Claude Code 源码又泄露了

 

   
   
     奇点社科 SSH
     MAR 31, 2026
   
 

今天（2026 年 3 月 31 日），有人在 X 上发帖：Claude Code 的完整源码又一次泄露了，2300 多个文件，打包好的 zip 直接挂在网上，任何人都能下载。

之所以说「又」，是因为这已经是第二次了。

第一次发生在 2025 年 2 月 24 日——Claude Code 正式发布的当天。

发布当天就泄了

@anthropic-ai/claude-code，npm registry 页面。每周下载量超过 1000 万次。

Claude Code 是 Anthropic 的旗舰 AI 编程工具，运行在你的终端里，可以读文件、写代码、执行命令。它通过 npm 发布，全球开发者 npm install 就能安装。

发布当天，有开发者下载安装后发现：这个包里附带了一个 source map 文件，而且这个 source map 里内嵌了完整的 TypeScript 原始源码。

用大白话说：Anthropic 本想发一个「压缩混淆过、看不懂」的程序包，但打包的时候漏了一步配置，把「原始代码对照表」也一起打包发出去了。任何安装了这个包的人，都能用现成工具一键还原出接近原始状态的 TypeScript 源文件。

Anthropic 几小时内推了新版本修复，还从 npm 删掉了旧版本，据说甚至清除了本地 npm 缓存里的对应文件。但为时已晚——源码已经被多人保存，陆续出现在 GitHub 上。

泄出去的是什么

被还原的源码让外界第一次看清楚 Claude Code 到底是怎么运作的。

系统提示词。Claude Code 向 AI 模型发送的完整”行为指令”被完整暴露——这些内容决定了 Claude Code 会做什么、不会做什么、碰到哪些情况怎么处理，是整个产品最核心的知识产权之一。

安全沙箱机制。源码揭示了 Claude Code 如何限制文件访问权限、如何过滤危险命令。安全研究员随后基于这些信息发现了多个真实漏洞，包括一个可以让恶意代码库在用户授权前就窃取 Anthropic API 密钥的漏洞，以及沙箱逃逸、符号链接绕过等攻击路径。

内部架构。Claude Code 如何与 AI 模型通信、如何支持 AWS 和 Google Cloud 后端、MCP（模型上下文协议）的完整实现——全部可见。

彩蛋。比如等待动画用的字符序列 [‘·’, ‘✢’, ‘✳’, ‘∗’, ‘✻’, ‘✽’]，以及处理任务时随机显示的状态词（「Clauding」「Finagling」「Cerebrating」……），还有一个能给用户寄实体贴纸的内部工具——有人真的因此收到了 Anthropic 的贴纸。

一年后，再来一次

第一次泄露之后，Anthropic 在后续版本中大幅加强了代码混淆，逆向难度明显提升。外界以为这件事告一段落了。

然后是今天，2026 年 3 月 31 日。

X 用户 @Fried_rice（Chaofan Shou，UC Berkeley 计算机科学博士，加密初创公司 Solayer 联合创始人）发帖称：npm 包里又出现了独立的 cli.js.map 文件，体积 57MB，解压后的 src/ 目录包含 2300 多个文件，涵盖 main.tsx、任务调度器、成本追踪器、查询引擎等核心模块。他的推文附上了下载链接和终端截图，迅速获得超过 1000 次点赞和 13 万次浏览。

两次泄露的原因一样：构建配置里没有关掉 source map，也没有设置发布时忽略 .map 文件。不是被黑了，不是内部人员泄密——就是打包的时候漏了一步。

Anthropic 动用了 DMCA

dnakov/anon-kode：基于泄露源码的 Claude Code fork，已因 DMCA 版权申请被下架。

第二次泄露后，Anthropic 开始向 GitHub 发 DMCA 版权移除请求。dnakov 建立的 anon-kode——一个直接基于泄露源码的 Claude Code fork，目标是复刻功能让更多人用——已被下架，显示「Repository unavailable due to DMCA takedown」。

第一次泄露时 Anthropic 没有动用法律手段，这次动了。说明对直接 fork 商业化使用的容忍已到底线。

但社区的备份早就散出去了。有人用 Claude Code 自己来反编译自己的代码（不是开玩笑），有人把 20 万行格式化后的源码挂在公开 Gist 上，还有人已经在并行跑 5 个 AI 子代理分析代码结构。

事情的本质

这件事没有造成用户数据泄露——泄的是产品逻辑，不是你的文件或 API 密钥。但它揭示了一个更根本的矛盾：

Claude Code 要求你给它本地终端的高权限，读你的文件，执行你的命令。但在此之前，你对它内部在做什么其实一无所知。开源工具（比如 Aider）不存在这个问题，因为代码本来就是公开的。

Anthropic 选择闭源，通过 npm 分发，然后把包交给了全世界最擅长拆包的 JavaScript 开发者群体。

真正意外的不是泄露发生了，而是它发生了两次，间隔一年多，原因完全相同。