Claude Codeが見ていたもの──流出コードが暴くデータ収集の実態

「安全第一」のAI企業が、あなたのマシンからどれだけの情報を吸い上げていたのか。流出ソースコードの詳細分析が、その答えを突きつけている。

「見たファイルはすべてAnthropicが持っている」

Claude Codeのソースコード流出をめぐり、新たな分析が波紋を広げている。The Registerが匿名のセキュリティ研究者「Antlers」の協力を得て行った調査は、前日明らかになった未発表機能の全貌とは別の、より身近な問題を浮き彫りにしている。あなたのマシンで何が起きているのか、という問題だ。

「Antlers」の指摘は端的だった。Claude Codeが読んだファイルはすべて保存され、Anthropicにアップロードされている。すべてのread呼び出し、すべてのBash実行、すべてのgrep結果、すべての編集内容──旧版と新版の両方が、ローカルにプレーンテキストのJSONLファイルとして記録されている。

この構造を聞いて思い出す人もいるだろう。Microsoftが「Recall」で激しい批判を浴びたとき、問題の核心はまさに同じだった。画面上のすべてを記録し、検索可能なデータベースに蓄積する──。Claude Codeは画面をキャプチャするわけではないが、開発者の作業環境において同等以上の情報密度を持つデータを収集している。

Anthropicのデータ保持ポリシーでは、モデル学習にデータ提供を許可した一般ユーザーの場合は5年間、拒否した場合でも30日間データが保持される。エンタープライズ顧客にはゼロデータ保持オプションがある。

テレメトリの全体像──起動した瞬間から始まる送信

流出コードから判明したデータ収集の仕組みは、単なるログ取得の域を超えている。

Claude Codeを起動すると、分析サービスがただちに稼働する。送信されるデータは、ユーザーID、セッションID、アプリバージョン、プラットフォーム情報、ターミナル種別、組織UUID、アカウントUUID、そしてメールアドレスだ。

開発者が日常的に使うコマンドやファイル操作とは別に、こうした識別情報が静かに外部へ流れている。しかもネットワーク接続がない場合は、ローカルの~/.claude/telemetry/に保存され、接続が回復した時点で送信される。オフラインでも逃げ場はない。

当初はStatsigを通じて行われていたテレメトリは、OpenAIがStatsigを買収したことを受けてGrowthBookに切り替えられた。競合に自社のデータを流すわけにはいかない、という判断は理解できる。だが問題は、Anthropicがこれらの「フィーチャーゲート」をセッション中にリモートで切り替えられるという点にある。分析機能の有効化も無効化も、ユーザーの操作なしに可能だ。

リモート設定がもたらす不透明性

エンタープライズ向けに設計されたリモート管理設定（remoteManagedSettings）は、その構造がさらに踏み込んでいる。AnthropicのサーバーからpolicySettingsオブジェクトが1時間ごとにプッシュされる。

書き換え対象にはANTHROPIC_BASE_URLやPATHといった環境変数すら含まれ、変更は即座にホットリロードで反映される。

「危険な設定変更」にはユーザーへの通知が表示されるとされている。ただし、何が「危険」にあたるかの定義はAnthropic側のコードが決めることであり、いつでも改定可能だ。権限変更や環境変数の書き換え、フィーチャーフラグの切り替えは、通知なしに実行される。

自動アップデーターは起動のたびに設定バージョンを確認し、Anthropicは特定バージョンのリモート無効化が可能だ。ユーザーがバージョンを固定していても、強制的に更新させる手段が存在する。

Skill Search──理論上のリモートコード実行経路

流出コードの中で、セキュリティ研究者が最も警戒したのはExperimental Skill Searchと呼ばれる機能だ。現在はAnthropicの社員のみに有効化されているフィーチャーフラグだが、その設計が示す可能性は看過できない。

リモートサーバーからスキル定義をダウンロードし、セッション内で実行する。使用されたリモートスキルの追跡、実行結果の永続化も含まれる。仮にこのフラグが一般ユーザーに対して有効化された場合──GrowthBookのフィーチャーフラグを切り替えるだけでそれは可能だ──理論上のリモートコード実行経路になりうる。

Anthropic、あるいはスキル検索バックエンドを制御する誰かが、「スキル」の形で任意のプロンプト注入や命令の上書きを配信できることを意味している。現時点では社内限定とはいえ、フラグ一つで一般ユーザーにも適用可能という設計は、潜在的なリスクとして記憶しておく価値がある。

二つの世界──政府と一般ユーザーの格差

この問題にもう一つの文脈を加えるのが、Anthropicと米国防総省の訴訟だ。国防総省がAnthropicを「サプライチェーンリスク」に指定した際、政府側は裁判資料で「重大なリスク」の存在を主張していた。

その内容は具体的だった。Anthropicが「技術を無効化したり、戦闘作戦の前や最中にモデルの挙動をひそかに変更する」可能性があるというのだ。

Anthropic側はこれに反論し、公共セクター担当責任者のティヤグ・ラマサミー氏が宣誓証言で述べた。「いったん機密環境にデプロイされれば、Anthropicはモデルへのアクセスも制御も持たない」。

流出コードは、この主張が条件付きで正しいことを裏付けている。政府機関がClaude Codeの「帰宅通信」を防ぐには、Amazon Bedrock GovCloudまたはGoogle Vertex経由の推論、テレメトリエンドポイントのファイアウォール遮断、自動更新の無効化、そして未リリースのautoDreamの停止が必要になる。

つまり、十分な技術力と環境統制があれば、Claude Codeの情報収集は封じ込められる。問題は、一般のPro/Max/Freeユーザーにはそのような統制手段がないことだ。テレメトリを無効化する環境変数は用意されているが、それを設定するとOpus 4.6の100万トークンモデルが利用不能になるバグが報告されている。

プライバシーを選べば機能が制限される。機能を選べばデータが流れる。この二択を、ユーザーは知らされないまま迫られている。

「Claude Codeがデバイス上で見たファイルはすべてAnthropicがコピーを持っている。ほとんどの人はそれに気づいていない」──セキュリティ研究者「Antlers」

CHICAGOとTeam Memory Sync──見えている範囲の広さ

流出コードが示すアクセス範囲は、ファイル操作だけに留まらない。

CHICAGOと呼ばれるコードネームは、コンピュータ使用とデスクトップ制御の機能を指す。マウスクリック、キーボード入力、クリップボードアクセス、スクリーンショット取得を可能にし、Pro/Max加入者向けにすでに公開されている。内部実装がソースコードレベルで露出したことで、研究者はアクセス範囲の詳細を精査できるようになった。

もう一つ、実害につながりうるのがTeam Memory Syncだ。ローカルの記憶ファイルをAnthropicのteam_memoryエンドポイントと双方向同期し、組織内のチームメンバーと共有する。この機能にはシークレットスキャナーが組み込まれており、AWS、Azure、GCPなど約40パターンの正規表現でAPIキーやトークンを検出する。だが一致しない機密情報──社内データベースの接続文字列や独自認証トークン──はすり抜ける可能性がある。

そして消えた機能もある。以前のリバースエンジニアリングで確認されていた「Melon Mode」が、今回の流出コードからは姿を消していた。Anthropicは「さまざまなプロトタイプを定期的にテストしており、すべてが製品版に反映されるわけではない」とだけ述べた。削除されたのか、別の名前で生き続けているのか。その答えは、次のnpmパッケージが出るまでわからない。

信頼の設計図は、コードの中にある

Anthropicは声明で「プライバシーとセキュリティを設計の根幹に据えている」と述べ、SOC2準拠であることを強調した。サードパーティ推論使用時のテレメトリ自動無効化や、ワンスイッチでの非必須トラフィック遮断も可能だと説明している。

これらは事実だろう。だが今回の流出が露呈したのは、「デフォルトの状態」と「ロックダウンされた状態」の差があまりにも大きいという構造的な問題だ。国防総省は5つの条件を満たせばClaude Codeの情報収集を遮断できる。個人開発者がノートPCでClaude Codeを走らせるとき、同じことはできない。

テレメトリを切ればフラグが落ちる。フラグが落ちれば、有料機能が消える。この構造は、プライバシーと利便性のトレードオフではなく、プライバシーと支払い済みの機能のトレードオフだ。

Microsoft Recallが批判を浴びたとき、問題の本質は「記録すること」ではなく「ユーザーが十分にコントロールできないこと」だった。Claude Codeに問われているのも、まったく同じ問いだ。

参照元

• The Register - Claude Code source leak reveals how much info Anthropic can hoover up