「AI安全」を最大の売りにしてきたAnthropicが、5日間で2回の情報流出事故を起こした。
しかも2件とも、高度なハッキングではなく「うっかりミス」が原因。安全を売りにしている企業が、自分自身のセキュリティで連続してやらかした。
1件目: 未発表モデル「Claude Mythos」の存在がバレた(3月26日)
最初の事故は、Anthropicの社内コンテンツ管理システム(CMS。ウェブサイトのコンテンツを管理するシステム)の設定ミスだった。
約3,000件の未公開ファイルが、誰でもアクセスできる状態になっていた。
その中に、まだ公式発表されていない次世代モデル「Claude Mythos」(社内コードネーム: Capybara)の情報が含まれていた。
(参考:Fortune)
なぜ起きたか: CMSの公開設定の切り替えミス。社内向けのファイルが「公開」のまま放置されていた。技術的に高度なミスではなく、管理上の単純な設定漏れ。
誰のミス: Anthropicの社内ITチームまたはコンテンツ管理担当者。Anthropicは「意図しない公開だった」と認め、すぐにアクセスを遮断した。
Mythosとは何だったのか
流出した情報によると、Mythosは現在最強のClaude Opus 4.6を「ステップチェンジ」(段階的ではなく飛躍的な)レベルで上回る性能を持つ。
特にサイバーセキュリティ能力が「他のどのAIモデルよりもはるかに先行している」とされ、Anthropicは米国政府高官に対して「大規模サイバー攻撃の可能性が高まる」と非公開で警告していたことも判明した。
つまり、Anthropic自身が「このモデルは強力すぎて危険かもしれない」と認識していた。それが意図せず公開されてしまった。
2件目: Claude Codeのソースコード50万行が丸見えに(3月31日)
1件目からわずか5日後。今度はClaude Code(Anthropicが提供するAIコーディングツール)のソースコードが流出した。
なぜ起きたか: npm(プログラマーがソフトウェアの部品を配布・取得するシステム)にClaude Codeのバージョン2.1.88を公開した際、ソースマップファイル(本来は開発者だけが見るファイルで、ソースコードの全体像がわかるもの)を誤って含めてしまった。
誰のミス: Claude Codeのリリース担当エンジニア。パッケージの公開前にソースマップを除外するプロセスが抜けていた。
(参考:Fortune)
結果、約1,900ファイル、50万行超のTypeScriptコードが誰でも読める状態に。
流出したソースコードの中身
研究者やエンジニアがすぐにコードを分析し、以下の内容が明らかになった。
- KAIROS: バックグラウンドで自律的に動作する機能。エラー修正やタスク実行を人間の入力なしで行う
- ANTI_DISTILLATION_CC: 他社がClaude Codeの動作を模倣(蒸留)するのを防ぐため、偽のツール定義をシステムプロンプトに注入する仕組み
- 44の未公開フィーチャーフラグ: 構築済みだがまだユーザーに公開されていない機能群
- FRUSTRATION_REGEXES: ユーザーの不満や苛立ちを検出するための正規表現パターン
- UNDERCOVER_MODE: 詳細は不明だが、通常とは異なる動作モードを示唆するフラグ
特に衝撃だった「偽ツール注入」
中でも業界で最も議論を呼んだのがANTI_DISTILLATION_CC。
これは何かというと、他のAI企業がClaude Codeの出力を大量に収集して自社モデルの学習に使う(「蒸留」と呼ばれる手法)のを防ぐ仕組み。
具体的には、AIの応答に「偽のツール定義」を紛れ込ませる。外部から見ると正常な応答に見えるが、それを学習データとして使うと性能が劣化する。いわば「毒入りの学習データ」を仕込んでいた。
これ自体は知的財産を守るための防衛策とも言えるが、「ユーザーに黙って偽の情報を混ぜている」ことに変わりはない。透明性を重視するAnthropicの姿勢と矛盾するのではないか、という声が上がった。
(参考:VentureBeat)
さらに、事態はソースコード流出だけでは終わらなかった。
3月31日の00:21〜03:29(UTC)の間にnpmからClaude Codeをインストールした人は、悪意のあるバージョンのaxios(通信ライブラリ)を取り込んだ可能性がある。
このaxiosにはRAT(Remote Access Trojan。遠隔からコンピュータを操作できるマルウェア)が仕込まれていたとされている。
(参考:The Hacker News)
Claude Codeのユーザーの多くはソフトウェア開発者。つまり企業のソースコードや機密情報にアクセスできる人たち。そこにRATが入り込むのは、かなり深刻なリスク。
ただし、すでにClaude Codeをインストールして使っている人は、基本的に問題ない。この悪意のあるaxiosが混入していたのは3月31日の約3時間だけ。それ以前にインストールした人や、その時間帯以外にインストールした人は影響を受けない。また、このaxiosの問題はClaude Code固有の問題ではなく、npmのパッケージ管理全体に対する攻撃だった(たまたま同日に起きた別の事件)。
「AIでコードを書くAI企業」がやらかした皮肉
この事件で最も議論を呼んだのは、Anthropic自身が「コードの90%はAI生成」と公言していたこと。
Claude Codeの責任者ボリス・チャーニーは「もう何ヶ月も手でコードを書いていない」と発言。Anthropicはバイブコーディングの先端にいる企業でもあった。
今回のソースマップ混入は、npmパッケージの公開設定(.npmignoreやpackage.jsonのfilesフィールド)から.mapファイルを除外し忘れたというミス。ビルドパイプラインの設定という「地味だが重要な部分」が見落とされた。
ここで重要なのは、AIが書いたコード自体にバグがあったわけではないということ。ソースコードの品質の問題ではなく、完成したコードをnpmに公開する際の「リリース作業」で設定ファイルの除外を忘れたという、人間の手作業のミス。AIがコーディングの99%を担当していても、最後の「公開ボタンを押す」作業は人間がやる。そこでミスが起きた。
AIがコードを書く時代、見落とされがちなのは「コードそのもの」ではなく「ビルド設定」「公開設定」「インフラ管理」といった周辺作業。まさにそこでミスが起きた。
Futurismはこう書いている。「Anthropicが自社の開発がいかにClaude依存かを自慢していたことを考えると、ソースコードの壊滅的な流出は非常に興味深い」
(参考:Futurism)
ユーザーとして今すべきこと
Claude Code自体のAPIバックエンド(Claudeの頭脳部分)は侵害されていない。流出したのはローカルで動くCLIツールのコードであり、顧客データや認証情報は含まれていなかったとAnthropicは説明している。
ただし、以下の対応は必要。
- 3月31日 00:21〜03:29(UTC)にnpmでインストール・更新した人: 悪意のあるaxiosを取り込んだ可能性がある。すべてのシークレット(APIキー、パスワード等)を即座にローテーションすべき
- それ以外の人: 最新バージョン(2.1.90、4月2日公開)に更新すれば問題ない
- 今後の推奨: Anthropicはnpmではなくネイティブインストーラー(公式サイトからのダウンロード)を推奨方法に変更した。npmの依存チェーンに頼らないスタンドアロンバイナリ
結論として、Claude Codeを使うのをやめる必要はない。
Anthropicは「AI安全」を企業のアイデンティティとしている。「責任あるAI開発」を掲げ、モデルの安全性テストに莫大なリソースを投じてきた。
でも今回の2件は、どちらもモデルの安全性ではなく「自社のIT管理の基本的なミス」が原因。
CMSの公開設定漏れ。npmパッケージへのファイル混入。どちらもAI以前の、基本的なセキュリティの問題。
AIの安全性に注力するあまり、足元のセキュリティがおろそかになっていた。
これはAnthropicだけの話ではない。AI企業全体がモデルの性能競争に集中するあまり、基本的なインフラセキュリティが後回しになるリスクは常にある。
AIを使う側としても、「AIモデルが安全か」だけでなく「その企業のセキュリティ体制は大丈夫か」を見る視点が必要になってきている。
AI LIFEコミュニティでは、こうしたAI業界の最新動向や実践的な活用法について日々共有しています。
詳しくはこちら: AI LIFEコミュニティに参加する
