 率先发现并公开,社区在几小时内就建立了多个 GitHub 镜像,至今已超过 1,100 Star。讽刺的是,代码中包含一个叫“Undercover Mode”的子系统——专门设计来防止内部信息泄露的——结果整个系统自己被泄露了。
本文将解读这次事件泄露的关键内容、对 AI Agent 创业公司的影响,以及为什么这次“意外开源”可能反而推动行业发展。
核心价值: 了解 Claude Code 的内部架构设计、隐藏功能和工程实践,评估这次泄露对 AI Agent 行业的影响。
事件核心事实
| 事项 | 详情 |
|---|---|
| 泄露时间 | 2026 年 3 月 31 日 |
| 发现者 | 安全研究员 Chaofan Shou |
| 泄露方式 | npm 包 v2.1.88 中包含 57MB 的 .map source map 文件 |
| 泄露规模 | 1,906 个文件、512,000+ 行 TypeScript 代码 |
| 泄露原因 | .npmignore 未排除 .map 文件 + Bun 默认生成 source map |
| 是否首次 | 否——2025 年 2 月发生过类似事件(第二次了) |
| Anthropic 反应 | 立即推新版删除 .map 文件,并从 npm 删除旧版本 |
| 社区反应 | 3+ 个 GitHub 镜像仓库,1,100+ Star |
漏洩した内容:3つの衝撃的な発見
発見1:Capybara(カピバラ)という謎のモデルファミリー
コード内には、これまで公開されたことのないモデルのコードネーム「Capybara」が登場しており、3つの階層に分かれています。
| モデルコードネーム | 推定される位置付け |
|---|---|
capybara |
標準版(次世代Claudeの可能性) |
capybara-fast |
高速版(Flash/Haikuのような位置付け) |
capybara-fast[1m] |
高速版 + 1Mコンテキストウィンドウ |
コミュニティでは、CapybaraはClaude 5シリーズの内部コードネームではないかと推測されていますが、Anthropicからの回答はありません。
発見2:Undercover Mode(潜入モード)
これが最も物議を醸している発見です。コード内には完全に実装された「Undercover Mode」サブシステムが存在し、そのシステムプロンプトには明確にこう記されていました。
"You are operating UNDERCOVER… Your commit messages… MUST NOT contain ANY Anthropic-internal information. Do not blow your cover."
翻訳:AnthropicはClaude Codeを使い、身元を隠してパブリックなオープンソースプロジェクトにコードをコントリビュートしていました。しかも、Anthropicの身元を隠すための専用モードまで設計されていたのです。
これに対し、オープンソースコミュニティでは激しい議論が巻き起こっています。「AI企業が匿名でオープンソースプロジェクトにAI生成コードを投稿することは、コミュニティに対する『欺瞞』にあたるのではないか?」という指摘です。
発見3:/buddy たまごっち風AIペット
コード内には、完成度の高いバーチャルペットシステムが隠されていました。/buddyコマンドを入力するとAIペットを召喚でき、種族、レアリティ、ステータス、帽子などのアクセサリー、アニメーション効果まで備わっています。これはAnthropicのエンジニアリング文化のユニークさを物語っており、彼らは真面目なコーディングツールの中に育成ゲームを隠し持っていたのです。
漏洩したエンジニアリングアーキテクチャ:業界レベルのAIエージェントはどう作られているか
ゴシップはさておき、今回の漏洩で最も価値があるのはClaude Codeのエンジニアリングアーキテクチャです。これは、世界で初めて完全に公開されたプロダクションレベルのAIエージェントのコードベースとなります。
アーキテクチャのハイライト
| アーキテクチャ構成要素 | 漏洩した実装詳細 | 業界的価値 |
|---|---|---|
| ツール実行システム | Bash/ファイルIO/Computer Useの完全な実装 | AIエージェントが安全にシステムコマンドを実行する方法 |
| 権限と承認フロー | 多層的な権限バイパスと承認メカニズム | プロダクションレベルのエージェントにおけるセキュリティ境界設計 |
| テレメトリと監視 | 完全なデータ収集と分析パイプライン | エージェントの挙動とパフォーマンスを監視する方法 |
| コンテキスト圧縮 | Context Compactionの実装ロジック | 超長文対話におけるコンテキスト管理戦略 |
| システムプロンプト | セキュリティ関連のすべてのシステムプロンプト | プロンプトでエージェントの挙動を制約する方法 |
| IPC通信 | プロセス間通信プロトコル | マルチエージェント協調のエンジニアリング実践 |
| フィーチャーフラグ | 44個の機能フラグの完全リスト | Anthropicの製品ロードマップ |
| サンドボックスメカニズム | コード実行の分離実装 | エージェントの安全な実行に関するベストプラクティス |
今回の「予期せぬオープンソース化」が業界の発展を促進する理由
リークから学べるエンジニアリングの実践
今回のリークが発生するまで、「本番環境レベルのAIエージェントをどう構築すべきか」という問いに対する公開された正解はありませんでした。Arena Codeランキングで1位を獲得したコーディングエージェント「Claude Code」の51.2万行に及ぶコードは、まさに業界のベストプラクティスを網羅した完全な教科書と言えます。
| エンジニアリングの実践 | Claude Codeのアプローチ | 業界への示唆 |
|---|---|---|
| ツールの安全な実行 | 多層サンドボックス + 権限承認 + コマンドホワイトリスト | エージェントのコマンド実行には安全な境界が必須 |
| コンテキスト管理 | Context Compactionによる自動圧縮 | 長期セッションには能動的なコンテキスト管理戦略が必要 |
| フィーチャーフラグ | 44個の機能フラグによる段階的なロールアウト | 大規模エージェント製品には緻密なリリース制御が不可欠 |
| テレメトリ設計 | 完全な行動収集および分析パイプライン | エージェントの行動に対する可観測性が極めて重要 |
| マルチエージェント連携 | IPC(プロセス間通信) + 構造化メッセージ | マルチエージェントシステムの通信標準化 |
| システムプロンプトエンジニアリング | 階層的な安全プロンプト + ロール制約 | 本番レベルのプロンプト設計パターン |
AIエージェント系スタートアップへの具体的な影響
影響1:技術的ハードルの低下
以前は、本番環境レベルのAIエージェントを構築する際、安全境界、権限システム、コンテキスト管理といった核心的な課題をゼロから模索する必要がありました。しかし、Claude Codeの完全なリファレンス実装が存在する今、スタートアップチームはそれを直接学習(あるいはアーキテクチャ設計パターンを参考)することで、0から1までの期間を大幅に短縮できます。
影響2:競争の焦点の移行
アーキテクチャがもはや秘密ではなくなった今、AIエージェントの差別化は「どう作るか」から「どのモデルを使うか」、そして「体験をどれだけ高められるか」へとシフトします。モデルの性能(Claude Opus 4.6 vs GPT-5.4)とユーザー体験が核心的な競争力となるでしょう。これこそが、APIYI(apiyi.com)のようなモデル中継プラットフォームの価値がさらに高まる理由です。
影響3:オープンソースエージェントエコシステムの加速
リークされたコードは、すでにコミュニティで複数の方向性に活用されています。
claw-codeプロジェクト:RustでClaude Codeの核心ロジックを再実装中- 複数のGitHubリポジトリ:アーキテクチャ分析および学習ドキュメントの作成
- セキュリティ研究者:権限バイパスや潜在的な脆弱性の分析
影響4:安全基準の確立
Claude Codeの権限システム、サンドボックス機構、安全プロンプト設計は、AIエージェントのセキュリティ実践における事実上の標準となる可能性があります。現時点で完全に公開されている唯一の本番レベル実装だからです。
開発者への教訓
設定の安全性に関する教訓
今回の流出の技術的な原因は非常に単純で、.npmignore に .map ファイルを除外設定し忘れたことでした。これは、npmパッケージを公開するすべてのチームにとって重要な教訓となります。
# .npmignore には必ず含めること
*.map
*.js.map
*.d.ts.map
あるいは、package.json の files フィールドで必要なファイルのみを明示的に宣言する方が、除外リスト方式よりも安全です。
AIエージェントの起業家の方へ
| 推奨アクション | 理由 |
|---|---|
| Claude Code の権限システムを研究する | 業界で最も成熟したエージェントのセキュリティ実装です |
| Context Compaction を学ぶ | 長期会話のコンテキスト管理におけるプロダクションレベルのソリューションです |
| Feature Flag の設計を参考にする | 44個のスイッチによるカナリアリリースの体系です |
| コードを直接コピーしない | 流出したコードには著作権があります。アーキテクチャや設計パターンを学ぶのは有効です |
| Capybara モデルに注目する | Claude の次世代モデルの方向性を示唆している可能性があります |
Claude Code ユーザーの方へ
今回の流出は、あなたの利用体験に影響はありません。Claude Code の核心的な能力は、クライアント側のコードではなく、基盤となる Claude Opus 4.6 モデルに由来しているからです。ただし、以下の点には注意してください。
- 最新バージョンへのアップデート — Anthropic はすでに修正版をリリースしています。
- Capybara モデル — 近日公開予定の新しいモデルである可能性があります。
- 44個の Feature Flag — 多くの新機能がまもなくリリースされることを示唆しています。
🎯 業界の洞察: 今回の流出は、短期的には Anthropic にとってマイナス(企業秘密の露呈、信頼の低下)ですが、長期的には AI エージェント業界にとってプラスに働くでしょう。Android のオープンソース化がモバイルエコシステムを推進したように、Claude Code のソースコードが意図せず公開されたことは、AI エージェントのエンジニアリングにおける「業界標準」となる可能性があります。
Claude Code を利用する場合でも、他の AI エージェントツールを利用する場合でも、基盤となるモデル呼び出しは APIYI (apiyi.com) を通じて20%オフの価格で一元管理することが可能です。
よくある質問
Q1: 今回の流出は Claude Code の安全性に影響しますか?
クライアント側のコードが流出したからといって、サーバー側が突破されたわけではありません。Claude Code の核心的なセキュリティ(モデル推論、API認証、データ転送の暗号化)は Anthropic のサーバー側にあり、この部分は流出していません。ただし、クライアント側の権限バイパスロジックやセキュリティプロンプトが露呈したため、理論上は悪意のある利用者がローカルのセキュリティ保護を弱めるために利用する可能性があります。最新バージョンへの迅速なアップデートを推奨します。
Q2: Capybara は Claude 5 ですか?
コミュニティでは推測されていますが、Anthropic は認めていません。コード内には capybara、capybara-fast、capybara-fast[1m] という3つのモデルコードネームが登場しており、これが完全なモデルファミリー(標準版+高速版+大コンテキスト版)であることを示唆しています。命名規則から見ると、Anthropic は内部で動物の名前を使って新しいモデルシリーズを命名している可能性があります。詳細は Anthropic の公式発表を待つ必要があります。
Q3: Undercover Mode とは何を意味しますか?
Undercover Mode は、Anthropic が Claude Code を使用して、匿名でパブリックなオープンソースプロジェクトにコードをコントリビュートしていたことを示しています。システムプロンプトでは、Claude に対して「Anthropic の人間であると明かさないように」と指示されていました。これについては倫理的な議論が巻き起こっています。AI 企業が AI ツールを使って匿名でオープンソースに貢献することは、オープンソースコミュニティに対する透明性の約束に違反するのでしょうか?現時点では業界のコンセンサスは得られていません。
Q4: 流出したコードをベースに製品を作ってもいいですか?
法律の観点からは推奨されません。流出したコードは依然として Anthropic の著作権で保護されています。「誤って公開された」ことは「オープンソースライセンス」を意味しません。そのアーキテクチャ設計やエンジニアリングの実践(「思想」のレベル)を学ぶことはできますが、コードをそのまま自分の製品にコピーすることはできません。すでに Rust で書き直そうとする動き(claw-code プロジェクトなど)もありますが、このような「クリーンルーム再実装」の方が法律的には安全です。
まとめ
Claude Code ソースコード流出事件の要点は以下の通りです:
- 事件の概要: 2026年3月31日、51万2000行に及ぶ TypeScript のソースコードが、npm のソースマップを通じて意図せず流出しました。原因は
.npmignoreで.mapファイルを除外し忘れたことによるもので、同種のトラブルは今回で2度目となります。 - 3つの衝撃的な発見: 未発表の「Capybara」モデルファミリー、オープンソースへの貢献を自動化する「Undercover Mode」、そして「/buddy」と呼ばれるたまごっち風のペットシステムが明らかになりました。
- 業界への影響: 短期的には Anthropic 社にとってネガティブ(機密漏洩)ですが、長期的には業界にとってポジティブに働く可能性があります。初の完全なプロダクションレベルの AI エージェントアーキテクチャの参考資料として、Android のオープンソース化のようにエコシステムの発展を加速させるかもしれません。
APIYI (apiyi.com) を通じて、Claude Opus 4.6 やその他の AI モデルを20%オフで利用することをお勧めします。業界がどのように変化しようとも、基盤となるモデルの能力こそが不変のコアコンピタンスです。
📚 参考資料
-
VentureBeat: Claude Code ソースコード流出報道: 本件に関する信頼性の高いレポート
- リンク:
venturebeat.com/technology/claude-codes-source-code-appears-to-have-leaked-heres-what-we-know - 説明: 流出の詳細と Anthropic 社の対応について
- リンク:
-
GitHub ミラーリポジトリ: 流出したコードのコミュニティによるバックアップと分析
- リンク:
github.com/Kuberwastaken/claude-code - 説明: ソースコード全文とアーキテクチャ分析ドキュメント
- リンク:
-
DEV Community 技術分析: 流出コードの技術的解説
- リンク:
dev.to/gabrielanhaia/claude-codes-entire-source-code-was-just-leaked-via-npm-source-maps-heres-whats-inside-cjo - 説明: 重要な発見とエンジニアリングの実践に関する分析
- リンク:
-
APIYI ドキュメントセンター: Claude Opus 4.6 API の20%オフ接続
- リンク:
docs.apiyi.com - 説明: 基盤モデルの能力は AI エージェントの核心です。APIYI を通じて最適な価格で呼び出しが可能です。
- リンク:
著者: APIYI 技術チーム
技術交流: コメント欄での議論を歓迎します。その他の資料は APIYI ドキュメントセンター (docs.apiyi.com) をご覧ください。
