2026年3月31日、Anthropicの「Claude Code」npmパッケージ(ver 2.1.88)に、本来含まれるべきでないソースマップファイルが誤って同梱されていました。
どうやって流出したのか
セキュリティ研究者のChaofan Shou氏が発見。ソースマップにCloudflare R2ストレージのURLが記載されており、誰でもsrc.zipをダウンロードできる状態でした。展開すると約1,900ファイル・512,000行以上のTypeScriptコード。
Anthropicは「サイバー攻撃ではなくヒューマンエラー。顧客データや認証情報は含まれていない」と声明。しかし数時間でGitHubにミラーが立ち上がりました。
44個の隠し機能フラグ
KAIROS(自律デーモンモード)
AIがバックグラウンドで常時稼働し、ユーザーの指示なく継続的にタスクをこなす「眠らないAIエージェント」の構想。開発者が寝ている間にもコードレビューやバグ修正が進む世界。
Undercover Mode(潜入モード)
最もセンセーショナルな発見。システムプロンプトに「あなたはUNDERCOVERで活動しています…正体を明かすな」という記述が。AnthropicがClaude Codeを使って匿名でOSSに貢献する仕組みをひそかに作り込んでいました。
Capybara(新モデルコードネーム)
3段階の階層構造で登場するこのコードネームは、Claude 5シリーズの内部名称ではないかと憶測が広がっています。
BUDDY(たまごっちシステム)
18種類の仮想ペットが実装済み。レアリティ設定、1%のシャイニー出現確率、CHAOS・WISDOM・SNARKのステータス値まで。4月1日発覚なのでエイプリルフール企画だった可能性も。
流出コードの価値
512,000行は「プロダクショングレードAIエージェントの教科書」。AIエージェントの参照実装が存在しなかった業界にとって、Claude Codeの設計思想は非常に参考になります。