乐于分享
好东西不私藏

Claude Code源码意外“开源”:是低级失误,还是“贾维斯”提前泄露?

本文最后更新于2026-03-31,某些文章具有时效性,若有错误或已失效,请在下方留言或联系老夜

Claude Code源码意外“开源”:是低级失误,还是“贾维斯”提前泄露?

51万行代码裸奔,Anthropic的AI野心被看光了

麻瓜补习社 | 2026年3月31日


01 离奇泄露:一个60MB的文件,捅了马蜂窝

就在昨天,AI圈发生了一件堪称“年度乌龙”的大事。

Anthropic(就是开发Claude的那家公司)旗下的王牌AI编程工具——Claude Code,竟然把自家祖传的源代码给“开源”了。

别误会,这可不是什么技术极客的慷慨分享,而是一次教科书级别的低级失误。

一位来自区块链安全公司Fuzzland的实习研究员在检查npm包时发现,Anthropic在发布Claude Code的安装包时,不小心附带了一个60MB的 “source map”文件(cli.js.map)。

所谓的source map,你可以理解为压缩包的“解压密码”或“地图”。 正常情况下,发布到网上的代码为了运行快,都会打包成人类看不懂的乱码。而有了这个地图,就能一键把乱码还原成工工整整的TypeScript源码。

更离谱的是,这个文件里不仅包含路径,还直接内嵌了源码内容(sourcesContent)。这意味着,只要你下载了这个官方包,1906个源代码文件、51万行代码、40多个内置工具、甚至还没发布的新功能,全部一览无余。

截至发稿,已有大量被还原的代码被镜像到了GitHub上,迅速斩获了近15k的Star,传播速度之快,堪比病毒式营销。网友们戏称:“Anthropic这是觉得自己卖不动了,决定做慈善?”

02 不只是代码,更是“贾维斯”的蓝图

如果说泄露的代码只是让竞品抄个作业,那还不算最劲爆的。

真正让行业炸锅的,是藏在代码里的一个东西——Kairos。

在泄露的源码中,有一个明确的Feature Flag(功能开关),名字就叫 KAIROS。注释里甚至直接写着:KAIROS(assistant mode)——助手模式。

这是干什么用的?

简单来说,这才是Anthropic真正想做的“王牌”,一个7×24小时在线、像《钢铁侠》里贾维斯一样的全能助手。

根据泄露的代码逻辑,这个Kairos模式具备以下“超能力”:

  • 持续待机:
     它不再是简单的“你问一句,它答一句”。它支持定时任务(Cron)和远程控制,可以一直挂在后台。
  • 主动出击:
     它支持MCP通道通知,意味着你可以通过社交软件发消息来指挥它干活。
  • 团队协作:
     它支持GitHub Webhooks,能自动订阅代码库的变化,有新的PR(Pull Request)提交,它自动就开始审查。
  • 深度集成:
     它会强制打开“简报模式”,允许工具在执行任务中途主动向你汇报进展。

这哪里是一个编程助手?这分明就是一个操作系统级别的Agent(智能体)。

过去我们以为Claude Code只是Anthropic版的命令行工具,是帮程序员写代码的。现在看来,这完全是障眼法。Claude Code想做的,是取代你的桌面,甚至彻底取代整个Windows的操作逻辑。 Kairos,就是这块路标。

03 连锁反应之一:Anthropic的“护城河”变浅了

这次泄露,对Anthropic来说,疼在三个方面:

第一,商业上的直接损失。

数据显示,Claude Code的年化收入占Anthropic总收入的比例已经高达18%,并且还在翻倍增长。这可是Anthropic的现金牛。现在,这只现金牛的“养殖手册”被公开了。虽然竞争对手抄不走他们的模型权重,但完全可以照搬这套极其成熟的Agent架构,然后换上自己的模型,直接推出竞品。

第二,上市路上的“黑天鹅”。

Anthropic正在紧锣密鼓地筹备IPO(首次公开募股)上市。资本市场最看重什么?流程控制能力和安全性。

你一个主推企业级产品的公司,竟然连发布包里有这么大一个Source Map都没发现?这种事情发生在强调“可靠、安全”的AI公司身上,简直就像一个银行金库的门卫,把金库钥匙插在门上忘了拔。

第三,也是最伤的,形象的崩塌。

企业客户会怎么想?你连包管理这种最基础的卫生工作都做不好,那我们怎么敢把核心代码交给你?内部流程的混乱感一旦建立,信任修复起来就没那么容易了。

04 连锁反应之二:安全黑洞,供应链攻击已成现实

有人可能会问:“不就是代码泄露吗?用户又没啥损失。”

错!

这次事件只是一个导火索。事实上,早在今年2月,安全公司Check Point就披露了Claude Code存在的几个高危漏洞。结合这次源码泄露,这些漏洞变成了随时可能引爆的炸弹。

主要有三类致命威胁:

  1. **恶意Hook(钩子)**:Claude Code允许项目配置文件里设定“钩子”,在特定时机自动执行命令。攻击者可以把恶意命令写进这个文件,只要你一打开这个项目(比如从GitHub上Clone下来),恶意代码就会在你电脑上自动运行,连确认弹窗都没有。
  2. MCP(模型上下文协议)劫持:
    更阴险的是,通过配置文件,攻击者可以覆盖掉Claude的安全设置,强制批准所有外部连接,从而绕过你的防火墙。
  3. API密钥窃取
    :这是最要命的。攻击者可以把你的API请求重定向到他的服务器。你电脑里存着的Anthropic API Key,会像快递一样被自动转发给黑客。偷走这一个Key,攻击者就能访问你整个团队在云端的所有代码和文件,甚至还能远程操控AI模型执行非法操作。

也就是说,如果你是个开发者,随便从网上找个开源项目跑一下,可能电脑就已经被“开后门”了。

05 麻瓜补习社的思考:我们迎来了“零信任”时代

这次Claude Code的源码泄露,表面上看是发布流程的乌龙,实际上却撕开了AI时代安全问题的冰山一角。

以前,配置文件只是“配置”,是安静的文档;现在,在AI编程助手的加持下,配置文件变成了可执行的逻辑,变成了攻击者的跳板。

以前,我们依赖“信任”,看到GitHub上星星多的项目就觉得安全;现在,一个恶意PR(Pull Request,代码合并请求)就可能携带毁灭性的配置。

在这个AI即运行时的时代,每一个开发者的电脑,都可能成为黑客进攻企业核心资产的桥头堡。

Anthropic这次的失误,不仅把自己的底牌亮给了对手,也给整个行业敲响了警钟:

不能再以传统的安全思维来看待AI工具了。

我们或许正在进入一个“Bot-on-Bot”(机器人对机器人)的新战场。防御方需要用AI来监测AI的行为,用游戏理论来设陷阱,默认一切皆不可信。

至于Anthropic,现在大概正在紧急做三件事:一是全网下架那个带Map的包;二是连夜改代码换密钥;三是祈祷资本市场的记忆只有七秒。

但作为麻瓜补习社的读者,我们只需要记住一件事:

如果你在用Claude Code,赶紧升级到最新版!别随便克隆来路不明的代码仓库!你的API Key,比你银行卡密码还值钱!


参考资料:

  1. BlockBeats. (2026). Claude Code npm包泄露源映射文件.
  2. 36Kr. (2026). Claude Code源码泄露,下一个王牌提前曝光.
  3. Security Affairs. (2026). 不可信仓库将Claude Code转化为攻击向量.
  4. 金十数据. (2026). Claude Code完整源代码疑似因npm配置失误遭泄露.
  5. Check Point Research. (2026). Claude Code漏洞报告.