用Claude Code分析Claude Code源码

• 目录

  前言

  [一、Claude Code是什么？](#一、Claude Code是什么？)

  二、使用步骤

  1.快速安装

  2.设置环境变量

  [三、Claude Code源码](#三、Claude Code源码)

  四、此次泄漏事件总结

---

前言

今天是愚人节，就在昨天3.31晚AI圈内闹出了个史诗级的笑话，ClaudeCode源码全网泄漏，一家市值3800亿美元（人民币2.6w多亿）的顶级AI公司的源码泄漏，让整个IT行业炸圈了！

一、Claude Code是什么？

它是Anthropic 公司推出的 终端级 AI 编程助手 ，核心是通过自然语言直接操作代码库、文件、Git 和命令行，属于 "自主执行型"AI 开发工具。工具本身免费下载，模型调用按量付费，年收入超200亿美金。目前小编日常办公就有使用Claude Code辅助写代码，进行系统重构、完整系统代码设计、产品、UI输出等不在话下。

二、使用步骤

1.快速安装

参考官方中文网址：https://code.claude.com/docs/zh-CN/overview

代码如下（示例）：

Mac / Linux 系统

curl -fsSL https://claude.ai/install.sh | sh

Windows (Winget) 系统

winget install Anthropic.ClaudeCode

验证安装：

windows进入cmd/powershell命令行、Linux或mac进入虚拟机/终端执行如下命令

claude --version

如果输出claude Code版本信息代表安装成功，否则未安装成功

2.设置环境变量

由于Claude Code需要使用国内模型代理才能使用，需要通过镜像/代理才能使用：

export ANTHROPIC_BASE_URL="改为个人使用的域名"

export ANTHROPIC_AUTH_TOKEN="API KEY"

进入项目目录，直接启动：

windows进入cmd/powershell命令行、Linux或mac进入虚拟机/终端执行如下命令

claude

---

如图即代表claude Code在你的电脑已经成功安装并设置了代理和API KEY可以使用了。

让ClaudeCode帮你分析代码Bug、设计系统架构等等都能轻易实现。

三、Claude Code源码

Claude Code源码已经公开，短短几十小时内Fork的几个GitHub账号访问量达几百万，其中有2个具有代表性的账号，一个是Claude Code用TypeScript语言编写的原始代码，一个是用python语言移植版本。

TypeScript版本：https://github.com/sanbuphy/learn-coding-agent （目前已由claude-code-source-code改名为learn-coding-agent了）

Python版本：https://github.com/instructkr/claw-code

为防止官方封杀，目前两个版本均已forked到我自己的GitHub账号仓库下了，也已经clone到本地，并且用Claude Code去分析Claude Code的源码。

https://github.com/Liuq24/claude-code-source-code

https://github.com/Liuq24/claw-code

clone到本地后，进行分析：

python版本的ClawCode分析：

TypeScript版本的架构分析：

四、此次泄漏事件总结

是一场由打包配置疏忽引发的史诗级安全事故，发生于 2026 年 3 月 31 日。

事件核心概况

**泄漏规模：**超 51.2 万行 TypeScript 代码、1906 个源文件、40 余个功能模块，包含未发布特性与内部机制。

**泄漏载体：**npm 包@anthropic-ai/claude-code v2.1.88 中，未被排除的cli.js.map（约 60MB）Source Map 文件，可直接还原完整源码。

**触发人：**安全研究员 Chaofan Shou 在例行 npm 包检查时发现并曝光。

**官方回应：**确认为人为打包失误，非安全入侵，未泄露用户数据与凭证，正强化发布流程。

事故根因

核心问题出在构建与发布配置：

1、使用 Bun 打包器生成 Source Map 文件，生产环境未按规范移除。

2、.npmignore缺失对*.map文件的排除规则，导致调试文件随包发布至公开 npm registry。

3、这是 Anthropic 年内第二次同类事故（2025 年 2 月曾因 source map 疏忽暴露早期版本）。

关键曝光信息

泄露代码包含多项核心内部机制，引发行业热议：

**核心架构：**CLI 逻辑、工具编排（tool orchestration）、提示词补丁（prompt patch）、权限控制与错误恢复机制。

**未发布功能：**40 + 功能标志（feature flags）、20 + 待上线特性，包括争议极大的Undercover Mode（卧底模式）。

卧底模式细节：通过USER_TYPE === 'ant'识别内部员工，向外部仓库提交代码时自动隐藏 AI 参与痕迹，剥离署名且不提及内部模型代号，无强制关闭开关。

未泄漏的内容

• ❌ Claude 大模型权重 / 训练数据
• ❌ 用户数据、聊天记录、API 密钥
• ❌ Anthropic 后端服务、训练基础设施代码

这次暴露的是 Claude Code 作为 AI Agent 的完整工程实现：从意图理解、多工具调度、多代理协同、安全沙箱、到终端交互的全套商业机密。相当于把 Anthropic 对标 GitHub Copilot 的核心技术架构与实现细节完全公开。