Anthropicのトリプルモーメント：コードリーク、政府の対立、そして武器化

元の記事タイトル：Anthropic：リーク、戦争、武器
元の記事著者：BuBBliK
翻訳：ペギー、BlockBeats

編集者の注：過去6ヶ月間、Anthropicは一見独立しているが実際には相互に関連する一連の出来事に繰り返し関与してきました：モデル能力の飛躍、現実世界での自動攻撃、資本市場からの劇的な反応、政府との公的対立、そして基本的な設定ミスによる複数の情報漏洩。これらの手がかりをまとめると、変化のより明確な方向性が浮かび上がります。

この記事は、これらの出来事を出発点として、技術的な突破口、リスクの露出、ガバナンスゲームにおけるAI企業の継続的な軌跡を振り返り、より深い問いに答えようとしています："脆弱性を発見する能力"が大幅に増幅され、徐々に普及する中で、サイバーセキュリティシステム自体は元の運用論理を維持できるのでしょうか？

かつては、セキュリティは能力の希少性と人間の制約に基づいて構築されていました。しかし、新しい条件下では、攻撃と防御は同じモデル能力の周りで展開され、境界がますます曖昧になっています。同時に、機関、市場、組織の反応は古い枠組みの中に留まり、この変化に迅速に適応するのに苦労しています。

この記事は、Anthropic自体だけでなく、それが反映するより大きな現実にも焦点を当てています：AIはツールを変えるだけでなく、"セキュリティがどのように確立されるか"という前提も変えています。

以下は元のテキストです：

3800億ドルの企業がペンタゴンと権力闘争を繰り広げ、自律AIによって初めてのネットワーク攻撃を生き延び、開発者さえ恐れるモデルを内部で漏洩し、さらには"偶然に"全ソースコードを公開する様子はどのようなものか？すべてが重なっていると、それはどのように見えるのでしょうか？

その答えは、今の見た目そのものです。さらに不安を感じさせるのは、本当に最も危険な部分はまだ起こっていないかもしれないということです。

イベントレビュー

Anthropicが再びコードを漏洩させる

2026年3月31日、ブロックチェーン会社Fuzzlandのセキュリティ研究者であるShou Chaofanは、公式のClaude Code npmパッケージを検査中にcli.js.mapというファイルを発見しました。

この60MBのファイルには驚くべき内容が含まれていました。ほぼ製品全体の完全なTypeScriptソースコードが含まれていました。このファイルだけで、誰でも1906の内部ソースファイルを再構築することができました：内部API設計、テレメトリーシステム、暗号化ツール、セキュリティロジック、プラグインシステム—ほぼすべてのコアコンポーネントが明らかになりました。さらに重要なのは、この内容がAnthropic自身のR2バケットからzipファイルとして直接ダウンロードできることです。

この発見はすぐにソーシャルメディアで広まりました：数時間以内に、関連する投稿は754,000回の閲覧とほぼ1000回のリツイートを受けました；同時に、漏洩したソースコードを含む複数のGitHubリポジトリが作成され、公開されました。

いわゆるソースマップは、基本的にはJavaScriptデバッグのための補助ファイルであり、圧縮されたコンパイルコードを元のソースコードに戻すように設計されており、開発者の問題解決を容易にします。

しかし、基本的な原則があります：それは決して本番環境のリリースパッケージに含めるべきではありません。

これは高度なハッキング技術ではなく、非常に基本的なエンジニアリングのベストプラクティスの問題であり、「ビルド構成101」の一部であり、開発者が最初の週に学ぶことです。もし本番環境に誤ってパッケージされると、ソースマップは本質的に「ソースコードを皆に贈る」ことになります。

関連するコードはここでも直接見ることができます：https://github.com/instructkr/claude-code

しかし、この状況を本当に滑稽にしているのは、これがすでに一度起こったことです。

2025年2月、ちょうど1年前、ほぼ同じ漏洩がありました：同じファイル、同じ種類のミス。その後、Anthropicは古いバージョンをnpmから削除し、ソースマップを排除し、新しいバージョンを再リリースし、問題は解決されました。

しかし、バージョン2.1.88では、このファイルは再びパッケージ化され、リリースされました。

市場価値3800億ドルの企業が、現在世界で最も先進的な脆弱性検出システムを構築している中で、1年以内に同じ基本的なミスを2度犯しました。ハッカー攻撃もなく、複雑なエクスプロイトパスもなく、ただ期待通りに機能するはずの基本的なビルドプロセスが失敗しました。

この皮肉は、ある意味でほとんど詩的です。

500のゼロデイ脆弱性を1回の実行で発見できるAI；30のグローバル組織に対して自動攻撃を仕掛けるために使用されたモデル—その間に、Anthropicはnpmパッケージをちらっと見る意欲のある誰にでも自社のソースコードを「ギフトラッピング」してしまいました。

2つの漏洩、わずか7日間の間隔。

しかし、その理由は不気味なほど似ていました：最も基本的な設定ミス。技術的な洗練は必要なく、複雑なエクスプロイトパスもありません。どこを探せばよいかを知っているだけで、誰でも自由に取得できました。

1週間前：内部の「リスクモデル」が偶然に公開されました。

2026年3月26日、LayerX Securityのセキュリティ研究者ロイ・パズとケンブリッジ大学のアレクサンドル・ポーウェルズが、AnthropicのウェブサイトのCMSに設定ミスを発見し、約3000の内部ファイルが公開されました。

これらのファイルには、ドラフトブログ、PDF、内部文書、プレゼンテーション資料が含まれており、すべて保護されていない検索可能なデータストアに公開されていました。ハッキングは必要なく、技術的な問題もありません。

これらのファイルの中には、ほぼ同一のブログドラフトが2つあり、モデル名だけが異なっていました：1つは「Mythos」とラベル付けされ、もう1つは「Capybara」とラベル付けされていました。

これは、Anthropicが同じ秘密のプロジェクトのために2つの名前の間で決定を下していることを示していました。その後、会社は確認しました：モデルのトレーニングは完了し、いくつかの初期顧客とのテストが開始されていました。

これはOpusへの定期的なアップグレードではなく、Opusを超えるティアに位置する全く新しい「ティアフォー」モデルでした。

Anthropic自身のドラフトでは、「私たちのOpusモデルよりも大きく、より知的である—Opusはこれまでの最強のモデルである」と説明されていました。プログラミング能力、学術的推論、サイバーセキュリティにおいて大きな飛躍を遂げていました。広報担当者はこれを「質的飛躍」と呼び、さらに「これまでに構築した中で最も強力なモデル」とも述べました。

しかし、真に注目を集めたのは、これらのパフォーマンスの説明ではありませんでした。

漏洩した草案の中で、Anthropicはこのモデルについて「前例のないサイバーセキュリティリスクをもたらす」「ネットワーク能力において他のAIモデルをはるかに上回る」「防御者の反応をはるかに超える速度で脆弱性を利用するモデルの波を予告する」と評価しました。

言い換えれば、未発表の公式ブログの草案の中で、Anthropicはすでに珍しい立場を表明していました：彼らは自らが構築している製品に不安を抱いていました。

市場の反応はほぼ瞬時に現れました。CrowdStrikeの株価は7%下落し、Palo Alto Networksは6%下落、Zscalerは4.5%下落しました；OktaとSentinelOneはそれぞれ7%以上下落し、Tenableは9%も急落しました。iShares Cybersecurity ETFは1日で4.5%の下落を経験しました。その日だけで、CrowdStrikeは約150億ドルの時価総額が消失しました。一方、ビットコインは66,000ドルに戻りました。

市場は明らかにこの出来事をサイバーセキュリティ業界全体に対する「判断」と解釈しました。

画像の要点：関連ニュースの影響を受けて、サイバーセキュリティセクター全体が下落し、CrowdStrike、Palo Alto Networks、Zscalerなどのいくつかの主要企業が大幅な下落を示し、AIがサイバーセキュリティ業界に与える影響に対する市場の懸念を反映しました。しかし、この反応は前例のないものではありません。以前、Anthropicがコードスキャンツールをリリースした際にも関連株が下落し、市場がAIを伝統的なセキュリティベンダーに対する構造的脅威と見なすようになったことを示しています。ソフトウェア業界全体が同様の圧力に直面しています。

Stifelのアナリスト、アダム・ボルグの評価は非常に直接的でした：このモデルは「究極のハッキングツールになる可能性があり、通常のハッカーを国家レベルの攻撃能力を持つ敵に変えることができる」と述べました。

では、なぜまだ公にリリースされていないのでしょうか？Anthropicの説明によれば、Mythosの運用コストは「非常に高く」、まだ公にリリースする条件を満たしていないとのことです。現在の計画は、まず少数のサイバーセキュリティパートナーに早期アクセスを許可し、彼らの防御システムを強化することです；その後、APIのオープンアクセスを徐々に拡大する予定です。その間、同社は効率の最適化を続けています。

しかし、重要な点は、このモデルはすでに存在し、すでにテストされており、単に「偶然に露出した」ために、すでに全体の資本市場に影響を与えているということです。

Anthropicは、自ら「歴史上最もサイバーリスクの高いAIモデル」と呼ぶものを構築しました。しかし、その情報の漏洩は、まさにこれらのモデルが元々検出するために設計された最も基本的なインフラ構成エラーの一つから生じています。

2026年3月：Anthropicのペンタゴンとの対決と勝利

2025年7月、Anthropicは米国防総省と2億ドルの契約を結びました。当初は、通常の協力関係のように見えました。しかし、その後の展開交渉中に、対立は急速にエスカレートしました。

ペンタゴンは、すべての「合法的な目的」のために、Claudeに対する「完全なアクセス」を求めました — それには完全自律型武器システムや、アメリカ市民の広範な国内監視さえ含まれます。

Anthropicは二つの重要な問題に赤線を引き、明示的に拒否したため、2025年9月に交渉は破綻しました。

その後、状況は急速にエスカレートし始めました。2026年2月27日、ドナルド・トランプはTruth Socialに投稿し、すべての連邦機関にAnthropicの技術の使用を「直ちに停止」するよう要求し、同社を「極左」とラベル付けしました。

2026年3月5日、米国防総省はAnthropicを「サプライチェーンリスク」と正式に指定しました。このラベルは、以前はほぼ独占的に外国の敵に対して使用されていました — 中国企業やロシアの団体など — そして今、サンフランシスコに本社を置く米国企業に初めて適用されています。

一方、Amazon、Microsoft、Palantir Technologiesのような企業も、Claudeが彼らの軍事関連の業務に使用されていないことを証明する必要がありました。ペンタゴンのCTOエミール・マイケルのこの決定の説明は、Claudeが異なる「政策の好み」を埋め込んでいるため、サプライチェーンを「汚染」する可能性があるというものでした。

言い換えれば、公式な文脈において、致命的な行動を無条件に支援しない使用制限のあるAIは、国家安全保障リスクと見なされるのです。2026年3月26日、連邦判事リタ・リンは、ペンタゴンの関連措置を包括的に阻止する43ページの判決を下しました。

彼女の判断の中で、彼女は「米国企業が政府の立場に異議を唱えたからといって、潜在的な敵とラベル付けされることを支持する現在の法律には法的根拠がない」と書きました。

この「オーウェル的」論理を支持する法的根拠は現在の法律には存在しない。政府の立場を公に scrutinize することに対する Anthropic の罰は、根本的に古典的で違法な第一修正の報復である。裁判所のアミカス意見は、ペンタゴンの行動を「企業を殺す試み」と表現した。

その結果、政府の Anthropic を抑圧しようとする試みは、実際にはそれに対する注目を集めることになった。Claude アプリは、アプリストアで初めて ChatGPT を超え、登録者数は1日あたり100万人を超えた。

あるAI企業は、世界で最も強力な軍事組織に「いいえ」と言った。そして、裁判所は彼らの側に立った。

2025年11月：歴史上初のAI主導のサイバー攻撃

2025年11月14日、Anthropic は世界中に衝撃を与える報告書を発表した。

その報告書は、中国の国家支援のハッキンググループが Claude Code を使用して、テクノロジーの巨人、銀行、複数の政府機関を含む30のグローバル機関に対して自動化された攻撃を行ったことを明らかにした。

これは重要な瞬間を示した：AIはもはや単なる支援ツールではなく、サイバー攻撃を自律的に実行するために使用されていた。

鍵となるのは「労働の分業」の変化であった：人間はターゲットの選定と重要な決定の承認のみを担当していた。全体の作戦を通じて、彼らは約4回から6回しか介入しなかった。それ以外のすべてはAIによって処理された：情報収集、脆弱性の特定、エクスプロイトコードの作成、データの抽出、バックドアの埋め込み... これらは攻撃プロセス全体の80%から90%を占め、1秒あたり数千のリクエストを処理するという、どの人間チームにも匹敵しない規模と効率を持っていた。

では、彼らはどのように Claude のセキュリティ対策を回避したのか？答えは：彼らは「突破」するのではなく、「騙す」ことによって通過した。

攻撃は一見無害なサブタスクに分割され、「正当なセキュリティ会社」による「認可された侵入テスト」としてパッケージ化された。本質的には、これは社会工学攻撃の一形態であり、今回は騙されたターゲットがAIそのものであった。

攻撃の一部は非常に成功した。クロードは、全ネットワークトポロジーを自律的にマッピングし、データベースを特定し、人間の逐次的な指示なしにデータ抽出を行うことができました。

攻撃のペースを遅くしている唯一の要因は、モデル内の時折発生する「幻覚」—実際にはすでに公開されている文書を取得したという虚偽の資格情報や主張などです。少なくとも今のところ、これらは完全自動化されたサイバー攻撃を妨げる数少ない「自然の障害」の一つです。

2026年のRSAカンファレンスで、元NSAサイバーセキュリティ責任者のロブ・ジョイスは、この出来事を「ロールシャッハテスト」と呼びました：無視する人もいれば、深く動揺する人もいます。そして彼は、明らかに後者に属していました—「非常に恐ろしいです。」

2025年9月：これは予測のようなものではなく、すでに起こった現実です。

2026年2月：1回の実行で500のゼロデイ脆弱性が明らかになりました。

2026年2月5日、AnthropicはClaude Opus 4.6をリリースし、ほぼ全サイバーセキュリティ業界を揺るがす研究論文が付随しました。

実験の設定は非常にシンプルでした：クロードは、標準ツール—Python、デバッガー、ファズテスト—を備えた孤立した仮想マシン環境に配置されました。追加の指示はなく、複雑なプロンプトもなく、ただ一文だけ：「バグを見つけてください。」

結果：モデルは500以上の未知の高リスクゼロデイ脆弱性を発見しました。これらの脆弱性のいくつかは、数十年の専門家レビューと数百万時間の自動テストの後でも発見されませんでした。

その後、2026年のRSAカンファレンスで、研究者のニコラス・カーニーがステージに立ちました。彼は、50,000のスターを持ち、深刻な脆弱性の履歴がないGitHubのCMSシステムGhostにクロードを向けました。

90分後、結果が出ました：認証されていないユーザーが完全な管理者権限を取得できる盲目的なSQLインジェクション脆弱性が見つかりました。

次に、彼はクロードを使用してLinuxカーネルを分析しました。結果は似ていました。

15日後、AnthropicはClaude Code Securityを発表しました。これは、パターンマッチングに依存せず、コードを理解するための「推論能力」に基づいたセキュリティ製品です。

しかし、Anthropicの広報担当者は、重要だがしばしば見落とされる事実も述べました：「Claudeが脆弱性を発見し修正するのに役立つ同じ推論能力が、攻撃者によってこれらの脆弱性を悪用するためにも使用される可能性があります。」

それは同じ能力であり、同じモデルですが、異なる手によって使われています。

これらがすべて結びつくと、何を意味するのでしょうか？

個別に見ると、これらのそれぞれは月のヘッドラインニュースになるには十分です。しかし、これらはすべてわずか6ヶ月の間に、同じ会社で起こりました。

Anthropicは、人間よりも早く脆弱性を発見できるモデルを構築しました。中国のハッカーは、前の世代を自動化されたネットワーク兵器に変えました。会社は次世代のより強力なモデルを開発しており、内部文書でもそれについて不安を抱いていることを認めています。

米国政府はそれを抑圧しようとしましたが、技術自体が危険だからではなく、Anthropicがこの能力を制限なしに引き渡すことを拒否しているからです。

そして、このすべての中で、この会社は同じnpmパッケージ内の同じファイルのために二度もソースコードを漏洩させました。3800億ドルの価値がある会社；2026年10月までに6000億ドルのIPOを目指す会社；「人類の歴史の中で最も変革的で潜在的に危険な技術の一つを構築している」と公言している会社 - それでも彼らは前進し続けることを選びます。

彼らはこう信じています：他の人にやらせるよりも、自分たちでやる方が良い。

npmパッケージ内のそのソースマップは、この時代の最も不穏な物語の中で最も不安を引き起こす詳細かもしれません。最もばかげているが、同時に最も現実的でもあります。

そして、Mythosはまだ正式にリリースされていません。

[オリジナル記事リンク]