Claude Code 51 万行源码全网裸奔:Anthropic 上演史诗级＂被动开源＂

3 月 31 日下午，AI 圈炸了。

Anthropic 旗下的 Claude Code——那个号称地表最强的 AI 编程 Agent——因为一个低级到离谱的配置失误，把 51.2 万行完整 TypeScript 源码直接甩在了公网上。

不是黑客攻击。不是内部泄密。是 Anthropic 自己在发布 npm 包的时候，把一个 59.8MB 的 .map 文件塞了进去。

Source Map，本来是给开发者调试用的”还原地图”。Anthropic 把它打包进了生产环境，相当于把自家大门钥匙直接扔在了大街上。

事发 5 小时：从发现到”永生”

时间线很刺激：

14:00，Anthropic 在 npm 发布 @anthropic-ai/claude-code v2.1.88。

16:30，安全研究员 Chaofan Shou（Solayer 实习生）检查 npm 包时，发现多了一个 cli.js.map 文件。

17:00，通过 Source Map，他直接还原出 1900+ 个源文件、51.2 万行未混淆的完整 TypeScript 代码，并在 X 平台曝光。

18:00，源码被归档到 GitHub，首个仓库 1 小时内收获 1.1 万 Star。

19:00，Anthropic 紧急下架问题版本、推送修复，但为时已晚——源码已被无数次备份，彻底”永生”。

更讽刺的是，这不是第一次。 2025 年 2 月 Claude Code 刚上线时，就因为同样原因泄露过一次。当时紧急修复，结果一年后犯了一模一样的错。

泄露了什么？不只是代码，是产品路线图

这次泄露的不是边角料，是 Claude Code 的完整生产级实现。

核心架构全曝光： 完整的 AI Agent Harness 设计——REPL 循环、QueryEngine（4.6 万行）、工具注册、权限系统、多层状态管理。之前大家对 Harness 的理解还停留在概念阶段，这次直接给了可运行的工业级代码。

未发布功能提前剧透：

• • KAIROS：自主守护模式。后台持续运行、自我记忆整合、cron 定时刷新，让 Claude Code 变成 24×7 在线的自主助手。
• • PROACTIVE：主动模式。AI 能主动监控项目、提出建议、提前处理任务。
• • VOICE_MODE：语音交互。
• • BUDDY 系统：一个电子宠物系统，18 种物种（鸭子、猫、龙、卡皮巴拉……），有稀有度、闪光变体、RPG 属性。这大概是今年愚人节彩蛋。

内部安全机制也藏不住了：

• • 反蒸馏（Anti-Distillation）：向 API 请求中注入假工具定义，污染那些试图通过录屏 API 流量来训练竞品模型的人的数据。
• • Undercover 模式：在外部仓库中，AI 被指令绝不允许提及内部代号（如 “Capybara”、”Tengu”）、内部 Slack 频道，甚至不能说 “Claude Code” 这个词。代码注释写着：”没有强制关闭开关。这是为了防止模型代号泄露。”
• • 原生客户端认证：通过 Bun 的 Zig 层 HTTP 栈，在 JavaScript 运行时之下计算哈希值，密码学证明请求来自真正的 Claude Code 二进制文件。这就是 Anthropic 之前对 OpenCode 发律师函的技术底气。

从前端交互到核心 Agent 调度，从权限控制到未来半年产品路线图，全摊开了。

一个 .map 文件，为什么能造成”核泄漏”？

根本原因简单到可笑：

Anthropic 用 Bun 打包时，默认开启了 Source Map 生成，且忘了把  加入 。

而更深层的问题是：Anthropic 去年收购了 Bun，Claude Code 就构建在 Bun 之上。而 Bun 自身就有一个未修复的 bug（issue #28001，3 月 11 日提交）——报告称 Source Map 在生产模式下仍然会被包含。

Anthropic 自己的工具链出了一个已知 bug，然后这个 bug 暴露了 Anthropic 自己的产品源码。

有开发者在 Twitter 上评论：”把 source map 发布到 npm 这种事，听起来不可能——直到你意识到，相当一部分代码库可能就是你正在发布的那个 AI 写的。”

Harness：这次泄露为什么让全行业兴奋？

最近 AI 圈疯传的 Harness Engineering，本质是 AI Agent 的”操作系统”——负责把大模型、工具、记忆、权限、任务流整合起来，让 AI 能真正”自主干活”，而不是只会聊天。

OpenAI 的工程师们最近就在悄悄推崇 Harness Engineering 为”AI 编程的终极杀器”。但之前大家对 Harness 的理解基本停留在概念和 PPT 阶段。

Claude Code 的泄露，直接给了全球开发者一套最成熟、最完整的生产级 Harness 实现。

这就是为什么泄露消息一出，GitHub 仓库几小时内冲上 2 万 Star。这不是一份代码，这是一套现成的 AI 编程 Agent 操作系统。

对正在自研编码 Agent 的国内大厂来说，这更是史诗级的”抄作业”机会——之前最大的难点就是 Harness 设计、Agent 调度、工具调用、权限控制这些核心架构，现在可以直接参考，研发周期可能缩短 6 到 12 个月。

Anthropic 的”双重打击”

就在源码泄露的 10 天前，Anthropic 刚给 OpenCode 发了律师函，要求移除内置的 Claude 认证功能——因为第三方工具在用 Claude Code 的内部 API，以订阅价格获取 Opus 模型，而不是按 token 付费。

现在好了，律师函刚发出去，源码就泄露了。 反蒸馏机制、原生客户端认证、Undercover 模式——所有用来防止第三方”偷家”的技术手段，全部公开了。

更尴尬的是，这是 Anthropic 一周内的第二次安全事故。几天前，Claude 的模型规范（model spec）也刚刚泄露过一轮。

一些开发者开始在 Twitter 上猜测：是不是内部有人故意为之？

大概率不是。但无论是不是故意的，结果是一样的：Anthropic 的技术黑盒，被自己打开了。

回到本质问题

Claude Code 的源码泄露，是 AI 行业历史上最离谱的工程安全事故之一。

但它暴露的远不止是一个配置错误。

它暴露的是整个 AI 行业在狂奔过程中的粗放和仓促。 当一家公司用 AI 写 AI 的代码、用有 bug 的工具链构建自己的产品、在一年之内犯两次同样的低级错误——这说明速度已经压倒了纪律。

Anthropic 一直标榜自己是”安全第一”的 AI 公司。Dario Amodei 离开 OpenAI 创业时，就把 AI 安全写进了公司使命。

结果呢？最大的安全漏洞，来自一个忘了写进  的 。

安全不是写在使命里的，安全是写在配置文件里的。

你觉得这次泄露对 Anthropic 的打击有多大？Claude Code 的竞品们会因此加速赶超吗？来评论区聊聊。