Claude Code 源码再次泄露:最懂安全的AI公司,再次被安全绊了-夜雨聆风

Claude Code 源码再次泄露:最懂安全的AI公司,再次被安全绊了

Anthropic——就是那个做 Claude 的公司，那个天天教育大家”AI 要安全”的公司，又双叒叕泄露源码了。

上一次是 2024 年 11 月，这次是 2026 年 3 月 31 日。间隔一年多，犯错的原因一模一样——npm 包打包的时候，忘了清理 source map 文件。

这件事不仅炸翻了技术圈，各路媒体也是一片哗然。Fortune 直接定性为”第二次重大安全泄露”（second major security breach），Rollingout 用了”灾难性”来形容这波 51.2 万行代码的泄露，Decrypt 说得更绝：互联网已经保存了这些代码，意味着它可能永远存在于网络中。

一家主打”安全”的 AI 公司，自己家后院着火两次，确实有点魔幻现实主义那味儿了。

50万行代码，到底是啥概念？

先说规模：Axios 说 50 万行，Rollingout 说 51.2 万行。不管哪个数字，这意味着：

一个完整的 CLI 工具的全部源码
1884 个 TypeScript/TSX 文件
从架构设计到具体实现，全部曝光

eWeek 说得好：这相当于给全世界的 AI 编码代理提供了一份”官方蓝图纸”。 你不是想做个 Claude Code 竞品吗？来，源码拿走，不客气。

Cryptonews 更是补刀：泄露的代码里还包含了未发布的模型信息和自主代理工具的完整架构。

从源码看 Claude Code 和 OpenClaw 的对比

以前都是从外部来分析 OpenClaw 和 Claude Code 的差别，现在有机会从代码层面来分析两者的差异了。经过分析泄漏出来的源代码，我总结了它和 OpenClaw 的系统架构设计的差异。

一、核心定位差异

维度	Claude Code	OpenClaw
产品定位	单人 AI 编程助手	多通道消息网关
官方定义	CLI AI 编程助手	自托管的多通道消息网关
目标用户	软件工程师、DevOps	企业用户、开发者
技术栈	TypeScript + React/Ink	TypeScript/Node.js

Claude Code 的设计目标非常明确：让程序员在终端里高效写代码。它有 42 个内置工具、完善的类型安全、Zod 输入校验——所有设计都围绕”写代码”这个场景。

OpenClaw 的设计目标则是：连接消息应用与 AI Agent，让 AI 能融入人类已有的数字生活。它关注的是连接——连接不同的消息通道、连接不同的 Agent。

二、核心组件对比

Claude Code 的八大核心组件（根据泄露源码分析）：

组件	功能
CLI 入口层	Commander.js 参数解析、launchRepl()
UI 渲染层	React + Ink 声明式终端 UI
核心引擎层	async function* query() 异步生成器
工具执行层	42 工具 + 并发控制 + 权限检查
Agent 协调层	AgentTool → Coordinator → Team/Swarm
安全与权限层	权限模式、规则匹配、分类器、沙盒
服务层	API、MCP、OAuth、Analytics、Compact、Memory
Bridge/Remote 层	WebSocket、SSE、CCR

OpenClaw 的五大核心组件（根据源码分析）：

组件	代码位置	功能
Gateway	`src/gateway/`	网关核心，管理连接和消息路由
Agent	`src/agents/`	AI 代理管理，ACP 协议实现
Session	`src/sessions/`	会话生命周期管理、上下文维护
Memory	`src/memory/`	长期记忆存储、语义搜索
Channels	`src/channels/` 等	多通道消息接入、协议适配

注意：OpenClaw 的 Skills 是扩展机制（位于 extensions/*/skills/），不是核心组件。OpenClaw 原生支持 WhatsApp、Telegram、Discord、iMessage、Signal、Slack 等主流消息通道，还可以通过扩展支持更多平台。

三、数据流转对比

Claude Code 数据流：

用户输入 → CLI 入口 → query() 异步生成器 → API 流式调用 → 工具执行 → 结果返回

OpenClaw 数据流：

消息应用 → Gateway → Agent (通过 ACP 协议) → 工具调用 → 结果 → Gateway → 消息应用

四、关键特性对比

特性	Claude Code	OpenClaw
内置工具	42 个（文件、shell、git、LSP、Web 等）	无内置工具，通过 ACP 协议提供给 Agent
多 Agent 模式	Team/Swarm（tmux/iTerm/in-process）	Multi-Agent 支持
安全模型	应用级权限请求 + 沙盒 + 四层检查	Hooks + /approve 审批机制
任务调度	Cron 触发器 + 定时任务	定时任务 + 工作流自动化
远程控制	Dispatch（手机短信控制桌面）	跨平台消息通道集成
状态管理	Zustand 风格 Store + 选择性订阅	轻量级状态管理
扩展协议	MCP (Model Context Protocol)	ACP (Agent Communication Protocol)
记忆系统	Agent Memory (user/project/local 三级)	Memory 模块 + semantic search

看下来，Claude Code 像是一个垂直的编程工具，所有设计都围绕”帮程序员写代码”这个场景。而 OpenClaw 更像一个横向的连接平台，让 AI 能通过各种你习惯的消息应用跟你对话。

吃瓜归吃瓜，还收获一些思考

笑归笑，但这次泄露确实让咱们收获了一些思考：

1. 开源 vs 闭源的博弈

Claude Code 泄露后，全世界都看到了它的全貌——一个原本主打”帮你写代码”的工具，实际上是个终端级的 AI 操作系统，野心比外界想象的要大得多。

但这也暴露了一个问题：闭源公司的源码泄露，和开源社区的代码公开，完全是两回事。

Anthropic 被迫”开源”了一次，但没人领情，反而被嘲笑安全做得烂。

对比 OpenClaw，从一开始就是开源的——代码摆在那里，安全靠社区共建，没那么多破事。

2. AI Agent 的两个流派

从 Claude Code 的源码可以清楚看到，它走的是**”单点强化”路线**——让一个 AI 变得更聪明、更能干活。

OpenClaw 走的是**”连接一切”路线**——让 AI 能通过各种渠道触达用户，让多个 AI 协同工作。

哪种路线更代表未来？不好说。但有一点是确定的：未来的 AI Agent，不会是单兵作战。

3. 安全这件事，真不能信AI

一家以”安全”著称的AI公司，连 npm 包发布前检查一下有没有泄露调试文件这种基本操作都能漏两次，不能不怀疑他们已经将这种安全审核工作已经深度依赖AI了。

这说明什么？人，才是安全的最后一道锁。

写在最后

说到底，这次事件给我们最大的启示是：AI 再火，也只是个工具。工具智能的时代，要么你驾驭工具，要么被工具驾驭。

如果你对这类技术话题感兴趣，想了解更多关于 AI Agent 的实际应用，欢迎关注我们，一起探讨。

你觉得呢？

“工具智能”时代，想不被AI坑，就得先学好AI、用好AI，自己掌好方向盘。

做AI的“驾驶员”，不当AI的“乘客”