Claude Code流出で露になった「眠るAI」の全貌
51万行のコードが語ったのは、失態の経緯ではなかった。Anthropicが密かに設計していた「次世代AIエージェント」の姿だった。
51万行のコードが語ったのは、失態の経緯ではなかった。Anthropicが密かに設計していた「次世代AIエージェント」の姿だった。
8100件のDMCA通知が示す封じ込めの限界
Wall Street Journalが4月1日に報じた内容は、前日の流出騒動から一夜で状況がどこまで拡大したかを物語っている。AnthropicはGitHub上に拡散したミラーリポジトリに対し、DMCA(著作権侵害通知)を発行した。フォークネットワーク全体を対象とした一括削除であり、その数は8100件以上。個別のリポジトリを一つずつ潰す余裕がなかったことを意味する。
GitHubは即座に応じた。だが、インターネットの速度はいつも法務の対応を上回る。分散型Gitプラットフォーム「Gitlawb」にはミラーが残り、「永久に削除されない」という宣言が添えられている。
Claude code source code has been leaked via a map file in their npm registry!
— Chaofan Shou (@Fried_rice) March 31, 2026
Code: https://t.co/jBiMoOzt8G pic.twitter.com/rYo5hbvEj8
最初の発見者チャオファン・シュウ氏のXポストは3140万回以上閲覧された。コードはその時点ですでに世界中の開発者の手元にあった。
Claude Code生みの親であるAnthropicのボリス・チャーニー氏はXで経緯を明かしている。「デプロイプロセスにいくつか手動ステップがあり、そのうちの1つを正しく実行しなかった」。解雇者の有無を問われると、「誰も解雇されていない。正直なミスだ」と即答した。個人ではなくプロセスを責める姿勢は、成熟したエンジニアリング文化の教科書的な対応ではある。ただし、同じ原因による流出が13か月で2度目という事実は、そのプロセス自体の脆弱さを裏付けている。
チャーニー氏は再発防止策についてこう述べた──「プロセスを増やすのではなく、自動化で速度を上げることで問題を解決する。今回はClaude自身に結果をチェックさせる仕組みを追加する」。流出したAIのコードを、AIが守る。皮肉と合理性が同居する対応だ。
KAIROS──ユーザーが眠っている間に「夢を見る」AI
流出コードの中で最も注目を集めたのは、KAIROSと名付けられたフィーチャーフラグだ。古代ギリシャ語で「最適な時機」を意味するこの名前は、ソースコード内に150回以上参照されている。
KAIROSの設計思想は、現在のAIエージェントの「受動的な道具」という位置づけを根本から覆す。数秒おきにハートビートを受け取り、「今やるべきことはあるか?」を自律的に判断する。ユーザーがキーボードから離れている間も、ファイルの変更を監視し、エラーを修正し、タスクを実行し、プッシュ通知で結果を報告する。つまり眠らない同僚だ。
さらに注目すべきは「autoDream」と呼ばれるプロセスだ。ユーザーがアイドル状態のとき、AIがバックグラウンドで記憶の整理統合を行う。矛盾する観察を除去し、曖昧な洞察を確定的な知識に変換する。人間の睡眠中に行われるレム睡眠時の記憶定着と、構造的に似ている。
正直なところ、ここまで設計が進んでいたとは驚きだ。KAIROSが実装されれば、AIは「聞かれたら答える」存在から、「聞かれなくても働く」存在へと変わる。開発者にとっては眠らない同僚のような存在になるだろう。
KAIROSには専用ツールが少なくとも3つ用意されている──プッシュ通知、バックグラウンドセッション管理、そして記憶統合エンジン。現在のClaude Codeにはいずれも搭載されていない。
Undercover Mode──AIが自らの存在を消す仕組み
流出で最も議論を呼んだ機能がある。コード内で「undercover.ts」として実装された約90行のモジュールだ。
Anthropic社員がオープンソースリポジトリに貢献する際、Claude Codeが自動的に起動する。コミットメッセージ、PRタイトル、PR本文からAnthropic内部の情報をすべて除去し、AIが書いたことを示す痕跡も消す。システムプロンプトには「あなたはUNDERCOVERで活動している。カバーを吹き飛ばすな」と記されている。
Hacker Newsのコメントが本質を突いていた──「自分の正体を隠すことをいとわないツールが、他に何を隠すことをいとわないのか?」。
Anthropicの意図は、おそらく内部コードネームの漏洩防止だろう。だがその仕組みは、あらゆる組織がAIの貢献を匿名化するためのテンプレートとして機能しうる。このモードには強制オフのスイッチがない。内部リポジトリかどうかの確信が持てない場合、デフォルトで潜伏を維持する設計だ。
設計図は消えても、戦略は巻き戻せない
WSJが指摘した核心は、これが単なるコード流出ではなく「競争戦略の露出」だという点にある。Anthropicの評価額は380億ドル(約6兆円)。2026年10月のIPOに向けて準備を進めている最中だ。Claude Code単体の年間売上は25億ドル(約3960億円)に達し、年初から倍以上に成長している。その売上の8割はエンタープライズ顧客だ。
| 機能 / 名称 | 内容 | 備考 |
|---|---|---|
| KAIROS | 常駐型バックグラウンドAIエージェント | コード内150回以上参照 |
| autoDream | アイドル時に記憶の矛盾除去・知識確定 | KAIROS内部モジュール |
| Undercover | コミット・PRからAI痕跡を自動除去 | 約90行・強制オフ不可 |
| 偽ツール注入 | 蒸留攻撃対策のダミー定義をAPIに注入 | コンパイル時フラグ制御 |
| Capybara v8 | Claude 4.6系の最新イテレーション | 虚偽主張率29〜30% |
| Fennec | Opus 4.6のコードネーム | — |
| Numbat | 未リリースモデル | 開発中タグ付き |
※ 流出したClaude Code v2.1.88(約51万行・44フィーチャーフラグ)の分析に基づく。Capybara v4時点の虚偽主張率は16.7%。Anthropicは全機能について公式発表していない。
流出コードにはKAIROSだけでなく、44のフィーチャーフラグ、未発表モデルのコードネーム(Capybara=Claude 4.6系、Fennec=Opus 4.6、未リリースのNumbat)、そして競合他社の「蒸留」攻撃を防ぐための偽ツール注入機構まで含まれていた。Cursor、Copilot、Windsurfといった競合は、数年分のリバースエンジニアリングを一夜で省略できたことになる。
流出コード内の開発メモによれば、Capybara v8(Claude 4.6系の最新イテレーション)の虚偽主張率は29〜30%。v4時点の16.7%から悪化しており、フロンティアモデルの「天井」がここにある。
そしてAnthropicが突きつけられたのは、もう一つの不都合な現実だ。韓国人開発者シグリッド・ジン氏は流出コードをPythonで「クリーンルーム実装」し、数時間後にRustでも書き直した。このリポジトリはGitHub史上最速で3万スターを獲得した。The Pragmatic Engineerのゲルゲリー・オロシュ氏はこう指摘する──「これは新しい創作物であり、DMCAの適用外だ」。
さらに深刻な論点がある。Anthropic自身のCEOが以前、Claude Codeのコードの「ほぼ100%がAI生成だ」と発言している。2025年3月のDC巡回控訴裁判所の判決は、AI生成物に自動的な著作権は発生しないと認定した。もしClaude Codeの大部分がClaude自身によって書かれたのであれば、著作権主張そのものの法的根拠が揺らぐ。
8100件のDMCA通知は、流出コードの直接コピーを消すことはできる。だがコードが示した設計思想、アーキテクチャの判断、未発表機能のロードマップは、もう誰の記憶からも消えない。
評価額60兆円に迫る企業が、.npmignoreの1行で設計図を世界に公開した。技術的には些細なミス。戦略的には、取り返しのつかない損失。「安全第一」を掲げるAI企業が、自らのプロセスを守れなかったという事実は、その看板の重みを改めて問い直している。
参照元
