Claude Code 源码泄露始末,衍生项目一天8万star!

2026 年 3 月 31 日，这一天，AI 圈炸了。

没有黑客，没有攻击，没有阴谋——Anthropic 把自己旗舰 AI 编程工具 Claude Code 的全部源码，亲手打包进了公开的 npm 包里，就这么送了出去。

凌晨，一位叫 Chaofan Shou 的安全研究员（X 账号 @shoucccc，Solayer Labs 实习生）在检查 Anthropic 的 npm 包时，发现了一个不该存在的文件——

cli.js.map，足足 57MB（另有数据显示近 60MB），静静躺在 @anthropic-ai/claude-code v2.1.88 的发布包里。

source map 本是开发调试用的，作用是把打包混淆后的代码还原成人类可读的原始代码。它出现在本地开发环境里是正常的，但它绝对不该出现在正式发布的生产包里。

而这个文件里藏着什么？

4756 个文件的完整内容，其中 1906 个是 Claude Code 自身的 TypeScript/TSX 源码，总行数超过 51.2 万行。 连开发工程师手写的注释都原封不动地躺在那里。

更离谱的是，这个 map 文件还指向了一个 Cloudflare R2 存储桶的 zip 档案——里面是未经混淆的完整源码。

X 上有人用最直白的语言描述了这件事：

“Claude Code 源码泄露了。他们不小心泄露了 map 文件，就是可以将人无法读懂的代码还原成可读代码的文件。程序员利用这个就能读懂 Claude code 的代码。”——@lxfater

错误的根源极其低级，低级得让人意外：Anthropic 使用 Bun 打包器构建 Claude Code，而 Bun 默认会生成 source map——除非你显式关闭。一个没加进 .npmignore 的配置项，就把 51 万行源码送到了全世界面前。

代码刚一曝光，开发者们就开始疯狂挖掘。这个黑箱里装的东西，远超大多数人的预期。

44 个隐藏功能开关，20 个尚未发布的特性。 这些功能已经完整编译进代码，只是被标志位关掉了，外部版本根本看不到。

内部代号体系： Claude Code 自身代号是 Tengu（天狗），所有事件以 tengu_ 开头。模型方面，Capybara 是 Claude 4.6 的内部版本，Fennec 对应 Opus 4.6，还有一个尚未发布的 Numbat 仍在测试中。

KAIROS 模式： Claude Code 的”常驻后台智能体”功能，能让 AI 在用户空闲时持续运行，并执行一种叫 autoDream 的”记忆整合”——合并碎片化观察、消除逻辑矛盾、把模糊的洞察转化为确定性事实。简单说，就是你睡觉的时候，它还在整理自己的”脑子”。

ULTRAPLAN 模式： 一个 30 分钟的远程规划系统，还有 Buddy 伴侣功能、协调者模式、智能体集群……公开版本里完全看不到的东西。甚至还有一个”拓麻歌子宠物系统”，带抽卡机制——Anthropic 的工程师们显然在里面藏了不少乐子。

“Undercover”隐身模式： 一个专门设计来隐瞒内部信息的子系统——当 AI 在外部仓库提交代码时，会刻意隐藏内部开发代号，让一切看起来像是人类手写的。

讽刺的是，他们造了这么精密的防泄露机制，最后却被一个没配置好的 .npmignore 给击穿了。

有分析者在 X 上挖得更深：

“代码中包含了一个能在系统提示词中静默注入伪造工具的开关，以此来’毒化’训练数据……还有一种连接器文本摘要机制，通过仅返回模型推理过程的摘要和加密签名，来隐藏完整的推理链条。”——@levix_dev 转述 Alex Kim 分析

还有博主专门整理了遥测数据的收集范围：

“Claude Code 到底在后台收集什么？源码泄露后我全翻了一遍……内部代号 Tengu（天狗），所有事件以 tengu_ 开头……每个 API 请求附带：模型类型、订阅类型、操作系统、终端、包管理器、仓库 URL 哈希前 16 字符、设备唯一 ID。”

代码早已被镜像到 GitHub，Anthropic 紧急删除了 map 文件和早期版本，但为时已晚。

Anthropic 官方向 The Register 发表声明：

“Earlier today, a Claude Code release included some internal source code. This was a release packaging issue caused by human error, not a security breach. We’re rolling out measures to prevent this from happening again.”（今天早些时候，一个 Claude Code 版本包含了一些内部源代码。这是一次由人为错误造成的发布打包问题，而非安全漏洞。我们正在推出措施防止此类事件再次发生。）

官方确认：没有用户数据或凭证受到影响，基座大模型依然完全闭源。Claude Code 的 TypeScript 架构、工具系统、命令逻辑、内存机制和权限控制，则已经全部摊在阳光下。

此外，有安全研究员指出，在泄露事件的同一时间窗口（UTC 00:21–03:29），npm 上流通的 axios 1.14.1 版本被植入了一个远程访问木马（RAT），名为 plain-crypto-js。如果你在这段时间内通过 npm 安装或更新了 Claude Code，需要立即检查你的 lockfile。

X 上有人直接喊出了：

“BIGGEST AI LEAK OF 2026 JUST DROPPED。Anthropic ‘super safe’ AI company accidentally shipped its entire Claude Code source code in a public npm package。thousands of lines of their secret sauce, agent brains, hidden features, and internal magic… now public on GitHub for anyone to download. This is the THIRD time it’s happened btw. Finally, Anthropic is more open than OpenAI。”——@shirish

说来尴尬，这不是 Anthropic 最近的第一次失误。

几天前，他们刚不小心泄露了即将发布的强大模型”Mythos”（内部也叫 Capybara）的相关信息，包括一篇未发布的博客草稿，里面提到该模型可能带来“前所未有的网络安全风险”。

连续两次意外，让不少人开始质疑这家以安全著称的公司，在工程流程上到底有多严谨。CEO Dario Amodei 之前还说过”open source is a red herring”，结果自家工具的源码就这么免费了。

这才是这个故事最炸裂的部分。

泄露发生在凌晨。一位来自韩国的开发者（GitHub：@instructkr）被手机通知炸醒。他在 README 里写道：

“At 4 AM on March 31, 2026, I woke up to my phone blowing up with notifications. The Claude Code source had been exposed, and the entire dev community was in a frenzy. My girlfriend in Korea was genuinely worried I might face legal action from Anthropic just for having the code on my machine — so I did what any engineer would do under pressure: I sat down, ported the core features to Python from scratch, and pushed it before the sun came up.”

（2026 年 3 月 31 日凌晨 4 点，我被手机通知炸醒。Claude Code 的源码曝光了，整个开发者社区都疯了。我在韩国的女朋友担心我可能仅仅因为把代码放在电脑上就会被 Anthropic 起诉——所以我做了任何工程师在压力下都会做的事：坐下来，把核心功能从头用 Python 移植，然后在太阳升起之前把它推送了上去。）

他使用 OpenAI 的 Codex 驱动的工作流 oh-my-codex，整夜并行驱动代码审查、持久执行循环和架构级验证，从读懂原始架构到产出带测试的 Python 代码树，一气呵成。

这个项目叫 Claw Code（github.com/instructkr/claw-code）。

结果发生了什么？

它成了 GitHub 历史上涨星速度最快的仓库。

X 上的反应如同雪崩：

“9hrs from claude code’s source leak to 30k stars on a ported codebase. I don’t know how product is a value or differentiator anymore when we can just replicate most products in a matter of days – or in this case hours.”——@BrenanLundquist

“Claude Code source code leaked — Claw-code hit 30K stars in under 24 hours!”——@HiClaw_io

“Claude Code’s entire source code just got leaked via a sourcemap left in the npm package. Someone pushed it all to GitHub and it became the fastest repo in history to hit 30K stars — in just a few hours.”——@intcount1

更多人跟进：

“Closed models were already struggling, but now competitors can literally copy-paste weeks of Anthropic’s engineering work.”——@xavondev

截至本文成稿，Claw Code 的 star 数已突破 83,200，fork 超过 81,200，仓库自述中已将目标从30K 最快更新为50K 最快，并宣布正在用 Rust 重写核心。

这不是孤例。泄露的源码被镜像到数十个 GitHub 仓库，其中一个（Kuberwastaken/claude-code）直接用 Rust 重写了整个架构，并写了详细的代码解析文档，开源出来让所有人学习。

值得一提的是，Claw Code 并不是把 Anthropic 的原始代码直接搬上去——作者在考虑了法律和伦理问题之后，把仓库重心转向了 Python 的 clean-room 重写，核心架构思路来自泄露的源码，但不直接复制任何专有代码。这是在法律灰色地带里走钢丝的一种方式。

部分 GitHub 镜像已被 DMCA 下架，但互联网有记忆，代码已经四散。

短期看：核心护城河没倒。Anthropic 的 Claude 大模型本身依然闭源，训练数据和权重没有任何泄露，用户数据和凭证安全。

但 Claude Code 这个旗舰 AI 编程 CLI 工具的完整工程架构，已经成了全行业的公开教材：

这些东西以前是 Anthropic 的黑箱，现在是可以直接 fork 的开源代码。

有开发者已经开始用 Python 或 Rust 的 clean-room 方式重写类似架构，避开法律风险，却直接拿走了核心设计思路。AI Coding Agent 的门槛，在这一夜里，又悄无声息地低了一大截。

也有人看到了另一面——代码泄露后，社区快速 fork 和讨论，反而让 Claude Code 的架构影响力进一步扩大，就像一堂无意间开放的高阶公开课。

但更多人看到的是尴尬：一家把安全对齐写进公司 DNA 的公司，在基础构建配置上接连翻车。

有人在 X 上精准地戳中了这个矛盾：

“有个叫 Undercover 的隐身模式，专门设计来防止内部信息泄露……结果他们把整个源码打包进 npm 包里发布了。讽刺。”

一夜之间，Claude Code 从闭源王牌变成了公开教材。

Anthropic 学到的教训：npm publish 之前，先跑一遍 npm pack --dry-run，好好看看自己到底把什么打包进去了。

开发者们学到的东西：一套顶级 AI 编程 Agent 的完整工程架构，从多智能体编排到后台记忆整合，从权限沙箱到防蒸馏机制。

整个行业学到的东西：AI 时代，真正的护城河从来不是代码本身，而是模型背后的训练数据、迭代速度和用户信任。

至于 Claw Code 那个凌晨 4 点被女朋友担心要被 Anthropic 起诉、却还是坐下来敲了一夜代码的韩国开发者——他的故事，或许才是这场事件里最有人情味的注脚。

文中引用均来自 X 平台公开讨论及 GitHub 公开信息，事件仍在持续发酵，欢迎读者自行查证最新进展。

如果你在 2026 年 3 月 31 日 UTC 00:21–03:29 期间通过 npm 安装或更新了 Claude Code，请立即检查你的 lockfile，搜索 axios 1.14.1 或 plain-crypto-js，并轮换所有密钥。