Claude Code に「これインストールして」と言うと、何も考えず npm install（JavaScript用のライブラリを取り寄せるコマンド）してくれる。 便利。だが、たまに思う。

「いまインストールしたパッケージ、本当に安全か？」

最近、生成AIブームに乗って npm の悪意あるパッケージ事件が増えている。タイポを狙った偽パッケージ、人気パッケージの乗っ取り、こっそり仮想通貨を盗むやつ。 2024〜2025年だけで複数事件があった。

これらはサプライチェーン攻撃（自分が使っているライブラリ経由で攻撃される手口）と呼ばれる。

ChatGPT や Claude Code が「便利だから」と適当なライブラリを入れる時代、自衛が要る。 そこで Takumi Guard というツールに目をつけた。

Takumi Guard とは

GMO Flatt Security が2026年3月に出した、npm の悪意あるパッケージを自動でブロックする中継サーバー（プロキシ）。

• npm / pip / RubyGems 対応
• 悪性パッケージはダウンロード前にブロック
• 個人・法人とも無料
• 1コマンドで設定可能

「これは入れたい」と思った。

入れようとしたら、すでに入っていた

設定方法を確認し、「よしコマンド打つか」と npm の設定（npm config）を見たら：

registry = "https://npm.flatt.tech"

…既に入っていた。

いつ入れたか覚えがない。 過去のどこかのセッションで Claude Code に「セキュリティ対策入れて」と頼んだ時に設定されたのか、自分で別の作業中に入れたのか、思い出せない。

動いていることを確認する

知らないうちに守られていたのか、壊れているのか。 悪性パッケージのテスト用パッケージをインストールしてみた。

npm install @panda-guard/test-malicious

結果：

npm error 403 Forbidden - Package blocked by security policy

ちゃんとブロックされた。 正常パッケージ（is-string）も問題なく入った。守られていることが確認できた。

ついでに pip も入れた

Takumi Guard は npm だけじゃなく pip（Python） にも対応している。 私は普段 Python は使わないが、Claude Code が「pip install して」と言うかもしれない。

設定はコマンド1発：

pip3 config set global.index-url https://pypi.flatt.tech/simple/

正常パッケージはOK、悪性テスト用パッケージはブロック。これで pip 経由の事故もカバーされる。

元に戻す方法も控えておく

万一トラブった時のため、無効化方法を忘れずに：

npm config set registry https://registry.npmjs.org/
pip3 config unset global.index-url

両方とも1秒で元に戻る。試して問題があればすぐ戻せる安心感。

学び

• npm 経由のサプライチェーン攻撃は、AI にインストールを任せる時代に増えている
• Takumi Guard は1コマンドで設定可能、個人無料、信頼できる日本のセキュリティ会社製
• 自分で気づかないうちに守られていることがある（過去の自分に感謝）
• 悪性テストパッケージでの動作確認は必ずやる
• 無効化コマンドを先に控えておけば、試行リスクはゼロ

私みたいに「いつ入れたか覚えてない」状態の人は、まず npm config get registry を打って自分の設定を見る。 入っていなければ1コマンドで入る。 入っていれば、過去の自分に感謝。