AIコーディングアシスタントがあなたの秘密を静かに出荷している
AIコーディングエージェントは、設定ファイルやログなどのアーティファクトをコードベースに残し、npmパッケージやGitHub、Webアセットを介して機密情報を漏洩させています。研究により広範な露出が明らかになり、対策が提案されています。
AIコーディングアシスタントがコードベースに新たな痕跡を残しています。設定ファイル、ログ、ヘルパーアーティファクトが本来ならラップトップ外に出るべきではないのに、公開されてしまいます。本記事の著者は、偶然のセキュリティスキャンでこの問題を発見し、その後の調査で問題の普遍性とエコシステム全体の脆弱性を明らかにしました。
事の発端は、npmパッケージ内の.claudeフォルダでした。著者が公開アーティファクトをスキャンしていると、.claude/settings.local.jsonファイルがnpmのtarballに含まれているのを発見。その中には、curlコマンドのAuthorizationヘッダーやAPI_KEY環境変数など、本物の認証情報が含まれていました。Claude Codeのドキュメントでは、このファイルはプロジェクトレベルの個人用オーバーライドであり、ローカルに保持すべきとされていますが、現実にはnpmパッケージとして流出していました。
Lakeraの研究チームはこの問題を大規模に調査しました。彼らはnpm CouchDBの変更フィードを監視し、新規・更新パッケージをダウンロードして.claude/settings.local.jsonを抽出。約46,500パッケージのうち428にファイルが存在し、30パッケージの33ファイルに実際の認証情報(npmトークン、GitHub PAT、Telegramボットトークン、Hugging Faceトークン、プロダクションベアラートークンなど)が含まれていました。同様の問題はPython、Java、コンテナアーティファクトでも確認されています。
Web上での広がりを評価するため、著者はwebcensusスキャナーを開発し、複数の大規模ドメインリストをスキャン。約1000サイトに1つが.claude/settings.local.jsonをHTTPで公開しており、ライブAPIトークンやデータベース認証情報、内部ホスト名などが含まれていました。
GitHubでも同様の問題が発生。path:".claude/settings.local.json" "Authorization: Bearer"などの簡単な検索で、本物のトークンを含むファイルが見つかります。OpenAI Codex CLIの~/.codex/auth.jsonも同様に漏洩しています。
Appleでさえ例外ではありません。2026年5月1日、セキュリティ研究者AaronがAppleサポートアプリのアップデートにCLAUDE.mdファイルが含まれているのを発見。これらは内部のClaude関連指示書で、Appleの「Juno AI」などの内部システムに言及していました。Appleは緊急修正(v5.13.1)をリリースし、これらのファイルを削除しました。
著者は、これは個別のバグではなく、エコシステム全体の脆弱性だと指摘します。デフォルトの.gitignoreやパッケージングテンプレートがAIエージェントのファイルを考慮していないこと、ツールの設計前提とパッケージング慣行の衝突、そして漏洩経路の多さ(npm、PyPI、コンテナレジストリ、静的ホスティング、CIアーティファクトなど)が問題を複雑にしています。
推奨される対策:.claude/などのAIエージェントフォルダを.gitignoreやパッケージング設定に追加する。公開前にパッケージ内容を監査する(npm pack --dry-runなど)。最終アーティファクトで秘密スキャンを実行する。AIツールは平文の秘密をパッケージングフローに含まれやすい場所に保存しないようにデフォルトを改善すべきです。
問題は自動的には解決しませんが、継続的な議論と認識向上により、「AIアシスタントの排気を本番環境に出荷する」ことが、かつて.envをコミットするのと同じくらい明白な誤りになる日を目指しましょう。