- Anthropicの従業員がnpm mapファイル経由でClaude Codeのソースを誤って漏洩
- 漏洩により1,900のTypeScriptファイルと500,000行以上のコードが露出し、すぐにGitHubで複製される
- Anthropicがカスタマーデータの漏洩がないことを確認、最近のShadowPromptやCloudy Dayなどの脆弱性の中で、パッケージングエラーと説明
Anthropicの従業員は、最も人気のある人工知能(AI)アシスタントの1つのソースコードを誤って漏洩させました – Claude Codeです。
セキュリティ研究者のChaofan ShouがX上に投稿し、「Claude Codeのソースコードがnpmレジストリのmapファイル経由で漏洩しています!」と述べました。このツイート自体は現在のところ3,000万回以上閲覧されており、数字は急速に増加しており、このツールの実際の人気を示しています。
CNBCは漏洩が部分的であると述べていますが、 The Registerは「人気のあるAIコーディングツールのソースコード全体」を含んでいると述べました。
記事は以下をご覧ください
Anthropicが漏洩を確認
インターネットはいつものように反応しました – 迅速かつ容赦なく、漏洩をGitHubリポジトリにすぐバックアップし、現在までに数万回もフォークされています。
GitHubのアップロードでは、漏洩はClaude CodeのnpmパッケージINCLUDEDされたmapファイル内の難読化されていないTypeScriptソースコードへの参照の結果であると述べられました。参照はAnthropicのCloudflare R2ストレージバケットにある.ZIPファイルを指していました。そこには1,900のTypeScriptファイルと500,000行以上のコード、スラッシュコマンドの完全なライブラリ、および組み込みツールが含まれていました。
それ以来、Anthropicはニュースを確認しており、これが悪意のあるインサイダーまたは第三者の行為ではなく、むしろ人的エラーであると述べています:
「機密顧客データまたはクレデンシャルは関与または露出しなかった」とAnthropicのスポークスマンはCNBCへの声明で述べました。「これは人的エラーによって引き起こされたリリースパッケージングの問題であり、セキュリティ侵害ではありません。これが再び起こることを防ぐための措置を展開しています。」
これはAnthropicにとって激しい数週間でした。同社は新しい更新と機能を出荷している速度で多くの関心を呼びました。Redditでの大きな議論さえ促し、ユーザーは同社が自社製品を使用していると主張しました。
「彼らは自社製品の高みにいる」と1人は述べました。
新しい機能を迅速にリリースすることは称賛に値しますが、サイバーセキュリティはコインの表裏のようです。過去10日間だけで、Claudeがプロンプトインジェクションおよび同様の攻撃に脆弱であることについての複数のストーリーがあります。2026年3月27日、セキュリティ研究者のKoi Securityは、ゼロクリック攻撃を可能にしたClaude CodeのGoogle Chrome拡張機能の大きな欠陥を見つけました。
セキュリティを犠牲にした速度?
ShadowPromptと呼ばれるこの脆弱性は、悪意のある者が機密データを流出させることを可能にした可能性があります。
数日前の3月19日、セキュリティ研究者のOasisは、Claudeで見つけられた3つの脆弱性を報告しました。これらを一緒に使用すると、完全な攻撃チェーン – 対象とされた被害者の配信から機密データの流出まで – を形成します。研究者はこれをCloudy Day と呼び、責任を持ってAnthropicに開示しました。Anthropicはすぐに対処しました。
ユーザーはあまり気にしていないようですが、ShadowPromptが発見されたのと同じ日に、Anthropicは増加する需要に対応するためピーク時間中にツールをスロットルするように強制されました。
「Claudeの増加する需要を管理するために、ピーク時間中に無料/Pro/Maxサブスクライバーの5時間セッション制限を調整しています。週単位の制限は変わりません」とClaude Codeで働くエンジニアのThariq ShihiparがX上の投稿で述べました。
もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、ビデオ形式でのアンボックスを取得したり、WhatsAppから定期的な更新も取得できます。
