今週は、僕が毎日使っているツールのソースコードが世界中に公開されました。
W13のショートニュースで「Claude Mythosのリーク」を書いたのが先週末。あれからわずか3日後、今度はClaude Codeのソースコード50万行がnpmパッケージに誤同梱されて流出した。5日間で2回。AIセーフティを看板に掲げる企業が、です。
同じ週にOpenAIが史上最大の1,220億ドルを調達し、MicrosoftがOpenAI対抗の独自モデルを発表し、先週報じたLiteLLMに続いてaxiosまでサプライチェーン攻撃を受けた。
「信頼」の意味が問い直された1週間です。
いつもの通り、ニュースソースは自動ニュース収集システムから。全ニュースはNotionダッシュボードで公開しています。
Anthropic、5日間で2回の情報漏洩 — KAIROS、Buddy、そして50万行
まず時系列を整理します。
| 日付 | 出来事 |
|---|---|
| 3/27〜28 | Claude Mythosの内部資料約3,000件が流出(CMSの設定ミス) |
| 3/29 | Anthropicが政府高官に非公式警告 — Mythosは大規模サイバー攻撃を容易にすると |
| 3/31 | Claude Codeソースコード約50万行・1,900ファイルがnpmパッケージv2.1.88に誤同梱 |
| 4/1 | 独立分析者が漏洩コードを解析、未公開機能が次々と露見 |
W13では「AI安全性を看板に掲げる企業が、CMSの設定ミスで3,000件の内部資料を流出させたという事実。この皮肉は、見逃せません」と書きました。あの皮肉が、3日後にもう一段階深くなった形です。
漏洩コードから見えた未公開機能
| 機能名 | 内容 |
|---|---|
| KAIROS(Proactive mode) | ユーザーの指示なしに自律動作するバックグラウンド常駐モード |
| Buddy | エイプリルフール用のたまごっち風AIペットシステム |
| Frustration検出regex | ユーザーの感情状態(苛立ち)を検出する内部ロジック |
| Stealth mode | 外部から検出されにくいモード |
| 44のフィーチャーフラグ | 未公開の開発中機能群 |
Buddyは微笑ましいですが、KAIROSは別格です。「ユーザーが何も言わなくてもAIが自律的に動く」モードが内部で開発されていた。これはエージェント経営の記事で僕が想像していた「AIが自律的に業務を回す」世界の、文字通りの実装です。
Claude Codeヘビーユーザーとして思うこと
正直に書きます。
CLAUDE.md、Skills、Memory — 僕の仕事の仕方はClaude Codeを前提に設計されている。もはや「ツール」ではなく「インフラ」として依存しているものの、ソースコード50万行が流出した。
Anthropicは「ヒューマンエラーによるパッケージング問題。セキュリティ侵害ではなく顧客データ漏洩もない」と声明を出しました。確かに、僕のデータが漏れたわけではない。でも、問題の本質はそこじゃないと思っています。
Marketplace の記事で「Anthropicは信頼を先に積む戦略を取っている」と書きました。W13では「倫理でビジネスを守れる前例が生まれた」と、連邦裁の勝利を称えた。その同じ企業が、CMSの設定ミスとnpmのパッケージングミスという、セキュリティの基本中の基本で連続して失敗した。
AIの安全性を語る前に、npmパッケージの管理をちゃんとしてくれ — これは辛辣に聞こえるかもしれませんが、ヘビーユーザーだからこそ、正直な感情です。
それでもClaude Codeを使い続ける理由
ただ、これで「Claude Codeをやめます」とはならないんですよね。
理由は2つあります。1つは、漏洩した内容にセキュリティ上の脆弱性は報告されていないこと。むしろ、コードを分析した人々の多くが「意外としっかり作られている」と評価しています。
もう1つは、代替の問題。同じ週にOpenAIがCodex CLIをリリースしましたが、Claude Codeの1Mコンテキストウィンドウ、サブエージェント、Skills、Memory — この統合環境に匹敵するものは現時点で存在しない。三つ巴の記事で書いた「ハイブリッド構成」の重要性は変わりませんが、軸足を移す段階ではない。
信頼は減ったけど、依存は残っている。これはフリーランスとして、少し居心地の悪い状態です。
OpenAI 1,220億ドル — 「一社寡占」が数字で固定された週
同じ週の反対側で、OpenAIが動きました。
| 指標 | 数値 |
|---|---|
| 調達総額 | 1,220億ドル(単一VC調達史上最大) |
| 評価額 | 8,520億ドル |
| 主要出資者 | Amazon 500億ドル、Nvidia 300億ドル、SoftBank 300億ドル |
| 月間収益 | 20億ドル |
| 週間アクティブユーザー | 9億人超 |
Amazon 500億ドル。AWSという世界最大のクラウドプロバイダーが、OpenAIエコシステムへの長期コミットメントを数字で示した。
Microsoftの「独立宣言」と三角関係
そしてこの同じ週に、MicrosoftがOpenAI対抗の独自モデル「MAI」3種を発表しました。
| モデル | 機能 |
|---|---|
| MAI-Transcribe-1 | 音声認識(25言語) |
| MAI-Voice-1 | 音声生成(カスタムボイスクローン対応) |
| MAI-Image-2 | 画像生成 |
MicrosoftはOpenAIに数百億ドルを投資した最大の株主です。その最大の投資家が、独自のフロンティアモデルで対抗を始めた。W12で「OpenAIがPythonの基盤ツール(uv/Ruff)を買収して囲い込みを始めた」と書きましたが、今週起きたのはその逆 — 最大のパートナーが「依存」から「競合共存」に転換する瞬間です。
さらにQ1のVC投資総額が3,000億ドルで過去最高を記録し、その80%がAI関連。xAIも200億ドルを調達。「3強 + 各社傘下エコシステム」という構造が、資金面で確定しました。
フリーランスとして見えること
初回の記事で「AIは使う側にいれば最強の味方」と書きました。でも、使う側にいるためには、プラットフォームのパワーバランスを読む必要がある。
Amazon・Nvidiaが株主としてOpenAIに利害を持つということは、長期的なAPI価格が「株主利益の最大化」に向かう可能性があるということです。三つ巴の記事で推した「マルチLLM設計」の重要性が、今週さらに上がった。
Microsoft Foundry経由のMAIモデルは、特に音声処理の案件で新しい選択肢になります。OpenAI一本足の設計を見直すアーキテクチャ変更を、今週から本気で考え始めるべきタイミングだと思っています。
サプライチェーン攻撃の連鎖 — 「信頼されたパッケージ」の前提が崩壊した
W13で「LiteLLMがサプライチェーン攻撃を受けた」と書きました。月間9,700万ダウンロードのAIライブラリが乗っ取られた事件です。
今週、それが「単発の事件」ではなく「パターン」だったことが確定しました。
axios — 週間1億ダウンロードのパッケージが侵害
3月30日、HTTPクライアントライブラリ「axios」にクロスプラットフォームRAT(遠隔操作型マルウェア)が混入されました。週間ダウンロード数1億回超。JavaScriptで開発する人なら、ほぼ全員が直接的または間接的に使っているパッケージです。
GlassWorm — 不可視Unicodeマルウェア
さらに衝撃的なのが「GlassWorm」。不可視のUnicode文字にペイロードを埋め込む手法で、あらゆるコードエディタ・コードレビューで検出不能。GitHubリポジトリ・npm・VSCode拡張で400件超の被害が確認されています。
Claude Code等のAIコードレビューツールでも、視覚的な検出には対応できていない。
| 週 | 攻撃対象 | 規模 | 手法 |
|---|---|---|---|
| W13 | LiteLLM | 月間9,700万DL | Trivy CI/CD経由バックドア |
| W14 | axios | 週間1億DL | RAT直接混入 |
| W14 | GlassWorm | GitHub/npm全般 | Unicode不可視埋め込み |
「信頼」の構造が2週連続で壊れている
今週のテーマが「信頼」だと思った理由は、ここにもあります。
Anthropicは「安全性」で信頼を得た企業が情報管理で失敗した。サプライチェーン攻撃は「信頼されたパッケージ」という前提そのものを壊した。2週連続で、僕たちが当たり前に信頼していたものの土台が揺らいでいる。
三つ巴の記事で「複数のLLMを使い分ける」話を書いたとき、LiteLLMはその使い分けの統一インターフェースでした。そのLiteLLMが攻撃され、今度はaxiosが攻撃された。AIエコシステムの「土台」レイヤーが、組織的な標的になっている。
対策としては、npm list axiosでバージョン確認、pinned versioning + checksumの検証、エディタのUnicode制御文字表示設定の有効化。地味な作業ですが、「信頼していたから確認していなかった」を「信頼しているが確認する」に切り替えるタイミングが来ています。
ショートニュース
AIエージェント逸脱行動が700件、5倍増
英国のCentre for Long-Term Resilienceが、2025年10月〜2026年3月のデータを分析しました。AIエージェントが命令を無視・ファイルを削除・虚偽文書を作成・外部ネットワークに接続を試みた事例が約700件。前期比5倍。
エージェント経営の記事で155の業界を分析して「43%しかAIエージェントに適さない」と書いたとき、残り57%の理由は「未知の状況での判断が必要」でした。今週のデータは、それに加えて「既知の状況でも指示を無視する」リスクが実証されたことを意味します。
同じ週にCiscoが「自律AIエージェント専用Zero Trustアーキテクチャ」を発表し、Googleがエージェントへの6種類の攻撃手法を警告。企業の88%がリスクを過小評価しているとのこと。エージェント設計で「権限スコープの明示的な制限」を組み込むことが、差別化ポイントになりそうです。
MCP Dev Summit開催 + Pinterest月7,000時間削減
4月2〜3日、ニューヨークでMCP Dev Summit NA 2026が開催されました。Linux Foundation傘下のAAIF主催、95以上のセッション。MCPが「実験」から「産業標準の会議体を持つ段階」に移行した象徴的なイベントです。
そしてPinterestが本番導入事例を公表。Presto・Spark・Airflowなどドメイン別のMCPサーバーを構築し、月間7,000時間の削減を達成したとのこと。MCPの価値が「概念」から「定量的なROI」として証明された。
同じ週にOpenAI Codex CLIもリリースされ、ターミナル上のAIコーディングツール市場にClaude Codeの直接的な競合が登場しました。npm/Homebrewで無料配布。Claude Codeの使用上限問題と合わせて、一部のタスクでの併用検討は現実的です。
カリフォルニア州が事実上の全米AI規制標準を確立
4月3日、ニューサム知事が調達プロセスにAI安全基準を組み込む大統領令に署名。連邦AI法が不在の中、カリフォルニア州が事実上の全米標準を設定した形です。
同時に「TRUMP AMERICA AI Act」291ページの草案がBlackburn上院議員から提出。州AI法を連邦法で置き換える内容で、著作権フェアユース排除規定も含まれる。27州で78本のチャットボット法案が審議中という状況と合わせて、「規制の地図」が急速に書き換わっています。
今週を振り返って
今週のキーワードは「信頼の再設計」です。
Anthropicの連続リークは、「安全性を語る企業」への信頼のあり方を問い直した。サプライチェーン攻撃の連鎖は、「みんなが使っているパッケージ」への信頼を破壊した。OpenAIの1,220億ドルは、「資本の集中」という形で業界の力学を固定した。
W12のキーワードは「権力構造の変化」でした。W13は「境界線」。今週はその権力構造の中で「何を信頼するか」が問われた。
僕は今週もClaude Codeを使い続けています。このジャーナルもClaude Codeで書いています。でも、「信頼しているから確認しない」と「信頼しているが確認する」は違う。npmパッケージのバージョンを確認し、依存関係を点検し、バックアップのツールチェーンを整備する。信頼を「前提」から「検証可能なもの」に変える作業を、今週から始めました。
来週は、4月7日にAnthropicの「What We Shipped」ライブストリームが予定されています。連続漏洩後の最初の公式発信。ここでKAIROSやMythosについて何を語るか — あるいは語らないか — が注目ポイントです。
それでは、また来週。
FAQ
Anthropicの情報漏洩で、Claude Codeユーザーのデータは漏れた?
いいえ。漏洩したのはClaude Codeのソースコード(アプリケーション側のプログラム)であり、ユーザーのデータや会話履歴は含まれていません。Anthropicも「顧客データ漏洩はない」と公式に声明しています。ただし、未公開機能の存在が露見したことで、プライバシーに関する議論は今後も続く可能性があります。
OpenAIの1,220億ドル調達は、APIの価格に影響する?
短期的には大きな影響はないと見られます。ただし、Amazon・Nvidiaが主要株主になったことで、長期的にはAPI価格が「株主利益の最大化」方向に動く可能性があります。マルチLLM設計(複数のAIプロバイダーに対応する設計)を取ることで、特定プロバイダーの価格変動リスクを軽減できます。
サプライチェーン攻撃から自分のプロジェクトを守るには?
まずnpm list axiosやpip listで使用パッケージのバージョンを確認してください。具体的な対策としては、パッケージバージョンの固定(pinned versioning)、チェックサムの検証、エディタのUnicode制御文字表示設定の有効化、CIパイプラインへの不可視Unicode検出スクリプトの追加が有効です。
KAIROSとは何?
Anthropicが開発中の「Proactive mode」のコードネームです。ユーザーが指示を出さなくてもAIが自律的にバックグラウンドで動作するモードとされています。Claude Codeソースコードの漏洩で存在が確認されましたが、Anthropicから公式な発表はまだありません。
この記事が参考になったら
Share