何が起きたのか?

2026年3月31日、セキュリティ研究者のChaofan Shou氏が、Anthropicの開発ツール「Claude Code」のnpmパッケージに異常を見つけた。v2.1.88に59.8MBのソースマップファイル(cli.js.map)が含まれており、本来は非公開のソースコードがそのまま公開されていた。

流出した規模は、TypeScript 512,000行、ファイル数1,906、そして44個の未公開機能フラグ。数時間でGitHubにコピーされ、84,000以上のスターを獲得。Anthropicはすぐにパッケージを取り下げたが、コードはすでにネット上に広まった後だった。

Anthropicは「パッケージングの人為的ミスであり、セキュリティ侵害ではない」と説明。顧客データや認証情報の漏洩はないとしている。

しかし業界にとって本当に重要なのは、事故そのものではない。次世代AIコーディングエージェントの設計思想が、丸ごと明らかになったことだ。

KAIROS:24時間動き続けるAIエージェント

流出コードで最も注目されたのが「KAIROS」(古代ギリシャ語で「好機」の意味)だ。コード内に150回以上登場するこの名前は、AIツールの根本的な進化を示している。

従来のAIツールは、人間が指示を出して初めて動く「受け身のアシスタント」だった。KAIROSは違う。24時間バックグラウンドで稼働し、自分から行動する自律エージェントだ。

KAIROSの3つの特徴

  • 常駐モード: バックグラウンドで常に動いている。一定間隔で「今やるべきことはあるか?」と自分でチェックする。
  • 自動介入: 開発環境を常に監視し、異常があれば自分で対応する。たとえばサーバーが夜中にクラッシュしたら、コードを修正してサービスを再起動する。GitHubのプルリクエストが更新されたら、自動でレビューして結果を報告する。
  • 専用ツール: 通常モードでは使えない機能にアクセスできる。モバイルへのプッシュ通知や、コードリポジトリの変更を自動追跡する機能などが含まれる。

autoDream:AIが「寝ている間に記憶を整理する」

KAIROSの中には「autoDream」という仕組みがある。ユーザーがツールを使っていない時間に、バラバラのメモを統合し、矛盾を取り除き、あいまいな推測を確定情報に変換する。人間が寝ている間に夢を見て記憶を整理するのに似ている。

興味深いのは、エージェントは自分の記憶を「事実」ではなく「ヒント」として扱うよう設計されている点だ。行動する前に必ず実際のコードと照合して確認する。この「疑いながら記憶する」設計は、AIの信頼性を高める工夫として注目される。

44個の隠し機能:製品ロードマップが丸見えに

流出コードには44個のfeature flag(機能の有効/無効を切り替えるスイッチ)が含まれていた。どれも完成しているが、まだ一般には公開されていない。事実上、Anthropicの製品ロードマップが公開されたのと同じだ。

特に注目される未公開機能

  • マルチエージェントオーケストレーション 複数のAIエージェントが連携し、タスクを分担して処理する仕組み。
  • Memory MD: 記憶の効率化システム。すべての情報を一度に読み込む従来の方法ではなく、インデックス(目次)だけを保存し、必要なときに中身を取りに行く設計。トークン消費と運用コストを大幅に削減する
  • アンダーカバーモード: Claude Codeを外部プロジェクトで使うとき、Anthropic内部の痕跡を自動的に消す機能。約90行のコードで実装されている。
  • ネイティブクライアント認証: 他のツールがClaude Codeになりすまして無料でAPIを使うのを防ぐ仕組み。

内部モデルのコードネームも判明

  • Capybara = Claude 4.6バリアント
  • Fennec = Opus 4.6
  • Numbat = テスト中の未発表モデル

内部コメントによると、Capybaraはv8まで反復されているが、誤った主張を出す率が29〜30%(v4の16.7%から悪化)で、コードの書き換え時にモデルが過度に積極的になるのを抑える仕組みも確認された。

同じ日に別の攻撃も発生

事態をさらに深刻にしたのが、同日に起きた別のサプライチェーン攻撃だ。

3月31日の未明、広く使われているaxiosライブラリの悪意あるバージョンがnpmに公開された。リモートアクセス型のマルウェアが仕込まれていた。

Claude Codeはaxiosに依存しているため、この時間帯にインストールやアップデートを行った開発者は、感染した依存パッケージを取り込んだ可能性がある。

さらに攻撃者は、流出を利用してGitHubに偽の「公式流出版」リポジトリを作成し、マルウェアを配布した。

この流出が業界に与える影響

「チャットボックスの時代」が終わる

KAIROSの存在は、AIの進化の方向性をはっきり示している。

AIは「人間が指示を出して答えを返すツール」から、「バックグラウンドで24時間動き続ける見えないインフラ」へと変わりつつある。これを「ポスト指示時代」と呼ぶ。大規模言語モデルは表舞台から裏方に移り、開発ワークフローの基盤になっていく。

開発者の役割も変わる。「コードを1行ずつ書く実行者」から「AIの成果物を確認して方向を示すキュレーター」へ。

オープンソースの加速

流出したコードは「生産レベルのAIエージェントの作り方に関する、現存する最も詳しい公開ドキュメント」と評された。オープンソースコミュニティがこれを参考に、同様のアーキテクチャを開発・改良するスピードは確実に上がる。

Anthropicへのダメージ

5日間で2件の流出は、「AI安全性」をブランドの核としてきたAnthropicにとって痛手だ。市場アナリストは、IPOが2026年末から2027年にずれ込む可能性を指摘している。

まとめ:AIに主導権をどこまで渡すか

今回の流出は、AI開発の未来を意図せずに先見せしたものだ。

KAIROSの自律エージェント、autoDreamの記憶整理、マルチエージェント協調これらはコンセプトではなく、すでにコンパイル済みの実装コードだ。

AIが「指示を待つチャットボックス」から「24時間稼働する見えないチームメイト」に変わるとき、ワークフローのどこを委ね、どこを自分で握り続けるか。それがこれからの最も重要な問いになる。