AnthropicのAIツール「Claude Code」でコード露出、ソースマップの誤混入で
Anthropicの「Claude Code」のソースコードが一時アクセス可能な状態になり拡散した。原因はnpmパッケージへのソースマップファイルの誤混入で、同社はセキュリティ侵害ではなく人為的ミスと説明している。顧客データの漏えいは否定したが、公開されたコードの解析や再実装の動きが広がっている。
米AnthropicのAIコーディングアシスタント「Claude Code」のソースコードにアクセス可能な状態になり、その内容が3月31日(現地時間)に拡散した。同社は米VentureBeatなどに対し、「これはセキュリティ侵害ではなく、人為的なミスによるリリースパッケージングの問題だ。再発防止策を講じている」と説明している。
Claude Codeは、同社が提供するAIコーディング支援ツールで、開発者による機能構築やバグ修正、タスクの自動化などを支援するコマンドラインインタフェース(CLI)アプリだ。
今回の問題は、Anthropicが公開したClaude Codeのnpmパッケージ(バージョン2.1.88)に、誤ってソースマップファイルが含まれていたことが原因だ。このファイルを通じて、TypeScriptで記述された多数のソースコードにアクセスできる状態になっていたことが判明した。
この事象は、セキュリティ研究者のチャオファン・ショウ氏がX上で関連情報を指摘したことで表面化した。その後、コードの内容はGitHub上などで共有され、開発者コミュニティの間で急速に拡散した。
Anthropicは、顧客の機密データや認証情報の漏えいは確認されていないとしている。一方で、公開状態となったコードを巡っては、一部の開発者の間でメモリ構造などの解析が進められているほか、Pythonなどを用いてスクラッチから再実装する動きも見られる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Anthropic、ClaudeがユーザーのPCでアプリを操作する機能を追加
Claude Codeに「オートモード」登場 承認作業をAIで自動化
米Anthropicが、AIコーディング支援ツール「Claude Code」に、承認作業をAIで自動化する新モード「auto mode」を追加することが、ユーザー向けの通知から分かった。
Anthropic、Claudeの経済影響レポート公開 米従業員の40%が職場で利用
Anthropicは、Claudeの経済影響レポートを公開した。米従業員の4割がAIを利用するなど普及は加速する一方、利用は富裕国に偏り、経済格差拡大の懸念もあるとしている。ユーザーによるAIへのタスク委任や、企業での自動化利用が急増している。
Anthropic、「Claude」が中国政府系攻撃者に悪用されたと報告
Anthropicは、中国政府支援の攻撃者が「Claude」を悪用し、約30件の攻撃を自動化したと発表した。9月に検知したもので、人間の介入が少ない初の事例だとしている。攻撃者はAIを欺き、偵察や悪用等の8〜9割を実行させた。Anthropicは対策を強化し、AIの防御利用も推奨した。