Claude Code 51 万行源码泄露:Anthropic 藏了一个不需要你说话的 AI

3 月 31 日凌晨 4 点 23 分（美东时间），一个叫 Chaofan Shou 的安全研究员在 X 上发了一条推。

他发现 npm 上 Claude Code 的最新安装包里，躺着一个 59.8 MB 的 .map 文件。对，就是那个 JavaScript 打包时生成的 source map——一个把压缩代码还原成原始源码的”解码环”。

有人忘了在发布配置里把它删掉。

于是，Anthropic 最赚钱产品的完整源码——512,000 行 TypeScript，每一个工具、每一个内部代号、每一条系统提示词——就这么挂在公共仓库上，任何人 npm install 一下就能看到。

几个小时之内，GitHub 上的备份仓库星标突破 56,000，刷新了开源项目的增长速度纪录。Hacker News 上讨论帖拿到了 1,863 分、913 条评论。知乎热榜第一，1,287 万热度。

01 泄露的不只是代码，是一整张产品路线图

先说泄露是怎么发生的。

Claude Code 用的是 Anthropic 去年收购的 Bun 作为构建工具。Bun 默认生成 source map，而有人——大概率是 Claude 自己——在打包发布版本时，忘了加一行 .npmignore 排除掉 .map 文件。

一个配置文件的疏忽，相当于把整栋大楼的建筑图纸钉在了大门口的公告栏上。

泄露出来的内容有多详细？

• • 40+ 个 Agent 工具，从 BashTool、FileReadTool 到用于生成子 Agent 的 AgentTool
• • 85 条斜杠命令，覆盖 Git 工作流、代码审查、记忆管理、多 Agent 协调
• • 44 个隐藏的功能开关（feature flag），每一个都是一个未发布的产品功能
• • 所有系统提示词，包括 Claude 怎么理解用户意图、怎么处理记忆、怎么在不同模式间切换

Anthropic 官方很快发了声明：这是”发布打包问题导致的人为错误”，不涉及客户数据和凭证泄露。

说得没错。但问题不在于数据泄露——在于路线图泄露。

这已经不是 Anthropic 五天内第一次”意外曝光”了。3 月 26 日，另一个 CMS 配置错误暴露了近 3,000 份内部文档，其中包括一个叫「Claude Mythos」的新模型计划。

两次泄露出自两个不同团队、两套不同系统、两个不同的配置失误。

对于一个以「安全」为核心品牌的公司来说，这个星期不太好过。尤其考虑到他们正在瞄准今年 10 月 IPO，目标估值 3,800 亿美元。

但在安全圈的吃瓜热闹之外，开发者们开始逐行阅读源码。然后他们发现了一件比泄露本身重要得多的事。

源码里有一个名字出现了超过 150 次。

KAIROS。

02 从”对讲机”到”值班员”：AI 的下一个形态

Kairos 是古希腊语，意思是”恰当的时机”。在源码里，它是一个完整子系统的代号。

理解 KAIROS 之前，先想想你现在怎么用 AI 的。

你打开 ChatGPT 或者 Claude，输入一段话，它给你回复。你不说话，它就不动。你关掉浏览器，它就消失了。

这像什么？像对讲机。 按一下说一句，松开就沉默。

KAIROS 要做的，是把 AI 从对讲机变成值班员——一个你不在的时候也在盯着看、在想、在处理事情的角色。

具体来说，KAIROS 是一个”始终在线”的后台 Agent 模式。当你开着 Claude Code 但没有输入时，它不是在傻等着。它在做三件事：

第一，观察。 它维护每日追加日志（append-only daily log），记录你的项目里发生了什么变化、哪些文件被修改了、哪些问题被提到了但没解决。

第二，判断。 每隔一段时间，系统会给它发一个 <tick> 提示——相当于轻轻拍它一下问”有没有什么需要你做的？”。它可以选择主动行动，也可以选择保持安静。

第三，行动。 它有几个普通模式没有的专属工具：SendUserFile（直接推送文件给你）、PushNotification（给你的设备发通知）、SubscribePR（订阅并监控 Pull Request 的动态）。

而且它有一个15 秒阻塞预算——任何会让你的工作流停顿超过 15 秒的操作都会被推迟。

换句话说，它在帮你做事，但不会碍你的事。

但这还不是最让人意外的部分。

KAIROS 背后有一个配套系统叫 autoDream。没错，字面意思——Claude 在”做梦”。

autoDream 是一个后台记忆整理引擎，以独立子进程的方式运行。它不是随便就启动的，必须同时通过三道关卡：

• • 距离上次”做梦”已过 24 小时
• • 期间至少经历了 5 个工作会话
• • 成功获取到排他锁（防止多个梦同时跑）

三关全过之后，它按四个阶段工作：

1. 1. 定位——扫一眼记忆目录，看看现在有什么
2. 2. 采集——从日志、漂移的记忆、历史对话中找出值得记住的新信息
3. 3. 整合——把模糊的观察变成确定的事实，删掉被推翻的旧信息
4. 4. 修剪——保持核心索引在 200 行、25KB 以内

源码里的提示词写得很直白：

“你正在执行一个’梦’——一次对你记忆文件的反思。将最近的所学合成为持久、组织良好的记忆。”

你下班了，Claude 还在。它翻看你今天的对话记录，整理出哪些 bug 已经解决了、哪些还在、项目架构有什么变化。等你第二天打开终端，它的上下文已经被清理过、被组织好——就像一个提前到办公室帮你整理好桌面的同事。

这是 Anthropic 对”上下文窗口耗尽”和”AI 忘事”这两个痛点给出的答案。

而且它已经写好了。 不是 PPT，不是规划文档，是实际代码——藏在一个编译开关后面，等着被激活。

除了 KAIROS，源码里还翻出了几个同样重量级的隐藏功能：

ULTRAPLAN——把复杂的规划任务交给远程云容器，运行 Opus 4.6 模型，给它最多 30 分钟独立思考，然后你在浏览器里审批结果。

Coordinator Mode——一个 Claude 指挥多个 Worker Agent 并行协作的系统。研究、综合、实现、验证四个阶段分工执行，还有共享草稿板供跨 Agent 信息同步。

Undercover Mode——Anthropic 员工用 Claude Code 在公共开源项目里提交代码时，系统会自动注入指令，要求 Claude 不得在 commit 里暴露任何 Anthropic 内部信息，包括模型代号、内部仓库名、甚至不能提自己是 AI。

最后一个尤其微妙。它证实了一件事：Anthropic 的员工已经在用 AI 参与开源项目贡献，而且刻意隐藏了 AI 的痕迹。

Claude Code 单独一年的经常性收入（ARR）已经达到 25 亿美元，其中企业客户贡献了 80%。Anthropic 整体年化收入跑到 190 亿美元。这不是一个在做玩具的公司——而它的产品路线图刚刚被全网免费阅读了。

03 你不需要会写代码，但你需要知道 AI 正在变成什么

你可能不用 Claude Code。你甚至可能不写代码。但这次泄露暴露的方向，跟你有关。

因为它指向的不是一个编程工具的升级——而是 AI 从”被动响应”到”主动行动”的范式转移。

过去两年，所有 AI 产品都是同一个模式：你说一句，它回一句。你不说话，它就待在那里。它的全部价值取决于你能不能问出好问题。

KAIROS 打破了这个前提。它意味着 AI 可以自己观察、自己判断、自己行动——在你没有发出任何指令的时候。

这听起来有点科幻，但其实已经有类似的先例。你的手机会根据使用习惯提前加载 App；你的邮箱会自动分类重要邮件；你的日历会根据邮件内容自动创建事件。只是这些系统是规则驱动的，而 KAIROS 是由大模型驱动的——能力上限完全不同。

对普通用户来说，这个方向意味着几件事：

第一，AI 的使用门槛会大幅降低。 不需要学会写 prompt，不需要知道怎么”跟 AI 对话”。AI 会自己找到需要做的事。你从”向 AI 提问”变成了”审阅 AI 的工作”。

第二，AI 的消耗会从”按次”变成”按存在”。 现在你用 AI 是按 token 付费，用多少算多少。但如果 AI 在后台持续运行，24 小时不间断地观察、思考、整理——算力消耗会是什么量级？谁来为此付费？商业模式怎么变？

第三，信任问题会变得复杂得多。 一个你让它自己跑的 AI，你能信任它到什么程度？源码里暴露了一个细节：Anthropic 内部的 Capybara 模型（Claude 4.6 的开发代号）v8 版本的错误陈述率是 29-30%——比 v4 的 16.7% 还高。一个连自己内部模型都不完全信任的公司，正在构建一个可以自主行动的系统。

当然，KAIROS 还没上线。它是源码里的隐藏功能，藏在编译开关后面。Anthropic 可能永远不会以这个名字发布它，也可能会改掉很多细节。

但方向已经清楚了。源码泄露只是加速了所有人看到这张牌的时间。

我关注的不是 Anthropic 这次的安全事故有多尴尬。

我关注的是，当一个以安全著称的 AI 公司在秘密构建一个”永远在线、自主行动”的系统时，他们自己准备好了吗？

源码里有一个彩蛋。Claude Code 内置了一个叫”Buddy”的电子宠物系统——18 个物种，有稀有度，有闪光变异体，有程序生成的性格描述。它本计划在 4 月 1 日到 7 日之间作为彩蛋上线，5 月正式发布。

一个能自己做梦的 AI，里面还藏着一个电子宠物。

Anthropic 不只是在做一个编程助手。它在造一个住在你终端里的数字生物——它看你工作，帮你整理记忆，趁你不在的时候”做梦”，然后装作什么都没发生。

51 万行源码泄露是一次事故。但 KAIROS 带来的问题，比泄露严重得多。

当 AI 不再需要你说话就能行动的时候——谁在值班？