Claude Code流出が示した未来 ─ AI開発はどこで壊れるのか

AIシステムの境界が崩れ、内部構造が外部に漏れ出す様子を表現した抽象イメージ TECH
Claude Code流出が示したのは、AIそのものではなく“運用の崩壊”だった

Claudeのコードが流出した――そう聞いて、飛びついた人は多いだろう。

だが、今回の話で本当に重要なのは、何が漏れたかではない。

なぜ、それが“普通に公開されていたのか”だ。

この違和感に気づけるかどうかで、
今回の事件の見え方はまったく変わる。

事件のあらまし

Claude Code’s source code appears to have leaked: here’s what we know(venturebeat.com)

2026年3月31日、AnthropicはClaude Codeの新バージョンをnpmに公開した。

このとき、パッケージ内にソースマップ(.mapファイル)が含まれていた。

通常、これは開発用の補助ファイルに過ぎない。
しかし今回、その中にTypeScriptの元ソースへ到達できる情報が含まれていた。

さらに問題はそこでは終わらない。

ソースマップを辿ることで、Cloudflare R2上に配置されたzipアーカイブへアクセス可能な状態になっていた。

結果として、約50万行・1900ファイル規模の内部コードが、
認証なしで取得可能な状態になった。

特別な攻撃は不要。

URLを知っていれば、誰でもダウンロードできた。

必要のない公開が、連鎖した

そして、いつもの騒ぎ

この手の話に、人は敏感だ。

GitHub上では流出コードを元にしたリポジトリが爆発的に増殖した。

中でも「claw-code」と呼ばれるプロジェクトは、
わずか1日で10万スター級の伸びを見せたとも言われている。

中身を精査するよりも先に、
「とりあえず触る」「とりあえずスターを付ける」

そんな動きが一気に広がった。

Fork、Fork、Fork

コピーのコピーがさらにコピーされる。

誰が元なのか分からない。
どこまでが改変なのか分からない。

気づけば、そこにあるのは“コード”ではなく、
ただのノイズの塊だ。

当然こうなる

こうした状況で、何が起きるかは決まっている。

マルウェアの混入だ。

トロイの木馬
偽パッケージ
改変された依存関係

どれが安全で、どれが危険か。
それを判別できる人間は、ほとんどいない。

触った時点で負け

実際に何が漏れたのか ─ 誤解されているポイント

ここで一度、事実を整理しておく必要がある。

今回の事件は、多くの人が誤解している。

流出したのはClaudeではない

漏れたのは、Claude CodeというCLIベースの実行環境。
いわば、AIを動かすための“ハーネス”部分だ。

漏れたもの・漏れていないもの

Anthropic leaks its own AI coding tool’s source code in second major security breach | Fortune
Hundreds of thousands of lines of code were exposed, giving researchers insight into upcoming models and internal archit...
fortune.com

公開状態になっていたコードには、以下のような情報が含まれていた。

エージェント実行ロジック
CLIベースの操作系
内部のフィーチャーフラグ
未公開機能の痕跡
システムプロンプト
将来機能の構想

これらは単なる実装ではない。

プロダクトの設計思想そのものだ。

一方で、以下の情報は流出していない。

Claudeモデルの重み
学習データ
ユーザーデータ
APIキーや認証情報

つまり今回の件は、

“AIの中身”ではなく
“AIの使い方”が露出した

という構造になる。

それでも痛い理由

では、なぜこれが問題なのか。

答えは単純だ。

競合に設計図を渡したからだ。

しかも、未公開機能を含んだ状態で。

これは「盗まれた」のではない。

自分で配った

これは“2回目”だった

さらに厄介な事実がある。
今回の問題は、単発の事故ではない。

数日前にも、内部ファイルの露出が確認されている。
規模は異なるが、構造は似ている。

数日で2回

しかも、対象は「安全性」を強く打ち出している企業だ。
偶然と呼ぶには、お粗末が過ぎる。

Claude Codeとは何だったのか

ここまでの話をただの流出騒ぎとして消費するのは簡単だ。
だが、それではこの事件の価値を取りこぼす。

今回露出したのは、単なるCLIツールではない。

Claude Codeは、AIを「呼び出す存在」から
「常駐する存在」へ変えるための実装だ。

従来のAIは、リクエストして、待って、返ってくる。
いわば“対話型ツール”だった。

しかしClaude Codeが示しているのは、その次の段階だ。

AIが、ユーザーの操作を待たずに動く。
AIが、裏で処理を進める。
AIが、状態を保持し続ける。

つまり、AIは“道具”から“プロセス”へ変わる。

ここに、今回の事件の本当の価値がある。

常駐するAI ─ 待たない存在

コード内に見られたKAIROSのような機構は、
バックグラウンドで動作する常駐型エージェントを示唆している。

ユーザーが操作していない時間にも処理は進む。
タスクは分解され、優先順位が付けられ、裏で実行される。

もはや「入力→出力」というモデルではない。

AIは、裏で動き続ける。

人間は結果だけを見る。

この構造が普及すれば、
「AIに頼む」という行為そのものが消える。

気づいた時には終わっている。

それが、次のUIというわけだ。

記憶を統合するAI ─ 経験を持つ存在

さらに興味深いのが、セッションをまたぐ文脈の統合だ。

いわゆるautoDreamのような仕組みは、
単なる履歴保存とは意味が違う。

過去のやり取りを再利用するのではない。

過去の文脈を「統合」し、
次の行動に影響を与える。

つまりAIは、経験を持ち始める。

会話が終わっても関係は終わらない。
次に呼び出したとき、すでに前提を理解している。

この時点で、AIはツールではなくなる。

そこに“居る存在”になる。

パーシステント化 ─ 消えないAI

常駐と記憶が組み合わさると、
AIは明確にパーシステントな存在になる。

セッションは途切れない。
状態は維持される。
タスクは継続される。

ユーザーがブラウザを閉じても、
AIは動き続ける。

これは便利だ。

圧倒的に便利だ。

一度この状態に慣れたら、
もう従来の「毎回指示するAI」には戻れない。

リモート実行 ─ 環境を越えるAI

さらにコードからは、
複数環境にまたがる実行の可能性も見えている。

ローカルで開始した処理が、
別のデバイスや環境に引き継がれる。

スマートフォン、ブラウザ、リモート環境。

場所は関係ない。

AIは処理そのものを持ち運ぶ。

これは単なる利便性の話ではない。

「どこで動くか」という概念そのものが消える。

ここまでは、ただの理想だ

ここまでの話を聞けば、
否定する理由はほとんどない。

便利
高速
効率的

むしろ、なぜ今すぐ実現しないのかとすら思う。

AIはここまで来た。

あと一歩で、開発環境そのものを塗り替える。

Anthropicの公式見解 ─ 「これは侵害ではない」

今回の件について、Anthropicは比較的早い段階で公式コメントを出している。

内容は明確だ。

今回の問題は、外部からの侵入によるセキュリティ侵害ではない。
あくまでリリース工程におけるパッケージングの問題、いわゆるヒューマンエラーだという立場を取っている。

また、強調されているポイントもはっきりしている。

ユーザーデータの流出はない。
APIキーや認証情報も含まれていない。
Claudeモデルそのものや学習データも無関係。

つまり「機密情報は守られている」という整理だ。

この説明は、技術的には正しい。

しかし同時に、別の事実も浮き彫りにする。

今回露出したのは、プロダクトの中核設計だ。
エージェントの動作、内部フラグ、将来機能。

ユーザー情報ではないが、
競争優位そのものに近い領域だ。

ここに、今回の評価の難しさがある。

セキュリティ事故ではない。
だが、プロダクトとしては重大な損失になり得る。

このズレが、そのまま今回の事件の本質を示している。

DMCAが引き起こした二次被害 ─ 止めるために壊す

流出後、Anthropicは著作権侵害申請(DMCA)による対応を取った。

GitHub上に拡散したコードを止めるためだ。

ここまでは自然な対応に見える。

しかし実際に起きたことは、もう少し複雑だった。

削除対象は急速に広がり、最終的には数千規模のリポジトリが影響を受けたとされている。

問題は、その中に無関係なプロジェクトまで含まれていた点だ。

類似コードや名前の一致だけで巻き込まれたケースも報告され、
開発者コミュニティから反発が起きた。

結果として、一部の申請は取り下げられることになる。

ここで見えるのは、もう一つの構造だ。

拡散は一瞬で起きる。
しかし、それを止める手段は粗い。

精密に制御する仕組みは存在しない。

だから結果として、止めるために壊す

という挙動になる。

今回のDMCA対応は、流出そのものとは別の問題を露出させた。

情報拡散の速度に対して、統制手段が追いついていない。

これもまた、運用の問題だ。

同日に起きたサプライチェーン攻撃 ─ もう一つの現実

さらに厄介なのは、タイミングだ。

この流出とほぼ同時期に、npmエコシステムに対するサプライチェーン攻撃が発生している。

対象となったのは、広く使われているライブラリの一つ、axios。
特定の時間帯に公開されたバージョンに、悪意あるコードが混入していた可能性が指摘されている。

影響時間は数時間に過ぎない。
だが、npmの特性上、その短時間で世界中に配布される。

自動更新
依存関係の解決
CI/CDによる展開

これらが連鎖し、人間の確認を経ることなくコードが広がる。

ここで重要なのは、個別の脆弱性ではない。
構造だ。

公開すれば、即座に広がる。
検証は後追いになる。

そして今回のように、

流出
拡散
マルウェア

これらが同時に発生すると、現場では区別がつかなくなる。

どれが正規で
どれが改変で
どれが危険なのか

判断する時間はない。

この状況で「安全に扱え」は現実的ではない。

だからこそ、触った時点で負けという状態が生まれる。

しかし現実に起きたこと

ここで一度、現実に戻る。

今回起きたのは何だったか。

情報漏洩を防ぐ設計を持ったプロダクトが、
リリース工程そのもので崩壊した。

高度な機能でもなければ、
未知の攻撃でもない。

ただのリリース作業だ。

npmに公開した。

それだけで、
50万行のコードが世界に広がった。

なぜこんなことが起きるのか

ここに、この事件の本質がある。

AIは“作る”ことに特化している。

コードを書く。
構造を組む。
処理を最適化する。

この領域では、人間より速く、正確だ。

だが、もう一つの問いがある。

それを「出していいのか」。

公開していいのか。
どこまで公開するのか。
誰に見せるのか。

この判断は、実装とは別の問題だ。

そして、このレイヤーはほぼ自動化されていない。

公開判断が消えた

今回の構造を見れば分かる。

npmに公開
R2に保存
GitHubで拡散

それぞれは独立した仕組みだ。

本来、連動する必要はない。

だが実際には、
それらが無意識に連結されていた

誰も止めていない。

レビューはあったはずだ。
CIも通っているはずだ。

それでも止まらなかった。

理由は単純だ。

誰も「全体」を見ていない。

本当の問題

これはヒューマンエラーではない。

設定ミスでもない。

運用モデルそのものの破綻だ。

開発は、コードを書くことでは終わらない。

公開する
運用する
責任を持つ

そこまで含めて開発だ。

だが今、その後半が消え始めている

AIはどこにいるのか

AIは優秀な実装者だ。

しかし、運用者としては未成熟だ

このギャップが事故を生む。

しかも厄介なのは、
AIはミスをしないように見えることだ。

正確に動く
高速に処理する
エラーも少ない

だが実際には違う。

ミスをしないのではない。

ミスが見えなくなる。

OpenClawが示したもの ─ 誰も中身を見ていない

OpenClaw自体は今回のClaude Code流出とは無関係に存在していたプロジェクトだ。
だからこそ問題は根深い。流出がなくても、同じ構造の危険はすでに至るところにある。

こうしたプロジェクトは、強烈に魅力的に見える。
だからこそ、危ない。

無料
すぐ使える
しかも最先端っぽい

だが、その中身はどうか。

誰が書いたのか。
どこが改変されているのか。
依存関係は何を引いているのか。

それを把握している人間は、ほとんどいない。
にもかかわらず、人はそれを実行する。

ここで問題なのは、技術ではない。構造だ。

OpenClawのようなプロジェクトは、単体で完結しているわけではない。

npm
外部API
ローカル環境
システム権限

それらを横断して動く。

つまり、単なるツールではない。
環境そのものに干渉する“装置”だ。

この手のツールは、便利さと引き換えに境界を壊す。

ファイルにアクセスする
コマンドを実行する
外部へ通信する

そのすべてを、ユーザーは委ねることになる。

そして厄介なのはここからだ。

AIエージェントは、動いているだけでは意味がない。

何かを判断し
何かを選び
何かを実行する

その一連の流れがあって初めて成立する。
だがその判断ロジックを、ユーザーは理解していない。
理解していないどころか、確認すらしていない。

結果として何が起きるか。

何をしているか分からないものが、自分の環境で実行される。
別の言い方をすれば、権限だけを渡して、中身を見ていないという状態だ。

OpenClawが危険なのは、コードが不完全だからではない。
悪意があるからでもない。

全体を把握できる人間が存在しない状態で動くことそのものが危険だ。

これは、今回の流出騒ぎと構造が同じだ。

公開される
拡散される
誰も全体を見ていない

違いは一つだけ。

今度は、それが実行される側に回ったことだ。

そしてこの構造は、OpenClawに限った話ではない。

いま急速に普及しているAIエージェントツール。
それらもまた、同じ問題を抱えている。

便利さの裏で、何が動いているのか。

どこにアクセスしているのか。
何を外部に送っているのか。

そこを理解しないまま使うなら、それはツールではない。
制御不能な実行体だ。

この流れの先にあるものは明確だ。
誰も全体を理解していないシステムが、日常の中で普通に動くようになる。

そしてそのとき、問題はこう変わる。
壊れるかどうかではない。
いつ壊れるか分からない。

OpenClawは、その予告編に過ぎない。

開発者への警告

AIエージェント開発を甘く見てはいけない。

公開境界を設計しろ。
確認工程を消すな。
責任を放棄するな。

自動化は、判断を代替しない。

むしろ判断を曖昧にする。

まとめ

これは流出ではない。
公開している自覚がなかっただけだ。

AIはミスをしないのではない。
処理を高速化し、判断をブラックボックス化する。

その結果、ミスは減るのではない。
検知できなくなる。

だから人間は、ミスに気づけなくなる。

それでも責任は、人間から消えない。