Claude Code デイリーリサーチ(2026-04-01)
サマリー
- Claude Code v2.1.88のソースコードがnpmパッケージングミスにより流出 — 約50万行・1,900ファイルのTypeScriptコードが公開。Anthropic「人為的ミス、セキュリティ侵害ではない」と声明
- Claude Code v2.1.89リリース —
フリッカーフリーレンダリング、
--channelsリサーチプレビュー、PermissionDeniedフック、deferパーミッション判定など多数の新機能 - Anthropic「Mythos」モデルの存在がリーク — 3月26日にほぼ3,000件の未公開内部ドキュメントが誤って公開され、Opusを超える新モデル階層「Capybara/Mythos」の存在が判明
詳細
Claude Code ソースコード流出事件(3月31日)
- 概要: Claude Code
v2.1.88のnpmパッケージに59.8MBのJavaScriptソースマップファイル(
cli.js.map)が誤って含まれ、全ソースコードが復元可能な状態で公開された - 詳細:
- ソースマップの
sourcesContentフィールドに全ソースファイルのテキストが埋め込まれていた - セキュリティ研究者 Chaofan Shou氏がXで発見を公開、28.8M以上のビュー
- 流出コードはGitHubに即座にミラーされ、84,000スター・82,000フォーク以上
- 44個の隠し機能フラグが含まれていた
- 同時期にサプライチェーン攻撃も発生: 3月31日 00:21〜03:29 UTCの間にnpm経由でインストールした場合、悪意あるバージョンのaxios(1.14.1または0.30.4)にRATが含まれている可能性
- ソースマップの
- Anthropicの対応: 「リリースパッケージングの問題で人為的ミス。セキュリティ侵害ではない。顧客データや認証情報の流出はない」
- 制限事項: 該当バージョンはnpmから削除済みだが、GitHubリポジトリでコードは閲覧可能
- ソース: Fortune, VentureBeat, The Register
Claude Code v2.1.89 リリース(3月31日〜4月1日)
- 概要: フリッカーフリーレンダリング、Channels、パーミッション制御の強化など多数の新機能・修正
- 詳細 — 新機能:
CLAUDE_CODE_NO_FLICKER=1環境変数でフリッカーフリーのalt-screenレンダリング(仮想スクロールバック付き)PermissionDeniedフック — autoモード分類器の拒否後に発火、{retry: true}を返すとモデルにリトライを許可deferパーミッション判定 — PreToolUseフックで使用可能。ヘッドレスセッションがツールコール時に一時停止し、-p --resumeで再開してフックを再評価--channels(リサーチプレビュー)— MCPサーバーからセッションへのプッシュメッセージを許可MCP_CONNECTION_NONBLOCKING=true—-pモードでMCP接続待ちを完全スキップ。--mcp-configサーバー接続を5秒で制限- 名前付きサブエージェントが
@メンションのタイプアヘッド候補に表示 rate_limitsフィールドをステータスラインスクリプトに追加(claude.aiレート制限の5時間/7日ウィンドウ表示)source: 'settings'プラグインマーケットプレースソース — settings.jsonにプラグインエントリをインライン宣言可能- スキル・スラッシュコマンドの
effortフロントマターサポート
- 詳細 — バグ修正:
- 長時間セッションでツールスキーマバイト変更によるプロンプトキャッシュミスを修正
- ネストされたCLAUDE.mdファイルが長時間セッションで数十回再挿入される問題を修正
- WindowsでのEdit/WriteツールによるCRLF二重化・Markdownハードラインブレーク除去を修正
- StructuredOutputスキーマキャッシュバグ(複数スキーマワークフローで約50%の失敗率)を修正
--resumeによる並列ツール結果のドロップを修正
- 設定方法/利用方法:
# フリッカーフリーレンダリングを有効化 export CLAUDE_CODE_NO_FLICKER=1 # Channelsを有効化して起動 claude --channels telegram,discord # MCP接続をノンブロッキングに export MCP_CONNECTION_NONBLOCKING=true # 最新版にアップデート npm install -g @anthropic-ai/claude-code@latest - バージョン: v2.1.89(2026年3月31日〜4月1日)
- 制限事項: Channelsはリサーチプレビュー、claude.aiログインが必要(API Key認証非対応)
- ソース: Claude Code Changelog, GitHub Releases
Anthropic「Mythos」(Capybara)モデルのリーク(3月26日)
- 概要: Anthropicの内部CMS設定ミスにより約3,000件の未公開アセットが公開され、「Mythos」(内部名: Capybara)と呼ばれるOpusを超える新モデル階層の存在が判明
- 詳細:
- CapybaraはOpusより大規模かつ高性能な新しいモデル階層(Haiku/Sonnet/Opusに加わる第4階層)
- Claude Opus 4.6と比較してコーディング・学術推論・サイバーセキュリティのベンチマークで大幅に高いスコア
- 「前例のないサイバーセキュリティリスク」をもたらす可能性があるとの内部警告
- 現在「早期アクセス顧客」によるトライアル中
- リーク後、サイバーセキュリティ株が下落(iShares Expanded Tech-Software Sector ETF約3%安)
- 制限事項: 正式なリリース日未定。リークされた情報であり、仕様は変更される可能性
- ソース: Fortune
Computer Use リサーチプレビュー(3月23日)
- 概要: Claude CodeおよびCoworkでコンピュータ操作機能がPro/Maxプランユーザー向けにリサーチプレビューとして提供開始
- 詳細:
- Claudeがファイルを開く、開発ツールを実行、クリック、画面操作が可能
- コード記述→コンパイル→アプリ起動→UI操作→バグ発見→修正→検証を1プロンプトで実行可能
- 専用コネクタがない場合は直接画面操作にフォールバック
- macOSのみ対応(Windows対応は今後の予定)
- 利用方法: Pro(20/月)またはMax(100〜$200/月)プランで利用可能。セットアップ不要
- 制限事項: リサーチプレビュー段階。機密データでの使用は非推奨。macOSのみ
- ソース: Anthropic
API更新: Message Batches APIのmax_tokens 300k引き上げ(3月24日)
- 概要: Claude Opus 4.6およびSonnet 4.6のMessage Batches APIで最大トークン数が300kに引き上げ
- 設定方法/利用方法:
# ベータヘッダーを含めてリクエスト curl -X POST https://api.anthropic.com/v1/messages/batches -H "anthropic-beta: output-300k-2026-03-24" -H "x-api-key: $ANTHROPIC_API_KEY" ... - バージョン:
output-300k-2026-03-24ベータヘッダー - 制限事項: Claude Opus 4.6/Sonnet 4.6のみ対応
- ソース: Claude Platform Release Notes
1Mコンテキストウィンドウのベータ終了予告
- 概要: Claude Sonnet 4.5およびClaude Sonnet 4の1Mトークンコンテキストウィンドウベータが2026年4月30日に終了
- 詳細:
context-1m-2025-08-07ベータヘッダーは4月30日以降無効。200kトークンを超えるリクエストはエラーに - 対応方法: Claude Sonnet 4.6またはClaude Opus 4.6に移行(標準価格で1M対応、ベータヘッダー不要)
- ソース: Claude Platform Release Notes
Models API機能追加
- 概要: Models APIにモデル能力フィールドを追加
- 詳細:
GET /v1/modelsおよびGET /v1/models/{model_id}がmax_input_tokens、max_tokens、capabilitiesオブジェクトを返すように - ソース: Claude Platform Release Notes
レート制限の変更
- 概要: Messages APIのレート制限体系を変更
- 詳細: 従来の「トークン/分」制限を「入力トークン/分」と「出力トークン/分」の個別制限に分離
- ソース: Claude Platform Release Notes
MCP関連
Channels(MCPプッシュメッセージ)
- Claude Code
v2.1.89で
--channelsリサーチプレビューが追加 - MCPサーバーがセッションにイベントをプッシュ可能に(従来のプルモデルからプッシュモデルへ)
- Telegram、Discord、iMessageが公式サポート
claude/channelケイパビリティを宣言したMCPサーバーがプッシュ可能- セキュリティ: Anthropic管理のプラグイン許可リスト制、明示的なペアリング・承認が必要
MCPエコシステム成長
- MCP SDKの月間ダウンロード数が9,700万に到達(2025年11月のローンチ時約200万から4,750%成長)
- Dockerが200以上のプリビルト・コンテナ化MCPサーバーを提供
MCP_CONNECTION_NONBLOCKING=trueでヘッドレスモードの起動高速化(最大600ms短縮)
MCP接続の改善
--mcp-configサーバー接続が最遅サーバーのブロックではなく5秒でタイムアウト- MCPサーバーがローカルとclaude.aiコネクタの両方で設定されている場合、ローカル設定が優先(重複排除)
コミュニティ動向
Claude Code Creator(Boris)のワークフロー公開
- Claude Codeの作成者Borisが自身のワークフローを公開(2026年3月25日)
- 10〜15セッション同時実行(ターミナルタブ5個 + Web 5〜10個 + スマホ)
- 各セッションが独自のgit worktreeで競合回避
- CLAUDE.mdの運用: 簡潔に保ち、「この行を削除したらClaudeがミスするか?」をテスト基準に
CLAUDE.md ベストプラクティスの成熟
- 「10 Sections to Include」(UX Planet、3月公開)でCLAUDE.mdの構造化手法が整理
- Progressive Disclosure戦略: 全情報を記載せず、必要時に参照する方法を指示
- Skills(
.claude/skills/)でドメイン知識をオンデマンドロード - Emphasis("IMPORTANT"、"YOU MUST")で重要ルールの遵守率向上
GitHub Actions実運用事例
- Deriv社が700+リポジトリでClaude Code GitHub Actionsによる自動セキュリティレビューを運用(3月31日公開)
- 月50PR規模でAPI費用$5未満
/install-github-appコマンドで簡単セットアップ
Anthropicの3月総括
- The New Stackが「Anthropicの激動の3月: 14+のローンチ、5回の障害、Mythosリーク」と題した記事を公開
- Anthropicの年間売上は190億ドル(年初2ヶ月で2倍以上に)
Sources
- Fortune - Claude Code Source Code Leak
- VentureBeat - Claude Code Leak Analysis
- The Register - Anthropic Exposes Source Code
- Fortune - Anthropic Mythos Model Leak
- Claude Code Changelog
- GitHub - Claude Code Releases
- Claude Platform Release Notes
- Releasebot - Anthropic Updates
- Claude Code Docs - Channels
- TechCrunch - Anthropic Is Having a Month
- The New Stack - Anthropic March Roundup
- Claude Code Creator Workflow
- Deriv - Automated Security Reviews
- Claude Code Best Practices