會原 
流出元はまさかの自社。
自分で漏らしたコードの火消しに追われるって、なかなかしんどい展開。Anthropicが誤って流出させてしまったClaude Codeのソースコードをめぐり、GitHubではDMCA takedownに基づく大規模な無効化が進んでいます。
事の発端は3月31日。AnthropicがClaude Codeのnpmパッケージを更新した際、デバッグ用のソースマップファイルを誤って本番パッケージに含めてしまいました。このファイルからCloudflare R2上のzipアーカイブへアクセスでき、約1900件のTypeScriptファイル、51万2000行超のソースコードがまるごと取得可能に。セキュリティ研究者のChaofan Shou氏がこれを発見してXで報告すると、数時間でGitHub上にバックアップが作られ、大量のforkが公開される事態に。
Anthropicはすぐさま対応に動き、GitHubにDMCA通知を提出。その内容はGitHubのDMCA通知リポジトリでも公開されています。申請書ではnirholas/claude-codeという親リポジトリに加え、「all or most of the forks are infringing to the same extent as the parent repository」と主張し、forkネットワーク全体を対象にしました。これを受けてGitHubは8100以上のリポジトリを一括で無効化しています。
ちなみに「DMCA takedown」とは、アメリカのデジタルミレニアム著作権法に基づいて、著作権を侵害しているコンテンツの無効化や削除をプラットフォームに要請できる仕組みのことです。要するに「うちの著作物が勝手に使われてるから対処してくれ」と正式に申し立てる手続きです。
ただ、直接コピーが消えていく裏で、開発者たちは別の方向に走り出しています。流出コードの直接コピーではなく、主要部分を独自に書き直したOSSプロジェクト「OpenCode」が登場。さらに分散型Gitプラットフォーム「Gitlawb」には「Will never be taken down」と添えたミラーも公開されています。
一方、Anthropicは「セキュリティ侵害ではなく、リリースパッケージングのヒューマンエラー」と説明しています。顧客データや認証情報は含まれておらず、漏れたコードには未公開の機能フラグなども含まれていたとのこと。なお、一度インターネットに流れたコードを完全に回収するのは、特に時代の寵児のAIコーディングツールともなれば、なかなか無理な話ですよね……。
