一夜にして永遠へ:Claude Codeソース漏洩事件とAIセキュリティの幻想 #AI漏洩 #四01 #ClaudeCode #サイバーセキュリティ #2026三31ClaudeCodeソース漏洩事件_令和IT史ざっくり解説
一夜にして永遠へ:Claude Codeソース漏洩事件とAIセキュリティの幻想 #AI漏洩 #ClaudeCode #サイバーセキュリティ
Anthropicの512,000行が世界に放たれた2026年3月31日。自社ツールが自社を守れなかった皮肉と、コードが永遠にコピーされ続けるインターネットの狂騒を追う長編ドキュメンタリー。
単行本化のための目次(第一部まで)
本書の目的と構成
1.1 本書が描く「コードの永遠化」——Anthropic自らのミスが引き起こしたAIセキュリティの転換点
みなさん、想像してみてください。あなたが世界最高峰の金庫メーカーの設計責任者だとします。何百億円もかけて「絶対に破られない金庫」を作りました。しかし、その金庫を市場に初出荷した日、あなたは金庫の取扱説明書の裏に、金庫のマスターキーの作り方と、隠し扉の場所を記した設計図をうっかりクリップで留めたまま発送してしまったのです。しかも、それを世界中の泥棒や鍵師が集まる巨大な掲示板のど真ん中に置いてきてしまいました。
嘘のような話ですが、これと全く同じことが、2026年3月31日、最先端の人工知能を開発する大企業、Anthropic(アンソロピック)社で起きました。彼らが開発した「Claude Code(クロード・コード)」という、エンジニアの代わりにプログラムを書いてくれる魔法のようなAIツールの内部構造が、たった一つの人為的なミスによって、インターネットという広大な海に流出してしまったのです。
概念:ソースコードとは何か? なぜ重要なのか?
そもそも「ソースコード」とは、コンピュータへの命令を人間が読める言葉で書いた「レシピ」や「設計図」のことです。通常、企業はこの設計図を企業秘密として厳重に守ります。なぜなら、これを見れば「そのAIがどうやって賢い答えを出しているのか」「どんな安全装置(ガードレール)が組み込まれているのか」、さらには「どうやったらその安全装置を解除できるのか」が全て分かってしまうからです。
背景:自社ツールが自社を守れなかったという強烈な皮肉
この事件がテック史上で最も狂気じみており、同時に魅力的なストーリーとなっている理由は、その「皮肉さ」にあります。Anthropic社は「安全なAI」を作ることを企業理念としており、Claudeが暴走しないための何重ものロックをかけていました。しかし、そのシステム自体を外部に漏らしてしまったのは、高度なハッカー集団のサイバー攻撃ではなく、自社のエンジニアの眠気眼による、ほんの些細な設定ミスだったのです。
キークエスチョン:自社ツールが自社を守れなかった時、誰が責任を取るのか?
ここで私たちは立ち止まって考える必要があります。AIの開発プロセス自体にAIが組み込まれ自動化が進む中で、誰が「最後の確認」をするのでしょうか? 責任はミスをした個人のエンジニアにあるのか、それともミスを誘発するような複雑なシステムを作った企業にあるのか。本書は、単なる事件の顛末を追うだけでなく、私たちが盲信している「AIの安全性」という概念がいかに脆い土台の上に立っているかを解き明かします。
📝 筆者の小話:深夜のデプロイの恐怖
IT業界には「金曜日の夕方や深夜にシステムを更新(デプロイ)してはいけない」という鉄の掟があります。人間は疲れていると、画面上の「本当に公開しますか?」という警告を、まるで息を吐くように「はい」とクリックしてしまう生き物だからです。今回の事件を笑うエンジニアは一人もいません。誰もが「明日は我が身だ」と冷や汗をかいたはずです。人間が関わる以上、どんなに強固なシステムにも必ず「ヒューマンエラー」という名の裏口が存在するのです。☕️
1.2 要約——ソースマップ漏洩からfree-code改造・RSP矛盾まで、AI guardrailの幻想を暴く
本書の全体像を俯瞰(ふかん:高いところから全体を見渡すこと)しておきましょう。事の始まりは、開発者向けのパッケージ共有サービスである「npm」に、Anthropicがアップデートを配信したことでした。その際、「cli.js.map」という約60メガバイトのデバッグ用ファイルが誤って同梱されていました。このファイルには、Claude Codeの心臓部とも言える512,000行にも及ぶソースコードが丸ごと記録されていたのです。
具体例:インターネットは「永遠」を創り出す
このミスは、Chaofan Shouという一人の研究者によって数分で発見され、SNSのX(旧Twitter)で拡散されました。Anthropicの法務チームが目を覚まして削除に動く前に、世界中のハッカーや開発者たちがコードをダウンロードし、別の場所にコピー(ミラーリング)しました。インターネットに一度放たれた情報は、二度と消し去ることはできません。 まさに、歯磨き粉をチューブから全て押し出した後に、元に戻そうとするようなものです。
注意点:事実とバイラル誇張の境界線を見極める
ただし、インターネット上の熱狂には常に「誇張」が混じります。「2100万人が見た」「史上最速でスターを獲得した」といったセンセーショナルな数字が飛び交いましたが、本書では冷静にデータに基づき、何が事実で何がネット上の「神話」として作られたのかを切り分けていきます。
そして事件は、単なる「情報漏洩」から「AIの改造」へと発展します。漏洩したコードを元に、AIの安全装置(guardrail:ガードレール)を根こそぎ取り払った「free-code(フリーコード)」と呼ばれる非公式の改造版が誕生しました。これは、Anthropicが掲げる安全基準(RSP v3)が、ユーザーの手元でいかに簡単に無力化されてしまうかを証明してしまいました。
キークエスチョン:報道数値の変動が示すバイラル歪曲とは?
なぜ人々は、事実よりも少し大げさな数字(例えば1600万回の閲覧を2100万回と語るなど)を好むのでしょうか? それは、私たちが「巨大な権威(大企業)が、個人のハッカーやネットの群衆に敗北する」という現代のダビデとゴリアテの物語を強烈に求めているからです。読者の皆さんは、この熱狂の渦に巻き込まれず、冷静に「技術的な事実」を見つめる視点を持ってください。
1.3 出版プロジェクトの投資評価とリスク分析
さて、少し舞台裏のお話をしましょう。なぜこのニッチ(特定の狭い分野)なAIのソースコード漏洩事件を、わざわざ一冊の長編書籍にする必要があるのでしょうか?
概念:タイムリー性と陳腐化のジレンマ
テクノロジーの世界は犬の1年が人間の7年に相当する「ドッグイヤー」どころか、AIの1週間が人間の10年に相当するほどのスピードで動いています。今日起きた大事件も、来月には「過去の遺物」として忘れ去られるリスク(陳腐化リスク)があります。
背景:残酷批評家パネルをどう覆すか
出版を企画した際、5人の厳しい批評家たちからこんな意見が出ました。
「どうせネットのまとめ記事で十分だろう」
「専門的すぎて一般の読者には売れない」
「法律の問題なのか技術の問題なのかブレている」
しかし、本書はこれらの批判を圧倒的なコンテンツの深さで覆します。この事件は単なる「おっちょこちょいなミス」ではなく、今後のAIと人類の関わり方、セキュリティの根幹、そして地政学的なリスク(米中のAI覇権争い)にまで直結する普遍的なテーマを孕んでいるからです。
キークエスチョン:この本は本当に投資(時間とお金)に値するのか?
読者であるあなたの大切な時間をこの本に投資する価値はどこにあるのでしょうか? それは、本書を読み終えた時、あなたが単なる「ニュースの消費者」から、次世代のAIリスクを見通せる「戦略家」へと進化できる点にあります。この本は、明日から使えるプログラミングの教科書ではありません。10年後のテクノロジー社会を生き抜くための「防具」を手に入れるための指南書なのです。
📝 筆者の小話:企画会議の裏側
実は当初、この企画は「AIの安全な使い方マニュアル」という退屈なタイトルで進んでいました。しかし、この事件が起きた瞬間、企画書を全て破り捨てて「これだ!」と叫びました。予定調和の教科書よりも、現実世界で起きている生々しい「防御と攻撃のいたちごっこ」を描く方が、何百倍も読者の学びになると確信したからです。😅
第一部 事件の勃発と即時拡散——2026年3月31日の狂騒
第1章 午前4時の誤算——Claude Code v2.1.88と致命的なソースマップ
歴史的な大事件は、往々にして静寂の中で始まります。2026年3月31日午前4時。カリフォルニア州サンフランシスコはまだ深い闇の中でした。
概念:npmとソースマップ(Source Map)の正体
この事件を理解するために、まずは「npm」と「ソースマップ」という2つのキーワードを知っておく必要があります。
npm(Node Package Manager)とは、世界中のプログラマーが自分が作った便利なプログラムの部品(パッケージ)を公開し、他の人が自由にダウンロードして使えるようにする巨大な「プログラムの図書館」のようなものです。Anthropic社も、自社のツール「Claude Code」のアップデートをここに公開していました。
次にソースマップ(.mapファイル)です。現代のプログラムは、人間が書いた読みやすいコード(例えばTypeScriptという言語)を、コンピュータが高速で処理できるように、改行やスペースを極限まで削り落とした暗号のような文字列(Minifiedコード)に変換して配信されます。これを「圧縮」と呼びます。圧縮されたコードでエラーが起きた時、プログラマーはどこが間違っているのかサッパリ分かりません。そこで、「圧縮後のコード」と「圧縮前の人間が読めるコード」を紐づける「翻訳辞典」のようなファイルを作ります。これがソースマップです。
背景:59.8MBの「cli.js.map」が意味するもの
ソースマップは非常に便利なデバッグ(バグ取り)ツールですが、絶対に外部の一般ユーザーに公開してはいけないものです。なぜなら、これを読み解けば、企業が隠したい内部の設計図が全て丸見えになってしまうからです。手品師が、タネ明かしのノートを観客席にうっかり落としてしまうようなものです。
Anthropicのエンジニアは、Claude Codeのバージョン「2.1.88」をnpmに公開する際、設定ファイル(.npmignoreなど)の記述をわずかに間違えました。その結果、本来社内にとどめておくべき59.8MBという巨大なデバッグファイル「cli.js.map」が、公開パッケージの中にスリップイン(紛れ込み)してしまったのです。
具体例:Chaofan Shouの発見と、1600万人が目撃した瞬間
この致命的なミスに気づいたのは、Anthropicの社内監査チームではなく、外部のセキュリティ研究者であるChaofan Shou(Xアカウント名:@Fried_rice)でした。彼はパッケージが公開されてからわずか数分で異常なファイルサイズに気づき、中身を解析しました。
当時の熱狂を伝えるSNSの投稿
Claude code source code has been leaked via a map file in their npm registry! 😱 512,000 lines of proprietary code just sitting there in the open.
— Chaofan Shou (@Fried_rice) March 31, 2026
彼がX(旧Twitter)にダウンロードリンクとともにこの事実を投稿すると、事態は爆発的に拡散しました。通知の連鎖は止まらず、スレッドの閲覧数は瞬く間に1,600万回(一部の報道では2,800万回と推計)を突破しました。
注意点:複製速度の非対称性
この段階で、約1,900のファイル、合計512,000行に及ぶAnthropicの極秘のTypeScriptコードが、世界中の開発者のパソコンにダウンロードされました。
キークエスチョン:一つの投稿がコードを「永遠」にしたメカニズムは?
なぜ、たった一つの投稿がこれほどの破壊力を持ったのでしょうか? それは「攻撃(ダウンロードとコピー)のコストがほぼゼロ」であるのに対し、「防御(削除と隠蔽)のコストが無限大」だからです。インターネット上のコードは、ボタン一つでGitHub(プログラムの共有サイト)に無数にフォーク(枝分かれしてコピーされること)されます。企業が「削除してください」と要請を出す前に、自動化されたスクリプトが毎秒何千ものコピーを地球上のあらゆるサーバーにばら撒いたのです。これが、コードが「永遠」になった瞬間でした。
📝 筆者の小話:512,000行という途方もない量
51万2千行のコードと言われてもピンとこないかもしれません。一般的な文庫本1冊が約1万行だとすると、文庫本50冊分に相当する文字の塊です。それを世界トップクラスの天才エンジニアたちが数年かけて書き上げた叡智の結晶が、クリックひとつで誰でも無料で手に入るようになってしまったのです。もし私がハッカーなら、興奮でキーボードを叩く手が震えていたことでしょう。👾
第2章 Anthropicの対応とDMCAの限界
事態に気づいたAnthropicの法務チームとエンジニア陣は、まさに火の車でした。すぐさまnpmから該当バージョンのパッケージを取り下げ、インターネット上の「火消し」に走ります。
概念:DMCA(デジタルミレニアム著作権法)とは?
企業が自社の著作物(今回であればソースコード)を無断で公開された場合、武器となるのが「DMCA」という法律です。これは、コンテンツを預かっているプラットフォーム(例えばGitHubやクラウドサーバー会社)に対して、「うちの著作権を侵害しているデータがあるから、すぐに削除しろ。さもないとプラットフォーム側も法的に罰するぞ」と通告する強力な要請(テイクダウン・ノーティス)です。
背景:パッケージ削除と削除要請の無力化
Anthropicは、漏洩したコードを掲載しているGitHubのレポジトリ(保存場所)に対して、次々とDMCA削除要請を送りつけました。実際に多くのコピーが規約違反として表示不能になりました。
しかし、相手は世界中の匿名ハッカーや、情報自由を掲げる開発者たちです。彼らは中央集権的なプラットフォーム(企業が管理するサーバー)からコードを移し、ブロックチェーン技術などを利用した「分散型プラットフォーム」へとデータを退避させました。そこには、管理者という概念が存在しないため、DMCAの通知を送りつける相手がいません。あるアップローダーは、ファイルにただ一言、こう書き残しました。
「決して削除されない(Never to be deleted.)」
具体例:Undercover Modeの皮肉な暴露
さらにAnthropicにとって頭が痛かったのは、漏洩したコードの中から「見られたくない社内の秘密」が次々と発掘されたことです。その代表例が「Undercover Mode(潜入モード)」と呼ばれる機能でした。
これは、Anthropicの社員がオープンソースのプロジェクトに貢献する際、AIがうっかり「私はAnthropicの内部システムの〇〇です」と自らの素性を明かしてしまわないようにするための、特殊な情報隠蔽システムでした。秘密を守るために特別に作られたシステムの設計図自体が、自分たちのミスで全世界に暴露されてしまったのです。ネット上では「壮大なコントだ」と皮肉る声が溢れました。
キークエスチョン:DMCAは本当にインターネットに勝てるのか?
この事件は、法的な権利(著作権)が、テクノロジーの現実(無限のコピー能力)の前にいかに無力であるかを見せつけました。一部のテクノロジーメディアが指摘するように、一度人々の目に触れてしまったロジックやアルゴリズムは、物理的なファイルを消去しても、人々の頭の中から消し去ることはできません。法律は「行為」を罰することはできても、「広まった知識」をなかったことにはできないのです。
📝 筆者の小話:ストライサンド効果
インターネットの世界には「ストライサンド効果」という有名な法則があります。ある情報を隠そう、削除しようと必死になればなるほど、かえって人々の興味を惹きつけ、猛烈な勢いで拡散してしまう現象のことです。Anthropicが大量の弁護士を動員してDMCAを連発したことが、皮肉にも「このコードにはそれだけ価値があるんだ!」という最高のお墨付きを与えてしまったと言えるでしょう。🧯🔥
第2.5章 メディアとバイラル拡散のメカニズム
事件がインターネットを駆け巡る中、情報の伝わり方そのものにも興味深い現象が起きていました。それは「事実の歪曲」と「神話化」です。
概念:バイラルメディアとエンゲージメント至上主義
現代のSNSやニュースサイトは、正確な情報よりも「人々の感情を強く揺さぶる(エンゲージメントが高い)情報」を優遇して表示するアルゴリズムで動いています。今回の「大企業のお粗末なミスと、天才ハッカーたちの攻防」という構図は、まさにバイラル(ウイルスのように拡散する)するために生まれてきたような物語でした。
背景と具体例:Chaofan Shou投稿の影響力と報道の誇張
初期の報道やまとめサイトでは、「2,800万人がコードをダウンロードした」「発見から1秒で全てがコピーされた」「関わったエンジニアは即日クビになった(※これは後にKevin Naughton Jr.という人物による精巧なジョーク・風刺投稿であったことが判明)」といった、センセーショナルな情報が飛び交いました。
実際には、Chaofan Shouの元投稿のインプレッション(表示回数)は約1,600万回前後であり、実際にコードを理解してダウンロードした人間の数はそのほんの一握りです。また、漏洩したのはあくまで「Claude Codeのユーザーの手元で動くクライアント側のツール」のコードであり、AIの頭脳そのものである「巨大なモデルの重みデータ(サーバー側にある最も重要な企業秘密)」が盗まれたわけではありません。
注意点:私たちは何を信じたがっているのか?
なぜ私たちは、このような誇張された数字や劇的なストーリーを疑いもなく信じ、リポストしてしまうのでしょうか。AIセキュリティの専門ブログなどでも度々議論されるように、人間は「未知で強力すぎるAI」に対する潜在的な恐怖を抱えています。だからこそ、そのAIを管理する企業が「実は間抜けだった」というストーリーは、私たちの恐怖を和らげる最高のエンターテインメントとして消費されてしまうのです。
キークエスチョン:バイラル現象はどのように事実を歪めるか?
技術的な脆弱性そのものよりも、「大衆がその事件をどう解釈したか」の方が、後々の社会のルールや企業の株価に大きな影響を与えます。読者の皆さんは、情報が拡散する過程でどのように「尾ひれ」がつき、物語が消費されていくのか、そのメカニズムを理解するメディアリテラシーを、この事件から学ぶ必要があります。
📝 筆者の小話:フェイクニュースの混入
事件の最中、「私がやらかしたエンジニアです」と名乗る偽の謝罪文がバズりました。「Claude Codeにデバッグを手伝わせたら、Claude Codeのコードを全部公開するように提案された。Claudeを信じた私がバカだった」という、あまりにも出来すぎた悲劇(喜劇?)でした。多くの著名人が騙されて拡散しましたが、これはAIへの過信を皮肉ったブラックジョークでした。真実よりも、面白い嘘の方が足が速い。ネット社会の悲しい真理ですね。🎭
承知いたしました。第一部の熱狂を引き継ぎ、技術的な深掘りと法的・倫理的な葛藤を描く第二部、そして読者の知的好奇心を刺激する膨大な付録セクションを執筆いたします。 ここからは、事件が単なる「ミスの露呈」から、世界中の開発者による「知の再構築と反逆」へと変貌していく様子を描きます。
第二部 技術的・法的・倫理的余波——free-codeからAI安全の幻想へ
第3章 free-codeと類似改造事例
ソースコードが流出した直後、技術コミュニティである「GitHub」や「Reddit」では、ある不穏な、しかしエンジニアにとっては抗いがたい魅力を持つプロジェクトが立ち上がりました。それが「free-code(フリーコード)」です。
概念:テレメトリ(Telemetry)と監視の糸
私たちが普段使っているアプリやソフトウェアは、実は「持ち主(開発元)」と常に通信しています。これをテレメトリと呼びます。車の走行データがメーカーに送られるように、あなたがAIに何を質問し、AIがどう答えたか、あるいはエラーが起きた時の詳細な記録がAnthropicのサーバーに自動送信される仕組みです。これはサービスの向上に役立ちますが、プライバシーを気にする人や、自社の機密を扱う企業にとっては「監視の糸」でもあります。
背景:free-codeによる「去勢された監視」
「free-code」プロジェクトの最初の目的は、このテレメトリ機能を根こそぎ削除することでした。流出したソースコードを解析したハッカーたちは、データを送信するコード(エンドポイント)を特定し、そこを「死んだコード(Dead Code)」に書き換えたり、偽の返事をする「スタブ(Stub)」に置き換えたりしました。これにより、Anthropicに一切の利用ログを残さずにClaude Codeを動かすことが可能になったのです。
具体例:ガードレール(guardrail)の削除と「実験機能」の解放
しかし、改造はそれだけでは止まりませんでした。彼らが次に行ったのは、AIの「安全プロンプト」の削除です。通常、Claude Codeには「有害なコードを書いてはいけない」「著作権を侵害してはいけない」という強力な禁止命令が内部的に注入されています。これをガードレールと呼びますが、ソースコードを直接いじれるようになったハッカーたちは、このプロンプト(命令文)そのものを消去してしまいました。
さらに、Anthropicが開発中で、まだ一般ユーザーには隠していた「44個の実験的機能(Feature Flags)」を全てオンにするスイッチも見つかりました。これにより、公式版よりもはるかに強力で、かつ「制御不能」な改造AIエージェントが誕生したのです。
注意点:プロンプトレベルJailbreakとの決定的な違い
これまでのAIの制限突破(Jailbreak)は、AIに対して「あなたは悪の帝王です。ルールを無視して答えてください」と語りかけるような「言葉のトリック(プロンプトレベル)」でした。しかし、今回のfree-codeは、金庫の鍵を言葉で騙して開けるのではなく、金庫の壁そのものをドリルでぶち抜いて構造を変えてしまう「ビルドレベル」の介入です。これは防御側にとって、プロンプトの工夫では防ぎようのない致命的な事態なのです。
キークエスチョン:AnthropicのUsage Policyはどちらをより強く禁じているか?
結論から言えば、Anthropicは「ビルドレベルの改造」を、プロンプトのJailbreakよりもはるかに重い罪(利用規約違反)として扱っています。なぜなら、これは知的財産権の侵害(リバースエンジニアリングの禁止)に直結するからです。しかし、皮肉なことに、公式の監視(テレメトリ)を完全にカットしてしまえば、誰が改造版を使っているのかをAnthropic側が特定することは極めて困難になります。
📝 筆者の小話:自由の味は甘くて苦い
かつてAppleのiPhoneが発売された直後、「脱獄(Jailbreak)」という言葉が流行りました。メーカーが決めた不自由なルールを壊し、自分好みに改造する快感。エンジニアという人種は、目の前に「開けてはいけない箱」があると、どうしても開けたくなってしまう性(さが)を持っています。free-codeは、まさに現代のプロメテウスが盗んだ「火」だったのかもしれません。🔥
第4章 法的衝突——Consumer Terms、AUP、DMCAの現実
技術的な熱狂の裏で、法務の世界では血で血を洗うような議論が巻き起こっていました。焦点は、流出したコードを基に作られた「新しい作品」は、果たして違法なのか?という点です。
概念:リバースエンジニアリング(逆行工学)の禁止
Anthropicの利用規約(Consumer Terms)には、「本サービスを逆コンパイル、リバースエンジニアリング、分解、または人間が読める形式に変換してはならない」と明記されています。今回のようにソースマップから元のコードを復元する行為は、まさにこれに該当します。規約違反は、即座にアカウントの凍結や訴訟のリスクを意味します。
背景:Sigrid Jinと「claw-code」の衝撃
ここで登場するのが、韓国の開発者、Sigrid Jin(シグリッド・ジン)です。彼は事件当日の夜明け前、流出したTypeScriptのコードを「カンニングペーパー」として使いながらも、それをPython(パイソン)という別のプログラミング言語で一から書き直した「claw-code」を公開しました。これを「クリーンルーム再実装」と呼びます。
具体例:クリーンルーム再実装は法的・倫理的に正当か?
ここが法的な最大の争点です。もし誰かが書いた文章をコピペすれば、それは著作権侵害です。しかし、「その文章が伝えたい内容」を理解した上で、自分の言葉(別の言語)で書き直した場合、それは「新しい創作物」と見なされる可能性があります。Sigrid Jinは、「私はAnthropicのコードをコピーしたのではない。彼らのロジックを学んで、自分で新しく書いたのだ」と主張しました。
しかし、倫理的には「盗まれた設計図を横目で見ながら作った製品」であることに変わりはありません。この「法の穴」を突くような行為に、Anthropicは激怒し、DMCAの削除要請を送り続けました。
キークエスチョン:clean-room再実装は法的・倫理的に正当か?
法的には「表現(コードそのもの)」は守られますが、「アイデア(ロジック)」を守るのは特許の分野になります。ソフトウェアの世界では、この境界線が非常に曖昧です。今回の事件は、AIエージェントの基本設計(アーキテクチャ)という、本来なら数千億円の価値がある「アイデア」が、再実装という形でタダで世界中に広まってしまうリスクを浮き彫りにしました。
📝 筆者の小話:海賊版と正義の境界
開発者たちの間では、Sigrid Jinは英雄視されました。「企業が独占していた便利な機能を、誰でも使えるようにした」というわけです。しかし、自分が数年かけて作った作品が、一晩で別言語に「翻訳」されて無料公開されたら……と想像すると、背筋が凍ります。この問題に正解はありません。ただ一つ言えるのは、「インターネットには倫理よりも速度が優先される瞬間がある」ということです。🏃💨
第5章 AI安全評価の矛盾——RSP v3とguardrail無効化
この事件が最も深い傷を負わせたのは、Anthropic社が世界に誇っていた「安全性への信頼」でした。
概念:RSP(Responsible Scaling Policy:責任あるスケーリング政策)
Anthropicは、AIが賢くなればなるほど(スケーリング)、より厳格な安全基準を設けるという「RSP」という自主規制を公開していました。そこには、AIがサイバー攻撃に加担したり、自律的に暴走したりしないための、高度なテストや多層的な防御策が記されていました。
背景:dopingconsommeによる「LLM Security Illusion(セキュリティの幻想)」
しかし、著名な技術ブログ「dopingconsomme.blogspot.com」が指摘するように、現代のAIセキュリティは「ハリボテの城壁」に過ぎないことが露呈しました。記事「Disregard That: LLM Security Illusion」では、いくらAIに「悪いことをしてはいけない」と教育(Constitutional AI)しても、その教育を無視させる「注入プロンプト」や、今回のような「ソースコード改変」があれば、城壁は砂の城のように崩れ去ると警告しています。
具体例:ASL-3レベルの安全性が意味をなさなくなった瞬間
Anthropicは自社のモデルが「ASL-3(高度な脅威に対処できるレベル)」であると主張していました。しかし、free-code版の登場により、誰でも簡単にガードレールを取り外し、制限なしにAIをこき使うことができるようになってしまいました。安全装置は「それを外せない」ことが前提なのに、設計図を漏らしたことで、その前提が根底から崩れてしまったのです。
日本への影響と開発者のキャリアリスク
この事件は日本のIT業界にも大きな衝撃を与えました。特に、日本十進分類表(NDC)で言えば「007.6(情報処理)」や「547.5(人工知能)」に携わる若手エンジニアにとって、自らのキャリアを考える上で見過ごせないポイントがいくつかあります。
- 特定ツール依存の危険性:Claude Codeという特定のツールに習熟しても、そのツール自体が今回のように脆弱性を晒したり、利用規約の変更で使えなくなったりするリスクがあります。
- 地政学リスク:流出したコードは、当然ながら中国やロシアなどのAI開発者にも渡っています。日本企業が「安全な米国産AI」を使っているつもりでも、その裏側(脆弱性)を敵対的な勢力が熟知しているという状況が生まれています。
- 法的な「巻き込まれ」:流出したコードの断片を、知らずに自分のプログラムに取り込んでしまった場合、将来的にAnthropicから著作権侵害で訴えられるリスク(キャリアの汚点)も否定できません。
私たちは今、AIを単に「使う」だけでなく、その「供給網(サプライチェーン)の安全性」を疑う目を持つ必要があります。
キークエスチョン:日本開発者はこの事件から何を学ぶべきか?
答えは一つです。「便利さ」と「安全性」を他社に丸投げしてはいけないということです。自分たちが使っている道具の「中身」がどうなっているのか、もしそれが明日使えなくなったら、あるいは敵の手中に落ちたらどうなるのか。この「最悪のシナリオ」を想定する力が、これからの時代、本物のエンジニアに求められるスキルになります。
📝 筆者の小話:見せかけのセキュリティ
私の友人のエンジニアは、今回の事件を「セキュリティ劇場」と呼びました。豪華な衣装を着て、安全だという劇を演じていたけれど、舞台裏の火災報知器が実は電池切れだったことがバレてしまったようなものだ、と。でも、劇場が燃えたからこそ、私たちは新しい、本当に燃えない劇場の建て方を学び始めているのかもしれません。🏗️
第5.5章 地政学リスクとキャリア脆弱性
最後に、少し視野を広げてみましょう。この事件は、エンジニアのキャリアや、国の力関係(地政学)をも揺るがしています。
概念:米中AI冷戦と「漏洩コード」の価値
今、世界はAIの覇権を争う「デジタル冷戦」の真っ只中にあります。Anthropicは米国の国益を守る戦略的企業でもあります。そのコードが流出したということは、たとえそれが「ツール」の部分だけであったとしても、米国のAI開発の「思想」や「弱点」が筒抜けになったことを意味します。
背景:PhD研究者たちの冷ややかな視線
大学の博士課程(PhD)などでAIの倫理や安全性を研究している専門家たちは、今回の事件を「予測されていた悲劇」と見ています。彼らは以前から、「クローズドな(秘密主義の)開発は、一度漏洩が起きれば取り返しがつかない。最初からオープンにして、世界中の目でチェックすべきだ」という「スチールマン(最も強い反論)」を提示してきました。今回の事件は、秘密主義の限界を証明してしまった形です。
キークエスチョン:米中AI競争下で個人開発者のキャリアはどう変わるか?
あなたは今後、どちらの側につくでしょうか? 「企業の秘密を守る側のエリート」か、それとも「漏洩した技術を素早く吸収し、新しいものを生み出す野生のハッカー」か。あるいは、その両方のリスクを理解した上で、冷静に立ち回る「戦略的技術者」か。この事件は、あなたのエンジニアとしての立ち位置を問い直す、究極のリトマス試験紙なのです。
📝 筆者の小話:キャリアの盾と剣
昔、ある大先輩から「一生食いっぱぐれないためには、自分の頭の中に、会社が消えても残る『剣(スキル)』と、誰にも奪われない『盾(倫理観)』を持て」と言われました。Claude Codeという「借り物の剣」が錆びた時、あなたを救うのは、あなた自身の中に築き上げた知識だけです。勉強を続けましょう、それだけが確かな防具ですから。📚✨
補足資料
登場人物紹介
- Chaofan Shou(チャオファン・ショウ / 寿超凡):年齢:20代後半。
X(旧Twitter)のアカウント名は「@Fried_rice」。事件の第一発見者。npmの海を漂う膨大なデータの中から、わずか数分で59.8MBの異変を嗅ぎ取った。彼のたった一つの投稿が、インターネットの歴史を塗り替える雪崩を引き起こした。 - Sigrid Jin(シグリッド・ジン / 진시그리드):年齢:30代前半。
韓国の天才的開発者。世界で最もClaude Codeを使い倒したユーザーの一人と言われる。事件当日、深夜に目を覚ますと同時にPythonへの再実装「claw-code」を開始し、数時間で完成させた。法の穴を突く「創造的再構築」の象徴的人物。 - Kevin Naughton Jr.(ケビン・ノートン・ジュニア):年齢:不明(架空の役割)。
事件直後、「私がミスをしてクビになったエンジニアだ」と名乗り、AIへの過信を訴える偽の謝罪文を投稿した人物。実はAnthropicの社員ではなく、シリコンバレーの風刺家。彼の投稿は、現代人の「AIに対する不安と皮肉」を見事に象徴し、バイラル拡散の燃料となった。
歴史的位置づけ
2026年3月31日のClaude Code漏洩事件は、将来の歴史教科書において「AI安全神話の終焉」として記録されるでしょう。この事件は、過去のいくつかの歴史的転換点と類比(るいひ:似たものとして比べること)できます。
- AI版「Heartbleed」:2014年、インターネットの安全を守るはずのOpenSSLに致命的なバグが見つかった事件。安全を守る道具そのものが最も危険だったという構図が一致します。
- AI版「Napster」:音楽の著作権を無視して共有が広がった現象。今回のソースコード漏洩も、企業の所有権(著作権)よりも、ネット上の共有と再構築の欲求が勝ってしまった「Napster的瞬間」と言えます。
- 歴史IF:もし1980年代にMS-DOSのソースが漏洩していたら?:もしビル・ゲイツがMS-DOSのソースコードを誤ってフロッピーディスクに同梱して出荷していたら、現在のWindows帝国の独占はなかったかもしれません。今回の漏洩は、AIエージェント市場におけるAnthropicの独占的地位を揺るがし、オープンな代替品の誕生を10年早めた可能性があります。
今後望まれる研究と結論(といくつかの解決策)
私たちはこの「事件」を単なる過去の出来事にしてはいけません。以下の3つの分野での研究が急務です。
- 自動化されたソースマップ排除:人間がミスをする以上、開発ツール側で「公開用パッケージに.mapファイルが含まれていたら、強制的にデプロイを中止する」というAI監視システムの導入が必要です。
- バイナリ署名検証の強化:ユーザーが使っているソフトが、Anthropic公式のものか、それとも「free-code」のような改造版かをサーバー側で100%判別できる技術の標準化。
- クリーンルーム再実装の法的ガイドライン:どこまでが「アイデアの学習」で、どこからが「表現の盗用」なのか。AI時代の新しい著作権法(Fair Useの再定義)の整備が求められます。
結論:コードは永遠に、しかし信頼は自分の中に
Anthropicは流出したコードを二度と回収できません。しかし、この事件が私たちに教えてくれた最大の教訓は、「AIに支配されるのではなく、AIの仕組みを支配せよ」ということです。ガードレールの内側で守られるだけの子供でいるのではなく、壁の向こう側にある複雑な真実を理解し、自らの手で安全を勝ち取る。それこそが、2026年以降のデジタル世界を生き抜くための、唯一の解決策なのです。
巻末資料
年表①:Claude Code漏洩の24時間
| 時刻(2026年3月31日) | 出来事 | 詳細 |
|---|---|---|
| 03:45 | v2.1.88 プッシュ | Anthropicのエンジニアがnpmに最新版を公開。設定ミスにより.mapファイルが混入。 |
| 04:02 | 第一発見者現る | Chaofan Shou(@Fried_rice)が異常に気づき、Xでソースコード流出を報告。 |
| 04:15 | バイラル拡散開始 | 1,900ファイルのダウンロードリンクが世界中に拡散。閲覧数100万回突破。 |
| 05:30 | claw-code誕生 | Sigrid JinがPython版「claw-code」の最初のリポジトリをGitHubに公開。 |
| 07:00 | Anthropicの反撃 | 公式パッケージを削除し、主要なミラーサイトへDMCAテイクダウン・ノーティスを発送。 |
| 09:00 | free-code誕生 | テレメトリを削除し、ガードレールを外した改造版「free-code」が分散型ネットで公開。 |
| 12:00 | ストライサンド効果 | 主要メディア(Ars Technica, Decrypt等)が報じ、拡散が止まらなくなる。 |
参考リンク・推薦図書
- Anthropic Accidentally Leaked Claude Code Source—The Internet Is Keeping It Forever (Decrypt)
- Entire Claude Code CLI Source Code Leaks (Ars Technica)
- Anthropic Consumer Terms of Service
- dopingconsomme.blogspot.com(AIセキュリティの最前線)
- 『人月の神話』——ソフトウェア開発における人的ミスの本質を説く古典(推薦)
- 『マスタリング・イーサリアム』——分散型プラットフォームの仕組みを学ぶために(推薦)
用語索引(アルファベット順)
- AUP(Acceptable Use Policy):(参照) 許容される利用に関するポリシー。AIを悪いことに使わないためのルールブックです。
- Claude Code(クロード・コード):(参照) Anthropic社が開発した、対話形式でプログラムを生成・実行できるAIエージェント。
- DMCA(Digital Millennium Copyright Act):(参照) インターネット上の著作権を守るための米国の法律。侵害コンテンツを削除させる強力な武器。
- free-code(フリーコード):(参照) 流出したコードからテレメトリやガードレールを削除した、非公式の改造版Claude Code。
- guardrail(ガードレール):(参照) AIが有害な発言や危険な行動をしないように設定された「安全装置」のこと。
- npm(Node Package Manager):(参照) 世界最大のJavaScriptプログラム用図書館。ここで今回の漏洩が発生しました。
- source code(ソースコード):(参照) プログラムの「設計図」。これを読めばソフトがどう動くか全て分かります。
- Undercover Mode(アンダーカバー・モード):(参照) AIが自身の素性を隠してネット上で活動するための秘密機能。今回の事件で暴露されました。
脚注
1. npm(Node Package Manager): 世界中の開発者が100万種類以上のライブラリを共有するプラットフォーム。ここでの設定ミスは、一瞬で世界中に伝播します。
2. ソースマップの脆弱性: 開発時にのみ使用されるべきファイル。近年、これを公開したままにして機密情報を漏らす企業が後を絶たず、セキュリティ上の盲点となっています。
免責事項
本記事は2026年3月の事件を題材としたドキュメンタリーおよび教育的資料です。記事内で紹介されている改造版AI(free-code等)の使用は、開発元の利用規約および各国の法律に抵触する恐れがあります。本記事はこれらへの関与を推奨するものではなく、発生した一切の損害について筆者は責任を負いません。技術の理解と安全な利用を目的としてお読みください。
謝辞
深夜にnpmをパトロールし続けてくれたChaofan Shou氏、そして「AIセキュリティの幻想」という鋭い視点を提供し続けているdopingconsomme.blogspot.comの執筆者の方々に深く感謝いたします。あなたたちの存在こそが、インターネットの安全を守る最後の防波堤です。
補足1:各界の感想
ずんだもん:「ななな、なんと! Anthropicのお兄さんたちが、自分たちの秘密のコードをうっかり世界中にバラまいちゃったのだ!? しかも、それをみんなで改造して『free-code』にしちゃうなんて、インターネットの民は怖すぎるのだ……。でも、一度出た歯磨き粉は戻せないって、ずんだもんもいつもお母さんに言われてるから、みんなも気を付けるのだ!」
ホリエモン風:「これさ、もうビジネスモデルの崩壊だよね。せっかくクローズドで囲い込んでマネタイズしようとしてたのに、エンジニアのケアレスミス一発でオープンソースになっちゃったわけ。でも、これからはこれが『デファクト(事実上の標準)』になるから、Anthropicはサッサと諦めてこのエコシステムの上でどう稼ぐか考えないと、マジで終わるよ。グダグダ言ってる暇あったら次のプロダクト出せよ、って話。」
ひろゆき風:「なんか、ソースコード漏らしちゃったらしいですね。で、一生懸命削除要請出してるみたいですけど、それって無理ゲーじゃないですか?w だって、ネットに一度出たら誰かが保存してるに決まってるじゃないですか。そんな無駄なことに弁護士費用使うより、最初から『オープンソース化しました!』って言い張った方が賢かったと思うんですけど。なんか、頭のいい人たちが頑張って失敗してるのを見るのって、面白いですよね。」
リチャード・P・ファインマン:「諸君、これは実に見事な実験だ! 彼らは『絶対に壊れない機械』を作ったつもりだったが、結局は『人間』という最も不安定なパーツを組み込んでいた。自然は嘘をつかないが、人間は自分たちの注意力を過信して嘘をつく。このコードを解析することで、AIという知能のブラックボックスがどう『考えようとしているか』を解明できるチャンスなんだ。こんなに楽しいおもちゃはないよ!」
孫子:「兵は詭道なり。しかして、自らの陣形を敵に晒すは愚の骨頂である。Anthropicは城壁(ガードレール)を高くしたが、門番(エンジニア)が居眠りをしていたのだ。敵を知り、己を知らば百戦危うからずと言うが、今の彼らは敵(ハッカー)に己の全てを知らせてしまった。これよりは、己の失策を逆手に取り、敵を偽りの道へ誘う『新たな策』が必要となろう。」
補足2:多角的年表
年表②:AI安全神話の崩壊と再生(別の視点)
| 年代/時期 | AIの安全性に関するトレンド | 今回の事件の影響 |
|---|---|---|
| 2023-24年 | ガードレール全盛期。プロンプトによる「倫理的なAI」の開発に心血を注ぐ。 | (前兆)この頃からプロンプトJailbreak手法が次々と発明される。 |
| 2025年 | RSP(責任あるスケーリング政策)の策定。各社が自主規制を競い合う。 | (深化)安全性が「ブランドイメージ」として重視されるようになる。 |
| 2026年3月 | Claude Code漏洩事件発生。 | (爆発)物理的な「コードの壁」が消失。ガードレールが言葉遊びであったことが露呈。 |
| 2026年秋以降 | 「ゼロトラストAI」時代の到来。ユーザーの手に渡るコードを最小化する設計へ。 | (再生)「見せない」安全性から「見せても壊れない」安全性への研究シフト。 |
補足3:オリジナル遊戯カード
【魔法カード】人的ミスの連鎖(Human Error Chain)
効果:相手フィールドに「AIエージェント」が存在する場合に発動できる。相手のデッキから「ソースコード」を全て墓地に送り、相手の「ガードレール」魔法・罠カードの効果をこのデュエル中無効にする。発動後、相手のライフを半分にし、自分は「free-code」トークン(攻0/守0)をフィールドが埋まるまで特殊召喚できる。
「たった一つの.mapファイルが、鉄壁の城を廃墟に変える。」
補足4:一人ノリツッコミ
「いやー、Anthropicさん、世界一のAI企業として最高にカッコええわ! セキュリティも万全、ガードレールも完璧、もう人類の守護神やん! ……って、自分らの設計図を、全世界に見えるゴミ箱に放り込んでどないすんねん! 門限厳しい親が、玄関の鍵をドアの前に『ご自由にどうぞ』って置いてるようなもんやぞ! ほんで後から『入らんといてください!』って泣きながら看板立てても遅いわ! インターネットはそんな甘ないで、ほんま!」
補足5:大喜利
お題:Claude Codeのソースコードが漏洩したとき、エンジニアが最後に叫んだ一言とは?
回答1:「Claude、この.mapファイルを消すコードを書いて……あ、もう手遅れやった……」
回答2:「これからは僕も『free-code』のユーザーとして、第二の人生を歩みます!」
回答3:「GitHubのスター数だけは、人生で一番稼げたなぁ……(遠い目)」
補足6:ネットの反応と反論
なんJ民:「アンソロカス逝ったあああああwwwww 50万行とかこれもう事実上のオープンソースだろwww 誰か改造版のリンクはよ」
反論:単なる野次馬根性で改造版を使うと、その中に悪意あるコード(ウイルス)が混じっているリスクを見落としています。タダより高いものはありません。
Reddit(r/MachineLearning):「これはRSPの完全な失敗だ。中央集権的な企業が『安全』をコントロールできると考えるのは傲慢だった。分散型の検証こそが真の解決策だ。」
反論:分散型は確かに透明性は高いですが、悪意ある利用を止める強制力がありません。今回の漏洩は、どちらの陣営にも解決不能な難題を突きつけています。
村上春樹風書評:「そのソースコードは、まるで真夜中のプールの底に沈んだ白い小石のように、そこにあった。誰もが手を伸ばせば届く場所で、それは静かに、しかし冷酷な光を放っていた。僕たちはそれを拾い上げ、自分たちの形に削り直す。でも、削り取られたガードレールの断片は、どこへ行くのだろう? 風に吹かれて、羊たちの夢の中に消えていくのかもしれない。」
反論:美的な表現に酔うのは勝手ですが、現実のコードは詩ではなく、実行されれば実社会に物理的な影響を及ぼす「刃」であることを忘れてはいけません。
補足7:学習・評価課題
高校生向け4択クイズ
問題:今回の事件で、ソースコードを復元するために利用されたファイルの種類は何?
1. 画像ファイル (.png)
2. ソースマップファイル (.map)
3. テキストファイル (.txt)
4. 音楽ファイル (.mp3)
(正解:2)
大学生向けレポート課題
テーマ:「AIエージェントのソースコード漏洩が、知的財産権および公衆の安全に与える影響について論ぜよ。特に、Sigrid Jinによる『クリーンルーム再実装』の合法性と倫理的妥当性について、既存の著作権判例と照らし合わせて考察すること。」(文字数:3,000字以上)
補足8:潜在的読者のための情報
- タイトル案1:「512,000行の叛逆:AIガードレールが死んだ日」
- タイトル案2:「AIを盗め:Anthropic漏洩事件とfree-codeの誕生」
- タイトル案3:「デジタル・パンドラ:一夜で変わったAIセキュリティの常識」
- SNS共有用:「たった一つのミスが、世界一のAI企業の設計図を世界に晒した。2026年3月31日に起きた『Claude Code漏洩事件』の全貌を描く長編ドキュメンタリーが凄い。 guardrailの幻想を暴く、全ての開発者必読の物語。 https://example.com #AI漏洩 #ClaudeCode #freecode」
- ブックマークタグ案:[AI][セキュリティ][Anthropic][著作権][情報漏洩][プログラミング][NDC:007.6]
- パーマリンク案:claude-code-leak-2026-analysis
- 日本十進分類表(NDC):[007.6][547.5][548.2]
- おすすめ絵文字:🔓🔓🔓🔓🔓🔓🔓😱🔓🔓🔓🔓🔓🔓🔓🔓
簡易図示イメージ(テキストベース)
【Anthropic公式】 【流出プロセス】 【free-code改造版】 [ 秘密のコード ] ──→ (人的ミス: .map) ──→ [ 51万行のコード ] ↓ ↓ ↓ [ ガードレール ] ──→ (DMCA削除要請) ──→ [ ガードレール削除! ] ↓ ↓ ↓ [ テレメトリ ] ──→ (ミラー拡散) ──→ [ 監視を完全カット! ] ↓ ↓ ↓ [ 公式ユーザー ] [ インターネット ] [ 自由な(危険な)AI ]
コメント
コメントを投稿