AnthropicのAIツール「Claude Code」でコード露出、ソースマップの誤混入

最近、AnthropicのAIコーディングアシスタント「Claude Code」においてソースコードへの不正アクセスが可能になるという問題が発覚しました。これは3月31日に明らかになったもので、多くのセキュリティ研究者が注目しています。

問題の発端

この問題は、Anthropicがリリースしているnpmパッケージ（バージョン2.1.88）に、誤ってソースマップファイルが含まれていたことに起因しています。ソースマップファイルはTypeScriptで書かれたコードをJavaScriptに変換する際に生成されるものですが、それが公開されることで内部コードに簡単にアクセスできるようになるリスクがあります。

影響と被害状況

この脆弱性により、セキュリティ専門家の中にはコードの露出を指摘する声が上がっています。この問題は、GitHubなどのプラットフォームにコードが流出し、一般の開発者が誤って使用する可能性を含んでいます。

何が露出したのか

• TypeScriptで書かれたClaude Codeの内部コード
• プロプライエタリなアルゴリズムとロジック

対応と修正作業

Anthropicはユーザーのデータを守ることが最優先とした対応を行い、脆弱性について調査を進めています。新たに発見されたコードの断片が流出した場合には、Pythonや他のスクリプティング言語を用いて速やかなパッチを提供予定です。

今後の対策

1. プライベートなコードリポジトリの徹底した管理
2. 公開されるパッケージの精査
3. セキュリティチェックの強化

この問題の根幹には、開発段階でのセキュリティ意識の低さが指摘されています。開発チームは、今後のプロジェクトにおいて更に強固なセキュリティ体制を整える必要があります。