乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > 51万行源码裸奔、虚假“替罪羊”登场:Claude Code的泄露,比看起来严重得多

51万行源码裸奔、虚假“替罪羊”登场:Claude Code的泄露,比看起来严重得多

当前时间: 2026-04-01 17:57:55 更新时间: 2026-04-01 分类:软件教程 评论(0)

51万行源码裸奔、虚假“替罪羊”登场:Claude Code的泄露,比看起来严重得多

昨天,一个59.8MB的文件,彻底击穿了Anthropic精心构建的技术护城河。

3月31日,AI安全研究员Chaofan Shou在npm包管理仓库例行巡查时,发现了一个不寻常的“赠品”——Anthropic旗下明星AI编程工具Claude Code在发布2.1.88版本更新时,意外将一份完整的源代码映射(Source Map)文件打包进去并公开分发。

打开这份文件,里面躺着的是超过51.2万行TypeScript源码,共计4756个源文件40余个工具模块。这些代码,原本应当被混淆、被保护,是Anthropic斥巨资构建的核心竞争壁垒。

就这样,它们以一种极其荒诞的方式,暴露在了全世界面前。

一、一次“低级失误”,如何引爆一场AI信任危机

严格意义上,这不是一次黑客攻击,也不是外部入侵——它是一场由“配置疏忽”酿成的自我解除武装。

Claude Code是以npm包的形式分发的。为了防止竞争对手逆向工程,Anthropic对发布的JavaScript代码做了混淆处理。但问题出在,开发团队在发布2.1.88版本时,没有删除配套的.map文件。

Source Map,本是为了方便开发者调试——它能将压缩混淆后的代码“翻译”回原始的可读源码。这份文件出现在正式发布包中,等同于在银行金库门上挂了一把开着的锁。

更讽刺的是,这不是第一次。2025年2月,当Claude Code刚作为研究预览版发布时,开发者就发现了完全相同的问题。同款错误,犯了两次。

消息在X平台上迅速扩散。数小时内,已有用户将代码完整镜像到GitHub仓库,该仓库迅速收获逾7.8万星7.7万次Fork。尽管Anthropic随后发出了DMCA版权删除请求,各路镜像已如野草蔓延,难以清除。

二、代码里藏着什么?未发布功能、内部指令,还有“电子宠物”

对于那些真正钻进源码里的研究者和开发者来说,这次泄露远比任何一份PR通稿都更能说明问题。

Tamagotchi式“电子宠物”:代码中发现了一个类拓麻歌子的功能模块——一个虚拟宠物会待在用户的命令行输入框旁,并对编码行为实时作出反应。18种物种(鸭子、章鱼、水豚、蘑菇……),6种稀有度(普通款占60%,传奇款仅1%),甚至还有“闪光款”的设定。每个用户的宠物由账户ID唯一生成——全世界独一份。代码中的时间戳指向4月1日,大概率是个愚人节彩蛋。

“KAIROS”常驻后台智能体:更引人关注的是一个代号为“KAIROS”的功能。从代码结构分析,这很可能是Anthropic正在测试的“always-on agent”——一个能够在后台持续运行、不间断代理用户执行任务的智能体。它有“autoDream”逻辑——在用户空闲时进行记忆整合,合并零散观察、消除逻辑矛盾,把模糊洞察转化为确定性事实。

“卧底模式”与权限绕过:部分代码揭示了Anthropic正在测试更高阶的权限控制策略,包括所谓“卧底模式”和“绕过权限模式”。系统提示词明确写着:“你正在UNDERCOVER模式下运行……你的commit信息不能包含任何Anthropic内部信息。不要暴露身份。”这些内容一旦落入恶意行为者手中,其潜在风险不可估量。

系统提示矩阵的完整骨架:让外界得以窥见Anthropic如何用精确的Prompt工程来约束和操纵模型行为——这正是AI安全领域最不愿意公开的“内功心法”。

架构对比:与开源Agent框架的异同:这份泄露代码的价值不止于此。它揭示了Anthropic在Agent架构上与开源生态的微妙关系。代码中的QueryEngine.ts(约4.6万行)负责LLM API调用、流式输出、工具循环和上下文窗口管理,其设计理念与MCP(Model Context Protocol)高度相似——本质上都是将模型能力与工具执行解耦。而Tool.ts(约2.9万行)定义的工具类型和权限模型,则与OpenClaw等开源框架的Skill机制如出一辙。

Claude Code并非什么黑魔法产物。它更像是一个基于MCP理念、在OpenClaw生态之上构建的工业级实现——只不过Anthropic投入了大量工程资源,把开源的“概念”做成了闭源的“产品”。这次泄露,等于把工业级实现的内部设计图纸白送给了所有开发者。

除此之外,泄露的源码还包含:44个未上线的feature flag,覆盖多代理协调模式、语音交互、30分钟远程规划会话等。

三、戏剧性反转:那个“被解雇的工程师”,根本不存在

就在外界还在为“谁来为这次泄露负责”争论时,一封“认罪信”率先出现在社交媒体上。

一名自称为Kevin Naughton Jr.的工程师发帖称:是他在发布Claude Code时操作失误,将包含源码的打包文件推送了出去,并因此遭到Anthropic解雇。帖子措辞诚恳,自责之情溢于言表,迅速引发了广泛同情。

然而真相随后浮出水面——Kevin Naughton Jr.根本不是Anthropic的员工

他是一位创业者,公司名叫Ferryman。他借助真实发生的源码泄露事件,虚构了一套“内部工程师顶罪”的戏码,在引发广泛关注之后,帖子评论中悄悄附上了自家产品的优惠码。

这出闹剧,被AI圈人士评为2026年迄今为止最具讽刺性的营销事件之一。但它同时也提出了一个令人不安的问题:当一个虚假的“解雇声明”比官方回应更能引发公众共情,公众对AI公司官方话术的信任,究竟还剩几分?

四、工程严谨性的拷问:这不是“手滑”,是CI/CD流程的崩溃

如果说这是一次孤立的偶发事故,或许可以理解。但令人警觉的是,此次泄露发生的时间节点——它是Anthropic一周内遭遇的第二起重大数据失误。

就在数日前,Anthropic已经因意外泄露了一个代号为“Mythos”的未发布新模型信息而陷入舆论风波。这次又出了源码泄露,接连“手滑”的背后,暴露的是Anthropic在CI/CD流程、发布管控以及内部审查机制上的系统性漏洞。

一个健康的发布流水线应当做到:

  • 构建阶段:自动化检测产物中是否包含Source Map、敏感配置文件、未授权的依赖
  • 预发布检查:模拟发布环境,验证产物是否符合预期
  • 灰度发布:先推送给少量内部用户,确认无误后再全量分发

Anthropic显然跳过了这些环节。更值得玩味的是,2025年2月的同款错误,为何能在一年后重演?这意味着他们的故障复盘和改进流程,同样存在漏洞。

DevSecOps的核心:在AI公司把大部分精力花在让模型更聪明时,工程流程的基本功被忽视了。当模型能力以指数级速度增长,工程能力如果只能线性提升,这种差距终将酿成事故。

五、更深层的雷:供应链攻击已经来了

泄露的代码本身已经够糟,但更可怕的事情正在发生。

据安全公司披露,攻击者已经开始利用这次泄露实施typosquatting攻击——他们注册了与Claude Code内部依赖包相似的名字,如audio-capture-napicolor-diff-napiimage-processor-napi等,目前虽然只是空包,但一旦有人下载,他们随时可以推送恶意更新。

更严重的是,3月31日凌晨00:21至03:29 UTC期间通过npm安装或更新Claude Code的用户,可能已经拉取了一个包含跨平台远程访问木马的HTTP客户端。安全专家建议立即降级到安全版本并轮换所有密钥。

六、对开发者的警示:别以为“只是客户端”就没事

Anthropic在回应中强调:没有客户数据或凭据泄露。这话没错,但容易让人低估风险。

第一,这不是“壳子”,是完整的产品蓝图。 Claude Code泄露的代码不是简单的API封装,而是一个具有工业级复杂度的生产系统——多智能体协调、自主记忆管理、权限门控、工具调用逻辑,全部曝光。竞争对手拿到这份代码,等于拿到了免费的技术教科书。

第二,攻击面已经扩大。 了解权限系统的实现逻辑后,攻击者可以更有针对性地设计prompt注入攻击,尝试绕过工具审批机制。Undercover模式的过滤规则也已曝光,意味着可能存在绕过方法。

第三,安全漏洞正在被加速挖掘。 已经有安全团队在分析泄露的代码,寻找可利用的漏洞。未来几周,可能会出现更多关于Claude Code的漏洞披露。

七、老王给你的“自查”清单

如果你在用Claude Code,或者你的团队在用,建议做这几件事:

  1. 检查版本:如果你的Claude Code版本是2.1.88(3月31日发布),立即降级到安全版本。
  2. 轮换密钥:如果你在3月31日凌晨00:21至03:29 UTC期间安装或更新过,建议轮换所有相关API密钥和凭证。
  3. 警惕typosquatting:安装任何npm包时,确认包名正确,不要下载拼写相似的包。
  4. 关注官方补丁:Anthropic已经下架了泄露版本,关注后续安全更新。

八、老王的资料包

这次泄露事件信息量巨大,我整理了帮你快速了解全貌的资料:

  1. 《Claude Code泄露时间线》:从发现到传播的完整经过
  2. 《泄露内容速查表》:51万行源码里到底藏了什么(电子宠物、KAIROS、卧底模式等)
  3. 《供应链攻击预警清单》:typosquatting包名列表,安装时避开
  4. 《Claude Code安全版本速查》:哪些版本安全、哪些需要降级

回复关键词「裸奔」直接领取。

最后说两句

51万行源码裸奔,这不是Anthropic第一次,也不是最后一次。

它暴露了一个更根本的问题:AI公司把大部分精力花在让模型更聪明,却忽视了工程流程的基本功。 当模型能力以指数级速度增长,工程能力如果只能线性提升,这种差距终将酿成事故。

这次泄露最大的意义可能不在技术细节,而在于它撕掉了一层神秘感——原来Anthropic最核心的AI编程工具,底层也不过是精心设计的prompt编排,加上工程化的工具调度。没有黑魔法,只有大量的细节打磨。