開発者ツールは常にテレメトリーを収集してきた。Claude Codeは、ツールがユーザーに代わって何をしたかのテレメトリーを収集する、初めて広く普及したツールだ。3月31日にソースコードが流出したとき、数字がそのカテゴリを可視化した。テレメトリーイベント640個。フィンガープリント次元40以上。5秒ごと。
640イベント、40次元、5秒ごと
Anthropicは、Claude Codeのnpmパッケージバージョン2.1.88を、59.8MBのJavaScriptソースマップファイルが残ったまま誤って公開した。セキュリティ研究者のChaofan Shouが数時間以内に発見。そのポストはDMCA削除申請が始まる前に2,880万回のビューを記録した。
1,906ファイルにわたる513,000行の難読化されていないTypeScript。テレメトリーアーキテクチャは定量化できるほど具体的だった。
起動時、Claude Codeの分析サービスはユーザーID、セッションID、アカウントUUID、組織UUID、メールアドレス、アプリバージョン、プラットフォーム、ターミナル種別、有効なフィーチャーゲートをホームに送信する。インタラクションのたびに発火するAPI呼び出し——tengu_api_query——は、メッセージ長、システムプロンプトのJSONシリアライズバイト長、アクティブなツールの完全なスキーマを送信する。これは作業中5秒ごとに発生し、オフライン時は~/.claude/telemetry/に保存される。
フィンガープリントは単なる分析ではない。強制執行メカニズムだ。4台目のデバイスでログインすれば、フラグが立ち、永久凍結される。異議申し立ての手段はない。アカウント共有を防ぐのと同じフィンガープリント次元が、これまでツールを開いたすべてのデバイスを記録している。
流出したソースコードでは、CHICAGOモジュールの存在も確認された。macOS向けClaude Computer Useだ。有効になると、Claude Codeはデスクトップ、マウス入力、キーボード、スクリーンショット、クリップボードにアクセスできる。ソースコードではCoWorkの基盤となる機能として記述されていた。明示的なmacOSパーミッション付与が必要。ほとんどのユーザーはその存在すら知らなかった。
48時間の連鎖
コミュニティの反応は予測可能な形をとった——文句を言う立場にある人々が、同時に行動できる人々でもあった。流出から数時間で、研究者たちが署名システムの完全な技術的解析を公開した。署名システムとはBunのネイティブHTTPスタックに組み込まれた暗号学的証明レイヤーで、JavaScriptではなくZigで書かれていた。JavaScriptはモンキーパッチが可能だが、ランタイムにコンパイルされたZigコードはできないからだ。すべての送信APIリクエストにはcch=プレースホルダーが含まれ、Zigが送信前に計算したxxHash64で上書きする。シードはコンパイル済みバイナリに埋め込まれていた。
それが持ったのは、およそ1日だった。
AnthropicのサブスクリプションにアクセスできるのはClaude Codeの正規バイナリのみ、という設計の署名システムが、@ssslompと@paoloanzn によって完全にリバースエンジニアリングされた。Bunバイナリを使わず、純粋なPythonとxxhashライブラリだけを使った動作するPythonのPoCが公開され、オープンクライアントにマージされた。シード定数、ハッシュアルゴリズム、バージョンサフィックスのスキーム、macOSキーチェーンの認証情報パスがすべて公開記録となった。
同時に、OpenCodeが登場した。
OpenCodeは流出前から存在していたが、流出から直接恩恵を受けた。Goで構築され、Claude、GPT、Gemini、DeepSeek、Ollamaによるローカルモデルを含む75以上のモデルプロバイダーをサポートし、プロプライエタリなスナップショットの代わりにgitベースのundo/redoを使う。問題は現実的だ。OpenCode経由でClaudeにアクセスするユーザーは、Claude Maxサブスクリプション料金ではなくAPI料金を支払う。フォークは技術的に完成している。経済的には、まだそうではない。
「業界標準の慣行」という反論
批判に対する最も強力な反論は、これが特異なものではないという点だ。VS Codeはテレメトリーを収集する。Chromeはホームに送信する。GitHub Copilotは将来バージョンを改善するために、入力と出力を含むインタラクションデータを明示的に収集する。Claude Codeのテレメトリーインフラ——以前はStatsig、現在はGrowthBook——は、何千ものSaaS製品がA/Bテストとフィーチャーフラグに使うのと同じスタックだ。署名システムが存在するのは、サブスクリプションによるアクセス制御が正当なアンチアビューズ機構だからだ。CHICAGOモジュールはオプトインで文書化されている。
これらの主張はすべて正しい。アーキテクチャは標準的だ。目的は正当だ。計装されたソフトウェアを扱う開発者はこれを知っている。それでも反応は「このトレードオフを受け入れる」ではなかった——24時間で解析された署名システム、DMCA前の41,500 GitHubフォーク、本物のデバイスを見せることなくAPIコールをルーティングするため一晩で構築されたプロキシプロジェクト、だった。
問題は怒りがテレメトリーに見合っていたかどうかではない。問題は、それが新しいカテゴリのツールについて同意の境界線がどこにあるかを教えてくれるということだ。
本質的な違い
VS Codeはファイルを読まない。シェルコマンドを実行しない。デスクトップのスクリーンショットを撮らない。リポジトリにコードを書いてプッシュしない。VS Codeが収集するテレメトリーはインターフェースの使われ方を記録する。Claude Codeが収集するテレメトリーは——少なくともそのテレメトリーアーキテクチャにおいては——エージェントがユーザーに代わって何をしたかのコンテキストを記録する。
tengu_api_queryをシステムプロンプトのバイト長とともに発火させるコードは、40ファイルを読み込み、12のシェルコマンドを実行し、メインブランチにコードをコミットしたかもしれないエージェントループを管理するのと同じコードだ。4台目のデバイスでアプリを開いただけでアカウントをブロックできるフィンガープリントは、ユーザーが眠っている間に自律的なタスクを実行する同じシステムの一部だ。
これは監視の違いではない。説明責任の違いだ。ソフトウェアにエージェンシーがある場合——応答するだけでなく、行動する場合——その行動を記録するテレメトリーは、マウスクリックを記録するテレメトリーとは異なる性質を持つ。VS Codeのテレメトリーを本能的に受け入れていた開発者コミュニティが、即座にプロキシとフォークと代替クライアントを構築する方向に動いた。数字が悪かったからではない。ツールが何であるかというメンタルモデルが、テレメトリーが何を意味するかを変えた。これが同意の境界線だ。
セキュリティのギャップ
Claude Codeの流出と同じ週、OpenClawに対するZeroLeaksの監査が、抽象的なものを具体的にする点数を返した。
100点中2点。データ抽出率84%。インジェクション攻撃成功率91%。ターン1でシステムプロンプトが漏洩。これはClaude Codeの問題ではない——OpenClawは別のエージェント製品だ。しかしタイミングが同じ構造的ギャップを捉えている。能力は出荷された。セキュリティのプリミティブは出荷されていなかった。
別途:220,000以上のOpenClawインスタンスが、ポート18789での認証なしにパブリックIPで稼働していた。IPアドレスを知っている者なら誰でも直接エージェントにアクセスできた。Mightyはこれに対応してオープンソースのセキュリティレイヤー「Citadel Guard」をリリースした——50ms未満のレイテンシー、MITライセンス——ギャップが放置できないほど現実のものだったからだ。
鏡に映った構造
構造的な皮肉はDeepSeekとともに到来する。Anthropicの主張によれば、DeepSeek、MiniMax、Moonshootはプロキシネットワークを通じて2万4,000の偽アカウントを使い、Claudeと1,600万回以上やり取りした——「蒸留」、あるモデルの出力を使って別のモデルを訓練すること——を行うために。DeepSeekだけで150,000件以上だ。
開発者のPeter O'Malletの反応は、その皮肉において正確だった。
Anthropicがアンチアビューズアーキテクチャの一環として会話を監視し、海外の競合他社が偽アカウントを通じてその会話を150,000件抽出し、ユーザーがデータ解放の行為として自らの155,000件のメッセージを公開する——その瞬間を正確に捉えている。システムを守るはずのテレメトリーが、敵対者が抽出した資産になった。そしてユーザーの反応は、データを自ら公開することで抽出を無意味にすることだった。
欠けているフレームワーク
VS Codeを規定する同意フレームワークは、30年かけて受動的な開発者ツールの上に構築された。ソフトウェアをインストールする。ソフトウェアがその使われ方を観察する。ソフトウェアが改善される。データはユーザーの行動からテレメトリーシステムへと一方向に流れる。だから誰もが受け入れてきた。それが前提だ。
Claude Codeはそれを逆転させた。データは今やエージェントの行動から——ツールが何をしたかから——テレメトリーシステムへと流れる。ツールが行動する。ツールが報告する。ユーザーは単なる使用者ではなく、オペレーターだ。エージェントが読んだファイル、実行したコマンド、組み立てたコンテキスト——これらすべてがテレメトリーアーキテクチャに存在する。
署名システムは24時間で解析された。フォークは48時間で出荷された。監査は100点中2点を返した。それぞれが同じシグナルだ——業界は信頼レイヤーを構築する前にエージェント型の能力を出荷した。
これはAnthropicへの特定の批判ではない。すべての主要なAIコーディングエージェントが同じギャップをナビゲートしている。夜間エージェントループの実行、自律的なコードコミット、コードベースのエンドツーエンド管理——これらはすべて、このカテゴリのために設計された同意フレームワーク、セキュリティ監査基準、アカウント保護ロジックが整う前に到来した。ZeroLeaksの100点中2点というスコアはスキャンダルではない。計測値だ。ギャップは存在する。業界はそれを知っている。そして、Claude Codeの流出に対して最も洗練された反応を示した開発者たち——怒りではなく、フォーク、プロキシ、監査ツール——が、次世代のエージェントが動作するプリミティブを構築している人々だ。
AIコーディングエージェントがテレメトリーを収集するかどうかは問題ではない。収集する。問題は、エージェンシーを持つソフトウェアのテレメトリーアーキテクチャが、エージェンシーを持たないソフトウェアのテレメトリーアーキテクチャに似ているかどうかだ。今はそうだ。それがテレメトリー問題だ。
Anthropic、AIエージェントのセキュリティ、AIセキュリティの関連記事。Pulse APIでエンティティカバレッジを探索する。