ソースコードが公開されていました。13か月間、363回の更新の間中ずっと。
アンソロピックが昨年2月に発売したAIコーディングツール『Claude Code』は、発売初日から全ソースコードが外部に露出していました。npmという開発者パッケージ配布プラットフォームにアップロードされたインストールファイルにソースマップがまるごと含まれていたのです。
ソースマップは、圧縮されたコードを元の状態に戻すための復元キーです。開発者の便宜を図るためのツールですが、配布ファイルに一緒に載る事故が発生しました。誰でもパッケージをダウンロードして解凍すれば、全てのソースを見ることができました。
アンソロピックはこれを認識し、約2時間後にこのバージョンを削除しました。しかし、すでに手遅れでした。
発覚当日、コードはすでにインターネットに広がっていました。
削除の1日前、昨年2月25日午前5時8分(現地時間)、AIスタートアップINVISRの最高技術責任者ダニエル・ナコフが抽出したソースコードをGitHubに公開しました。同じ日に開発者コミュニティHacker Newsに関連スレッドが立ち上がり、数百人が参戦しました。
最初にファイルを開いた不動産プラットフォームZillow社のエンジニアデイブ・シュメイカーは、当日外出から戻ってコードが消えたことを確認しました。npmレポジトリからも、キャッシュからも消えていました。しかし、テキストエディタのサブライムテキストの『元に戻す』機能を使ったところ、コードが復元されたのです。彼は2月27日、この経緯をブログで公開しました。
それから分析が急速に進みました。3月1日には、AIを利用して圧縮されたJavaScriptをTypeScriptに戻す方法論が公開されました。3月7日にはシステムプロンプト・言語解析構造・AWSベドロックの連携方法全体が整理されました。3月30日にはタスク実行ループ、内蔵ツール候補リスト、権限システムまで詳細な技術分析が出されました。
そして今年の3月30~31日、13か月ぶりに同じことが繰り返されました。UCバークレー出身のセキュリティ研究者チャオファン・ショウがClaude Codeの最新バージョン(2.1.88)で59.8MBのソースマップファイルを再び発見しました。2025年にはファイル内部に隠れていましたが、今回は別のファイルとして堂々とくっついていました。どの更新で再び混入したかはまだ確認されていません。