100億ドル規模のAIラボAnthropicが、Claude CodeのCLIツール全体のソースコードを誤ってnpmレジストリに公開するという前代未聞のセキュリティインシデントが発生した。原因は設定ファイルのたった1行の記述漏れで、57メガバイトのmapファイルに1,900のTypeScriptファイル、内部システムプロンプト、89のフィーチャーフラグなど、すべてが含まれていた。安全性を最優先と謳う企業が基本的なエンジニアリング衛生管理に失敗したこの事件は、AI時代のソフトウェア開発における「バイブコーディング」の限界と、人間による厳格なコードレビューの重要性を浮き彫りにしている。競合他社は今や無料でAnthropicの技術的ノウハウを手に入れ、オープンソースコミュニティはこれを基に独自のAIエージェントを構築し始めている。
100億ドル企業の致命的なミス
100億ドル規模のAIラボが、競合他社に自社の戦略すべてを無料で公開してしまったとしたら、どう思いますか。業界で安全性を最優先する企業として知られているのに、最も機密性の高いソースコードを公開レジストリに誤って公開してしまったことに気づいた瞬間を想像してみてください。
私たちが話しているのは、1,900の生のTypeScriptファイル、すべての内部システムプロンプト、そして89の秘密のフィーチャーフラグです。これらすべてが、たった1行のテキストが欠落していたために露出してしまいました。
これはバイブコーディング時代の終わりなのでしょうか、それとも地球上のすべての開発者にとっての大きな警鐘に過ぎないのでしょうか。今日は、Anthropicの至宝を民主化したばかりの57メガバイトのファイルというデータを見ていきます。100億ドルの価値がある企業が基本的なエンジニアリング衛生管理を扱えないとしたら、私たちの最先端AIモデルの状態について何を物語っているのでしょうか。今日はこれについて深く掘り下げていきましょう。
Startupへようこそ
Startupへようこそ。私はSpencerです。ここStartupでは、企業向けにカスタムソフトウェアソリューションを構築するのが大好きです。フラクショナルCTOとして10年の経営リーダーシップ経験と、25年のソフトウェア開発経験を持つ私は、テクノロジーチームと製品を変革することをマスターしてきました。
さて、テクノロジー業界は動揺しています。なぜならAnthropicは天才的なサイバー犯罪者グループにハッキングされたわけではないからです。彼らは単純にバックドアを大きく開けっ放しにしていただけなのです。彼らは完全なClaude Code CLIソースをmapファイル経由でnpmレジストリに出荷してしまいました。
私の現場での長年の経験の中で、ずさんなリリースをいくつか見てきましたが、これは間違いなく次元が違います。決算説明会でのAI言及が779%増加しているのを目にしています。それなのに、これらトップラボのシェフたちは文字通り、キッチン全体を一般に提供しているのです。
この話に入る前に、あなたが私のためにできる最良のことの1つは、下にコメントを残すことです。これは私たちがこれまで見た中で最大級の失態の1つについて、ぜひあなたの考えを聞きたいです。なぜなら、これは100億ドル規模の失態のようなものだからです。下のコメント欄にあなたの考えを残してください。
流出の原因
では、今日はこれについて少し掘り下げていきましょう。というのも、この流出全体は、開発ファイルを本番環境から除外する設定ファイルのたった1行を忘れたことによって引き起こされたからです。
Anthropicは本質的に、デバッグ用のmapファイルを公開npmリリースにパッケージ化してしまいました。これは非常に大きな問題になります。これらのmapファイルには、約2,000ファイルの逐語的なソースコードが含まれており、復元が極めて簡単になっています。
私のソフトウェア構築の長年の経験から学んだことは、最も洗練されたシステムがしばしば最もシンプルな人為的エラーによって崩壊するということです。これは複雑な侵害ではありませんでした。数十億ドル規模での基本的なソフトウェアエンジニアリング衛生管理の失敗でした。
これは、最も先進的なAI企業でさえ、開発サイクルの退屈な部分で苦労していることを証明することになります。そして、これはその一例です。AIはあなたのためにコードを書くことができますが、ソフトウェアを出荷することはできません。
そして、彼らがソフトウェアの100%がAIによって出荷されていると自慢し始めた途端、これはまさにあなたが目にすることになる種類のものです。なぜなら、ソースコードは今や、Claude Codeがどのようにツールと権限を調整しているかを正確に見たい人なら誰でも公開されているからです。
流出の詳細
この流出により、ReactとInkを使用してコマンドラインインターフェースを構築する洗練されたループを持つアーキテクチャが明らかになりました。開発者は今や、トップティアのラボがコンテキストの圧縮と大量のトークンカウントをどのように処理しているかの文字通りの地図を持っています。
これにより、すべてのスタートアップが公式リリースを待つことなく、独自の内部AIコードエージェントを構築する上で大きなヘッドスタートを得ることができます。サブエージェントスウォーミングに使用される正確なロジックと、システムが複雑な自然言語をどのように処理するかを今や見ることができます。
これは、通常であれば数百万ドル、あるいは数十億ドルと数ヶ月をかけてリバースエンジニアリングしたり発見したりする必要があったR&Dの宝庫です。
安全性を謳う企業の皮肉
Anthropicは、破滅的リスクとアライメントに重点を置き、OpenAIに対する安全性の代替としてブランド化してきました。AI安全性について説いている企業が、自社のローカルリポジトリのセキュリティ確保に失敗しているという大きな皮肉があります。
npmの無視ファイルを管理できないのであれば、モデルウェイトの内部セキュリティプロトコルについて深刻な疑問が生じます。コミュニティはこれを究極のコメディと呼んでいます。なぜなら、安全性に執着するラボが本質的に自分たちの知的財産を世界に手渡してしまったからです。
では、これを見ていきましょう。これは5時間前にClaude Codeで公開されたばかりで、彼らのソースコードがnpmのmapファイルを介してリリースされました。彼らはこれらすべてをチェックしているようですが、みんながこれについて話していますが、ロギングに使用されているだけのように見えます。
彼らは異なる部分について話していました。しかし、これはバイブコーディングを証明しているだけです。なぜなら、LLMはそのような解決策を書くのが大好きだからです。私の履歴には、それとまったく同じような例がおそらく100個あります。Claude Codeによって行われるすべてがLLMによって決定されるわけではありません。彼らはラッパーが決定論的であるか、1回限りで生成されたコードである必要があります。それがここで起こっていることです。
Claude Codeがnpmレジストリのmapファイルを介して流出しました。文字通りここをクリックするだけです。ドン。Claude Code全体をダウンロードしました。それほど簡単です。ここにzipファイルで全体を手に入れました。そして、この猫が袋から出てしまったら、もう出てしまったのです。
コミュニティの反応
このGuptaさんには陰謀論があります。彼らはそれを流出させたので、彼ら自身がまったくコードを読んだりレビューしたりしないため、コードレビューを実際に行える本物の人間を持つことができるというものです。今、彼らは私たちに無料でそれをやってくれと頼んでいます。これは実際にコメディだと思います。彼は本気ではないと思いますが、これは実際にかなり皮肉の定義そのものです。
この投稿は、これはミームではないと言っています。究極のコメディです。Anthropicはハッキングされませんでした。彼らは単に完全な57メガバイトのClaude Code CLIソースコードを、すべてのプロンプト、すべてのシステム指示、すべての秘密をnpmに出荷しただけです。
安全性を最優先する100億ドルのラボは、1行のnpm ignoreを忘れました。AIラボがソフトウェアエンジニアリングにおいて非常に平凡になっているという証拠です。シェフが文字通りキッチン全体を提供しています。シェフがテーブルにサービスしているとき、レストランは終わっています。
そして、これが問題です。彼らはファイル全体を提供してしまいました。ソースコードをナビゲートしたい場合、誰かがすでにそれをセットアップしています。絵文字付きのconsole.logsがあちこちにあることに注目してください(笑)。プレミアムAIスロップコードベースです。
Claude Codeの公式チームは、おそらく誤ってこのバージョンのソースコードをnpmパッケージに直接アップロードしてしまいました。今回、全体のコード構造は非常に成熟しており、リポジトリ全体が非常に細かく分割されています。メインフローには、スタートアップ、クエリエンジン、ツール登録、スラッシュコマンド、権限システムが含まれています。全部です。つまり、これはすべての仕組みです。全ソースコードに加えて、彼ら自身の内部ドキュメントも含まれています。これは絶対に狂気です。
流出の技術的詳細
この投稿では、Claude Codeがすべてのソースコードを流出させたが、攻撃者にハッキングされたのではなく、Anthropic自身がソースマップをnpmリリースにバンドルしてしまったと言っています。
57メガバイトのCLI.js.mapは、基本的にClaude Codeの全リポジトリファイルで、474,000のソースファイルの完全な内容を含んでいます。これらのうち1,900がClaude Code自身のTypeScriptファイルで、残りはnode_moduleの依存関係です。抽出方法は驚くほど簡単です。
そして、ここに別のリンクがあります。さらに別のリンクは、本質的には2つの配列とソースコンテキストを持つJSONファイルです。2つは1対1でインデックス付けされています。デコンパイルは必要ありません。難読化解除も必要ありません。ソースコンテンツ配列は元のコードをそのまま保持しています。記事の最後に復元されたソースコードの抽出スクリプトがあります。
Claude CodeがReact + Inkを使用してCLIインターフェースを構築していることがわかります。自然言語入力とスラッシュコマンドをサポートし、最下層のツールシステムアーキテクチャ設計システムプロンプト、ツール呼び出しロジックを介してLLM APIと対話しており、すべてが明らかになっています。
この事件の本質は、古典的なセキュリティ上の見落としです。ソースマップは開発とデバッグのためのものであり、変数名からコメントまですべてを含んでおり、本番リリースに現れるべきではありません。Anthropicは後でこの問題に気づき、ソースマップを削除し、コードを抽出したGitHubリポジトリはDCMAによる削除要請を受けました。
彼らは非常に迅速に削除しようとしましたが、npmパッケージの初期バージョンはすでにアーカイブされており、ソースコードはコミュニティ内で流通しています。npmパッケージを公開するすべての開発者への注意喚起です。リリース前にmapファイルをチェックしてください。1つのソースコンテンツラインで、あなたのコードは公開されます。
うわー、これは大きいです。これは本当にAnthropicに打撃を与えるでしょう。これは間違いなく彼らのIPOの話に影響を与えるでしょう。多くの異なることに影響を与えます。なぜなら、今や彼らの競合他社全員が彼らのソースコード全体を手に入れているからです。
IPOへの影響
開発コミュニティで流行っているジョークは、Anthropicの流出は、実際の人間がそれを見つけられるようにコードを流出させたというものです。今、私たちはそれがジョークだということを知っています、よね。しかし、Anthropicは今年後半の大規模なIPOの有力候補です。しかし、このようなセキュリティの失態は、機関投資家を躊躇させる可能性があります。
企業の評価額は知的財産に結びついています。その知的財産が流出してしまうと、堀はかなり浅く見えます。その堀を通り抜けるのは簡単です。この事件は、より厳格なデューデリジェンスプロセスにつながる可能性があり、公開市場への道を遅らせる可能性があります。
私は、小さな技術的エラーがどのように大規模な評価額の修正につながるかを見てきました。投資家は企業グレードの規律を見たいと思っています。そして、この流出は週末のハッカソンプロジェクトのミスのように感じられます。
あなたたちがどう思うか知りたいです。なぜなら、これは大きく、長い間影響と波及効果をもたらすからです。Anthropicは積極的にDCMA削除通知を使用してそれを削除しようとしています。しかし、見たように、私はここでそれを取得しました、よね。
削除の試みと影響
彼らは多くのミラーを削除しましたが、npmパッケージの初期バージョンはすでに様々な場所でアーカイブされていました。ストライサンド効果は、開発者コミュニティにそれらのファイルに何が隠されているかについてより好奇心を持たせるだけです。
公開レジストリに到達したら、インターネットから何かを削除しようとすることは、煙を瓶に戻そうとするようなものです。私はそれらのファイルを投稿していませんが、私がそれらを取得するのがどれほど簡単だったか見ましたよね。つまり、この投稿のすべて、これらの投稿のすべてがDCMAの対象となる可能性があります。
公開レジストリに到達したら、インターネットから何かを削除しようとすることは絶対に不可能です。これは、多くの信頼を呼び起こさないセキュリティへの反応的ではなく積極的なアプローチを示しています。コードはすでに研究され、フォークされ、Anthropicが全くコントロールできないシャドウプロジェクトに統合されています。
オープンソースへの影響
オーケストレーションロジックが公開されているため、Claudeライクなオープンソースエージェントの急増が見られるでしょう。開発者はすでに、流出で発見されたのと同じプロンプト構造とツール呼び出しパターンを使用するクローンを作成しています。
そして、これは5時間後です。これは、Anthropic特有の魔法を理解するためのR&Dを買う余裕がなかった小規模スタートアップにとって、競争の場を平準化します。これは本質的にオープンソースAIムーブメントを加速させます。これはAnthropicにとって悪夢のシナリオですが、大きな機会でもあります。そう言うのは嫌ですが、他のすべての企業にとっては大きな機会のようなものです。
これは、すべての開発者がCI/CDパイプラインと本番アーティファクトを監査するための大きな警告です。世界最高のエンジニアを抱える100億ドルのラボで起こり得るのであれば、あなたのスタートアップでも絶対に起こり得ます。
npm ignoreファイル、フィールド、package.json JSONがmapファイルを明示的に除外していることを確認する必要があります。公開されたパッケージのサイズが突然急増しないことを確認するために、自動チェックを設定する必要があります。パッケージングロジックの1つの簡単な見落としが、競合他社にあなたの会社の努力すべてを露出させる可能性があります。
フィーチャーフラグとロードマップ
流出したコードには89の異なるフィーチャーフラグが含まれており、Anthropicの将来のロードマップを直接見ることができます。OpenAIやGoogleなどの競合他社は、Claude内部の会話の中で正確に何が起こっているかを知っています。
この情報は、Anthropicの次の主要リリースを先回りしようとしている競合企業にとって非常に貴重です。これは、彼らがエージェントをどのようにスケールする計画で、今後6ヶ月間にどの特定の機能を優先しているかを明らかにします。
全体のロードマップを明らかにします。驚きの要素を取り除き、競合他社が戦略を調整できるようにします。
バイブコーディングの限界
私の質問は、これはバイブコーディングがプロトタイプには素晴らしく、楽しむには素晴らしいが、本番コードの近くにはまったく属していない完璧な例です。これは、バイブコーディングの王AnthropicのClaudeの秘密が、バイブコーディングで生成されたことを示す証拠が至る所にあるという皮肉がこれほど濃い理由です、よね。
厳格な人間によるレビューなしにAIコードを書かせるという考えは、間違いなくこれが古典的な例になるでしょう。この流出は、バイブコーディングが検証に取って代わるとどうなるかの完璧な例です。
私はソフトウェア開発に25年以上携わってきました。正式な人間主導のコードレビューとリリースゲートに代わるものはないと言えます。私たちは、AIの目新しさが本当に速く薄れ、本物のソフトウェア開発の需要が非常に速く戻ってくるフェーズに入っています。
インフラストラクチャを生成するためにAIのみに依存している企業は、これらの1行の災害に遭遇し続けるでしょう。テクノロジーの次のフェーズの勝者は、AIのスピードとパワーを従来の退屈なエンジニアリングの卓越性と組み合わせる人々になるでしょう。
あなたたちはどう思いますか知りたいです。同意しますか。同意しませんか。素晴らしい会話ができることを楽しみにしています。必ず下にコメントを残してください。「いいね」と登録を忘れずに。
ここStartupでは、企業向けにカスタムソフトウェアソリューションを構築するのが大好きです。ぜひチェックしてください。そして、私たちのサービスについての素晴らしい情報がここにあります。
Startupのサービス紹介
こんにちは、私はフラクショナルCTOのSpencerです。10年以上の経営リーダーシップと25年のソフトウェア開発経験を持つ私は、あなたのようなビジネスのためにテクノロジーチームと製品を変革してきました。
フラクショナルCTOとして、フルタイムのコミットメントなしに、経験豊富なテクノロジーエグゼクティブの戦略的ガイダンスを得ることができます。従業員数を拡大することなく、最先端のテクノロジーを活用する準備ができている企業に最適です。
Startup Hackの私のチームは、中小企業向けに高度なAIエージェントをすでに構築しており、複雑なワークフローを自動化し、人間のワークフローに高度なROIを提供しています。私たちは、あなたのシステムを単一の一貫したテクノロジーエコシステムに接続するカスタムソフトウェアの作成を専門としています。
私たちの開発アプローチは、具体的なビジネス成果に焦点を当てています。あるクライアントのために、人間のプロセスから数日を削減するAI搭載ワークフローを開発しました。別の会社では、複数のシステムを接続することで、処理時間を短縮し、ROIを75%以上増加させました。
私たちは単にコードを書くだけでなく、スケールするソリューションを設計します。クラウドシステムアーキテクチャ、レガシーシステム間のデータ統合、またはあなた独自のビジネスプロセスを自動化するカスタムAIエージェントが必要な場合でも、私のチームはあなたの期待を超える結果を提供します。
多くの企業のテクノロジーをリードし、自分自身の7つの成功したブランドを立ち上げてきた私は、あなたのビジネス課題に実戦でテストされた専門知識をもたらします。私たちの専門は、テクノロジーの複雑さをビジネスの優位性に変えることです。
AIとカスタムソフトウェアの力を活用してビジネスを前進させる準備ができているなら、つながりましょう。一緒に、今日の問題を解決するだけでなく、明日の機会に向けてあなたを位置づけるテクノロジーを構築します。
テクノロジーリーダーシップ、数十年の経験、AI搭載。今日お問い合わせいただければ、お手伝いできます。startup.com/spenserをチェックしてください。
コメント