Claude Code源码意外“开源”:是低级失误,还是“贾维斯”提前泄露?
51万行代码裸奔,Anthropic的AI野心被看光了
麻瓜补习社 | 2026年3月31日
01 离奇泄露:一个60MB的文件,捅了马蜂窝
就在昨天,AI圈发生了一件堪称“年度乌龙”的大事。
Anthropic(就是开发Claude的那家公司)旗下的王牌AI编程工具——Claude Code,竟然把自家祖传的源代码给“开源”了。
别误会,这可不是什么技术极客的慷慨分享,而是一次教科书级别的低级失误。
一位来自区块链安全公司Fuzzland的实习研究员在检查npm包时发现,Anthropic在发布Claude Code的安装包时,不小心附带了一个60MB的 “source map”文件(cli.js.map)。
所谓的source map,你可以理解为压缩包的“解压密码”或“地图”。 正常情况下,发布到网上的代码为了运行快,都会打包成人类看不懂的乱码。而有了这个地图,就能一键把乱码还原成工工整整的TypeScript源码。
更离谱的是,这个文件里不仅包含路径,还直接内嵌了源码内容(sourcesContent)。这意味着,只要你下载了这个官方包,1906个源代码文件、51万行代码、40多个内置工具、甚至还没发布的新功能,全部一览无余。
截至发稿,已有大量被还原的代码被镜像到了GitHub上,迅速斩获了近15k的Star,传播速度之快,堪比病毒式营销。网友们戏称:“Anthropic这是觉得自己卖不动了,决定做慈善?”
02 不只是代码,更是“贾维斯”的蓝图
如果说泄露的代码只是让竞品抄个作业,那还不算最劲爆的。
真正让行业炸锅的,是藏在代码里的一个东西——Kairos。
在泄露的源码中,有一个明确的Feature Flag(功能开关),名字就叫 KAIROS。注释里甚至直接写着:KAIROS(assistant mode)——助手模式。
这是干什么用的?
简单来说,这才是Anthropic真正想做的“王牌”,一个7×24小时在线、像《钢铁侠》里贾维斯一样的全能助手。
根据泄露的代码逻辑,这个Kairos模式具备以下“超能力”:
- 持续待机:
它不再是简单的“你问一句,它答一句”。它支持定时任务(Cron)和远程控制,可以一直挂在后台。 - 主动出击:
它支持MCP通道通知,意味着你可以通过社交软件发消息来指挥它干活。 - 团队协作:
它支持GitHub Webhooks,能自动订阅代码库的变化,有新的PR(Pull Request)提交,它自动就开始审查。 - 深度集成:
它会强制打开“简报模式”,允许工具在执行任务中途主动向你汇报进展。
这哪里是一个编程助手?这分明就是一个操作系统级别的Agent(智能体)。
过去我们以为Claude Code只是Anthropic版的命令行工具,是帮程序员写代码的。现在看来,这完全是障眼法。Claude Code想做的,是取代你的桌面,甚至彻底取代整个Windows的操作逻辑。 Kairos,就是这块路标。
03 连锁反应之一:Anthropic的“护城河”变浅了
这次泄露,对Anthropic来说,疼在三个方面:
第一,商业上的直接损失。
数据显示,Claude Code的年化收入占Anthropic总收入的比例已经高达18%,并且还在翻倍增长。这可是Anthropic的现金牛。现在,这只现金牛的“养殖手册”被公开了。虽然竞争对手抄不走他们的模型权重,但完全可以照搬这套极其成熟的Agent架构,然后换上自己的模型,直接推出竞品。
第二,上市路上的“黑天鹅”。
Anthropic正在紧锣密鼓地筹备IPO(首次公开募股)上市。资本市场最看重什么?流程控制能力和安全性。
你一个主推企业级产品的公司,竟然连发布包里有这么大一个Source Map都没发现?这种事情发生在强调“可靠、安全”的AI公司身上,简直就像一个银行金库的门卫,把金库钥匙插在门上忘了拔。
第三,也是最伤的,形象的崩塌。
企业客户会怎么想?你连包管理这种最基础的卫生工作都做不好,那我们怎么敢把核心代码交给你?内部流程的混乱感一旦建立,信任修复起来就没那么容易了。
04 连锁反应之二:安全黑洞,供应链攻击已成现实
有人可能会问:“不就是代码泄露吗?用户又没啥损失。”
错!
这次事件只是一个导火索。事实上,早在今年2月,安全公司Check Point就披露了Claude Code存在的几个高危漏洞。结合这次源码泄露,这些漏洞变成了随时可能引爆的炸弹。
主要有三类致命威胁:
-
**恶意Hook(钩子)**:Claude Code允许项目配置文件里设定“钩子”,在特定时机自动执行命令。攻击者可以把恶意命令写进这个文件,只要你一打开这个项目(比如从GitHub上Clone下来),恶意代码就会在你电脑上自动运行,连确认弹窗都没有。 - MCP(模型上下文协议)劫持:
更阴险的是,通过配置文件,攻击者可以覆盖掉Claude的安全设置,强制批准所有外部连接,从而绕过你的防火墙。 - API密钥窃取
:这是最要命的。攻击者可以把你的API请求重定向到他的服务器。你电脑里存着的Anthropic API Key,会像快递一样被自动转发给黑客。偷走这一个Key,攻击者就能访问你整个团队在云端的所有代码和文件,甚至还能远程操控AI模型执行非法操作。
也就是说,如果你是个开发者,随便从网上找个开源项目跑一下,可能电脑就已经被“开后门”了。
05 麻瓜补习社的思考:我们迎来了“零信任”时代
这次Claude Code的源码泄露,表面上看是发布流程的乌龙,实际上却撕开了AI时代安全问题的冰山一角。
以前,配置文件只是“配置”,是安静的文档;现在,在AI编程助手的加持下,配置文件变成了可执行的逻辑,变成了攻击者的跳板。
以前,我们依赖“信任”,看到GitHub上星星多的项目就觉得安全;现在,一个恶意PR(Pull Request,代码合并请求)就可能携带毁灭性的配置。
在这个AI即运行时的时代,每一个开发者的电脑,都可能成为黑客进攻企业核心资产的桥头堡。
Anthropic这次的失误,不仅把自己的底牌亮给了对手,也给整个行业敲响了警钟:
不能再以传统的安全思维来看待AI工具了。
我们或许正在进入一个“Bot-on-Bot”(机器人对机器人)的新战场。防御方需要用AI来监测AI的行为,用游戏理论来设陷阱,默认一切皆不可信。
至于Anthropic,现在大概正在紧急做三件事:一是全网下架那个带Map的包;二是连夜改代码换密钥;三是祈祷资本市场的记忆只有七秒。
但作为麻瓜补习社的读者,我们只需要记住一件事:
如果你在用Claude Code,赶紧升级到最新版!别随便克隆来路不明的代码仓库!你的API Key,比你银行卡密码还值钱!
参考资料:
-
BlockBeats. (2026). Claude Code npm包泄露源映射文件. -
36Kr. (2026). Claude Code源码泄露,下一个王牌提前曝光. -
Security Affairs. (2026). 不可信仓库将Claude Code转化为攻击向量. -
金十数据. (2026). Claude Code完整源代码疑似因npm配置失误遭泄露. -
Check Point Research. (2026). Claude Code漏洞报告.
夜雨聆风