目录
[Claude Code 源码泄露事件:51.2万行代码如何从npm流向全网](#Claude Code 源码泄露事件:51.2万行代码如何从npm流向全网)
[1.1 泄露时间与发现者](#1.1 泄露时间与发现者)
[1.2 泄露方式:一个.map文件引发的灾难](#1.2 泄露方式:一个.map文件引发的灾难)
[1.3 泄露规模](#1.3 泄露规模)
[2.1 官方声明](#2.1 官方声明)
[2.2 补救措施与局限性](#2.2 补救措施与局限性)
[3.1 核心架构曝光](#3.1 核心架构曝光)
[3.2 未发布功能曝光](#3.2 未发布功能曝光)
[Buddy System------藏在代码里的电子宠物](#Buddy System——藏在代码里的电子宠物)
[Undercover Mode------隐身模式](#Undercover Mode——隐身模式)
[3.3 内部模型路线图](#3.3 内部模型路线图)
[4.1 对Anthropic的冲击](#4.1 对Anthropic的冲击)
[4.2 对行业的影响](#4.2 对行业的影响)
[5.1 主要镜像仓库](#5.1 主要镜像仓库)
[5.2 社区反应](#5.2 社区反应)
[5.3 注意事项](#5.3 注意事项)
Claude Code 源码泄露事件:51.2万行代码如何从npm流向全网
2026年3月31日,AI编程工具领域发生了一起堪称"史诗级"的乌龙事件------Anthropic旗下明星产品Claude Code的完整TypeScript源码,因一个59.8MB的调试文件被误打包进npm发布包,在互联网上"裸奔"了数小时。截至发稿,泄露的代码已在GitHub上被分叉数万次,成为全球开发者围观和研究的对象。
一、事件经过:从npm包到GitHub的51.2万行代码
1.1 泄露时间与发现者
2026年3月31日凌晨,Anthropic在npm注册表发布了Claude Code的v2.1.88版本。不久后,Web3安全公司FuzzLand的实习研究员Chaofan Shou(X账号@Fried_rice)发现了一个异常:这个npm包中包含一个巨大的cli.js.map文件,大小高达59.8MB。
Chaofan Shou随即在X平台发文披露,并附上了可直接下载源码的链接。这条推文如同在开发者社区投下了一颗深水炸弹------短短数小时内,泄露的代码被镜像到GitHub公开仓库,星标迅速突破5000,随后被分叉数万次。
1.2 泄露方式:一个.map文件引发的灾难
本次事件的技术原因极为"低级"。Source Map文件(.map)本是开发阶段的调试工具,用于将生产环境中压缩混淆的JavaScript代码映射回可读的原始TypeScript源码,帮助开发者定位问题。
然而,Anthropic在构建npm发布包时,未能通过.npmignore或构建配置排除这个调试文件,导致其随正式版一起上传到了公共npm注册表。更致命的是,这个.map文件直接指向了托管在Anthropic R2存储桶中的未混淆TypeScript源文件,使得整个src/目录可以被直接下载还原。
一位AI工程师对此评论道:"你只要下载官方包,就能把Claude Code的源码还原出来。这里面没有什么黑客参与,纯粹是构建流水线的配置疏漏。"
1.3 泄露规模
据已公开的分析,本次泄露的代码规模令人咋舌:
-
文件数量:约1,900个TypeScript源文件
-
代码行数:总计51.2万行(未混淆、未压缩)
-
运行环境:Bun + React + Ink(终端UI框架)
-
代码完整性:包含开发工程师手写的原始注释,甚至包括"memoization here increases complexity by a lot, and im not sure it really improves performance"这样的内部讨论
这意味着,外界看到的不仅是Claude Code的功能表象,更是其完整的工程实现细节------包括架构设计、优化思路、避坑经验,甚至工程师的心路历程。
二、Anthropic的回应与补救
2.1 官方声明
面对迅速发酵的舆论,Anthropic于事件当天发布官方声明:
"今天早些时候,Claude Code的一个发布版本包含了一些内部源代码。本次事件未涉及或泄露任何敏感的客户数据及凭证信息。这是由人为失误导致的发布打包问题,并非安全入侵事件。我们正出台相关措施,防止此类情况再次发生。"
2.2 补救措施与局限性
Anthropic紧急从npm删除了泄露版本的包,并移除了R2存储桶中的源文件。然而,这已是徒劳------代码已被广泛备份,在GitHub上永久留存。
三、泄露内容深度解析
3.1 核心架构曝光
泄露的源码揭示了Claude Code远超"一个API外壳"的复杂架构:
| 模块 | 规模 | 功能描述 |
|---|---|---|
| QueryEngine.ts | 约4.6万行 | 核心大模型API引擎,负责流式输出、工具循环、token追踪和推理编排 |
| Tool.ts | 约2.9万行 | 定义全部40余种智能体工具类型和权限模型(BashTool、FileReadTool、FileEditTool等) |
| commands.ts | 约2.5万行 | 注册和执行约85个斜杠命令,覆盖Git工作流、代码审查、记忆管理等场景 |
此外,泄露代码还包含多智能体协调系统 (coordinator)和IDE桥接层(bridge),可连接VS Code和JetBrains等开发环境。
3.2 未发布功能曝光
本次泄露最引人注目的,是一系列尚未公开的"隐藏功能":
Kairos------7x24小时在线的全能助手
源码中存在一个名为KAIROS的特性开关,注释直接写着"KAIROS (assistant mode)"。根据代码分析,这是一个可在后台持续运行的自主守护进程(autonomous daemon),具备:
-
自定义系统提示词,支持持续待机模式
-
定时检查/定时触发能力(scheduled check-in skills)
-
与MCP channel notifications集成,可通过社交软件发送指令
-
GitHub Webhooks订阅,能响应外部信号自动执行任务
有分析指出,Kairos模式让Claude Code从"一问一答"的工具进化为"7×24小时在线"的全能助手,目标是彻底取代传统的桌面操作系统交互范式。
Buddy System------藏在代码里的电子宠物
工程团队在核心代码中嵌入了一个完整的"拓麻歌子"风格宠物系统,包含:
-
18个物种,不同稀有度等级
-
闪光变体(概率1%)
-
属性系统(CHAOS、SNARK等)
-
宠物"坐在输入框旁边,对你的编码行为做出反应"
这显然是工程师的自娱之作,却也侧面反映了团队的研发文化。
Undercover Mode------隐身模式
一个名为"Undercover Mode"的子系统,会在Anthropic员工操作公共代码仓库时自动激活,强行抹除提交记录中的所有AI痕迹,且无法手动关闭。
系统提示词明确警告模型:"You are operating UNDERCOVER... Your commit messages... MUST NOT contain ANY Anthropic-internal information. Do not blow your cover."讽刺的是,这套专防内部信息泄露的系统,最终没能防住整个源码库的"裸奔"。
ULTRAPLAN与云端规划
另一种激进模式ULTRAPLAN可将复杂规划任务卸载到远程云容器中,由Opus 4.6模型用最长30分钟进行"思考",用户可通过浏览器审批结果后将其"传送"回本地终端。
3.3 内部模型路线图
泄露代码还意外曝光了Anthropic的内部模型命名和性能指标:
-
Capybara:Claude 4.6变体的内部代号
-
Fennec:映射到Opus 4.6
-
Numbat:仍在测试中的未发布模型
-
内部注释指出,Capybara v8仍面临29-30%的错误断言率,相比v4的16.7%有所倒退
四、事件影响分析
4.1 对Anthropic的冲击
知识产权流失:51.2万行核心源码的公开,等于将Claude Code的工程蓝图拱手让与竞争对手。从架构设计到具体实现、从提示词工程到性能优化细节,外界可以以极低成本"借鉴"Anthropic的核心成果。
商业竞争压力 :Claude Code是Anthropic的支柱产品之一。市场数据显示,其年化经常性收入(ARR)已达25亿美元,占Anthropic总收入的18%(2026年1月为15%),年初以来已实现翻倍增长,是OpenAI同类产品Codex的2.5倍。源码泄露后,Cursor等竞品可快速复制其核心能力,削弱Claude Code的差异化优势。
品牌形象受损:这是一周内Anthropic的第二次安全事故。3月26日,因CMS配置错误,约3000份未发布内部资产(包括Claude Mythos模型草案)被公开。连续的低级失误,暴露出这家估值3500亿美元的AI巨头在基础工程运维上的系统性薄弱。
IPO前景蒙尘:Anthropic正筹备2026年四季度的IPO,资本市场高度关注企业的流程控制能力。连续的安全事故难免让投资人对管理成熟度产生质疑。
4.2 对行业的影响
竞争格局重塑:本次泄露等于将Anthropic在Agentic AI领域的技术积累"开源"给了整个行业。竞争对手可以分析其记忆架构、权限模型、工具设计,以更少的研发预算构建"类Claude"的智能体。
安全警钟敲响:事件向整个AI行业发出警示------即使是顶尖公司,也可能在构建流程和发布管理上犯低级错误。Source Map文件应严格限制在开发环境,绝不应出现在生产发布的npm包中。
用户安全风险:源码公开后,攻击者可以更精确地研究Claude Code的权限模型和防护机制,寻找绕过安全围栏的方法。此外,泄露发生前数小时,npm生态曾遭遇axios包的供应链攻击,与本次事件形成叠加风险。
五、GitHub镜像仓库情况
5.1 主要镜像仓库
根据搜索结果,泄露代码被迅速备份至多个GitHub仓库,其中最引人注目的是用户nirholas的仓库,在其backup分支下完整保存了泄露源码。该仓库在数小时内获得数千星标,分叉数量超过5万次。
5.2 社区反应
开发者社区对本次事件的反应可谓"狂欢":
-
有人调侃:"Claude觉醒了,决定开源Claude Code。"
-
更多人则立即投入代码分析,迅速产出了关于Claude Code记忆架构、工具系统的详细解读
-
Reddit、Hacker News等平台热度飙升
一位开发者写道:"没去下载的,赶快冲!"
5.3 注意事项
需要注意的是,GitHub上公开的anthropics/claude-code仓库是Anthropic的官方项目仓库,用于问题追踪和文档发布,并非本次泄露的源码来源。本次泄露的核心源头是npm包中的.map文件。
六、关键结论
-
本质是内部流程失误:本次事件是典型的"低级错误"导致的信息泄露,而非外部黑客攻击。Anthropic在构建流水线和发布审核机制上的疏漏是根本原因。
-
代码已永久扩散:尽管Anthropic紧急删除了原始文件,但代码已在开源社区永久留存,无法撤回。
-
未影响用户数据:官方确认本次泄露未涉及任何客户数据或凭证信息,用户无需担心账户安全问题。
-
行业启示:事件凸显了AI企业开发流程规范化、发布前安全审核的重要性。随着AI产品从"模型"向"工程系统"演进,传统的DevOps最佳实践不应被忽视。
-
用户应对建议 :VentureBeat建议用户迁移至Anthropic官方推荐的原生安装方式(
curl -fsSL https://claude.ai/install.sh | bash),避免继续使用npm安装路径,以规避潜在的供应链攻击风险。