Claude Code源码泄露始末：51.2万行代码是如何“裸奔”的

来源：综合编译

2026年3月31日，Anthropic遭遇了公司历史上最严重的安全事件——其旗舰AI编程工具Claude Code的全部源码通过npm包中的一个source map文件意外泄露。

这是AI行业有史以来最大规模的源码泄露事件，也是Anthropic一周内的第二次安全失误。

一、事件全貌：51.2万行代码的“裸奔”

泄露了什么？

泄露的核心是什么？

这次泄露的不是Anthropic的模型权重，而是Claude Code的“agentic harness”——也就是连接底层AI模型与工具调用的中间层框架。

具体包括：

• 工具系统：约40,000行代码的插件式工具系统
• 查询系统：约46,000行代码的查询系统
• 工作流编排：多Agent协作的编排逻辑
• 安全guardrails：防止模型产生有害输出的安全实现

用一位开发者的话说，这是“目前公开的、最详细的、生产级AI Agent框架文档”。

时间线

• 2026年3月26日：Mythos/Capybara模型文档意外公开（第一次安全失误）
• 2026年3月31日早晨：Claude Code源码通过npm source map泄露
• 2026年3月31日 4:23 a.m. ET：@Fried_rice在X发布泄露链接
• 2026年3月31日：Anthropic向媒体确认泄露事件

二、技术深度：一次配置失误是如何酿成灾难的

根本原因：缺少.npmignore

根据技术社区的分析，这次泄露的技术原因是Anthropic在构建npm包时缺少.npmignore配置，导致包含源码的source map文件被打包进了发布包。

更准确地说：

1. cli.js.map文件包含了sourcesContent JSON数组
2. 这个数组存储了每个源TypeScript文件的原始内容
3. 构建时没有从map中移除sourcesContent
4. 发布的npm包直接包含了这个可逆向还原的文件

为什么这么严重？

Source map是开发者用于调试的工具，理论上不应该出现在生产环境中。但问题是：

这个map文件包含了完整的、带有注释的原始TypeScript源码。

任何人都可以通过反编译source map还原出原始代码——而且是完全可读的、带注释的代码。

三、泄露暴露的“秘密”：我们发现了什么？

1. Undercover Mode（隐蔽模式）

泄露代码显示Claude Code有一个专门的**“Undercover Mode”**：

目的：防止内部代号（codename）通过AI生成内容泄露出去。

这是一个防止模型在输出中透露 Anthropic 内部项目代号的功能——某种“脱敏过滤器”。

2. “Capybara”新模型

泄露代码进一步证实了Anthropic内部在开发代号为**“Capybara”**的新模型。

根据代码分析，这个新模型定位高于Opus（Anthropic的旗舰模型），是下一代顶级模型。

这呼应了此前Mythos模型文档泄露事件中的发现——Anthropic正在开发多个新模型。

3. 生产级架构的复杂度

开发者分析了泄露代码后惊叹：

• 约40,000行的插件式工具系统
• 约46,000行的查询系统
• 完整的多Agent工作流编排
• 复杂的状态管理和上下文管理

“这是生产级的开发者体验，不仅仅是API的一个wrapper。它的复杂度既令人惊叹，又令人谦卑。”

四、行业影响：谁在欢喜谁在愁

对Anthropic：品牌形象受损

这是Anthropic一周内的第二次安全失误：

1. 3月26日：Mythos模型文档意外公开
2. 3月31日：Claude Code源码泄露

连续的失误让外界质疑Anthropic的安全流程和能力。

对竞争对手：反向工程的“礼物”

对于正在开发AI编程工具的竞争对手来说，这是一份“意外大礼”：

• 可以深入了解Claude Code的agent架构设计
• 可以分析安全guardrails的实现方式
• 可以学习生产级AI Agent的最佳实践

对开发者社区：中立甚至正面

有趣的是，这次泄露在开发者社区引起的反应并非一边倒的批评。

一位开发者在Hacker News上写道：

“这是目前公开的最详细的AI Agent框架实现文档。对于整个行业来说，这可能是一份礼物。”

事实上，泄露的代码正在GitHub上快速传播——有开发者称之为**“GitHub历史上增长最快的仓库”**。

五、安全追问：AI公司的源码安全何去何从

问题一：构建流程的安全检查

一个简单的.npminclude配置失误，就能让51.2万行代码“裸奔”。

这暴露了AI公司在软件工程实践上的粗糙：

• Anthropic显然有顶尖的模型研发能力
• 但在基本的npm包安全检查上犯了低级错误

问题二：源码≠模型，但同样重要

虽然Anthropic声明“没有客户数据或凭证泄露”，但源码泄露的风险同样严重：

• 暴露了安全guardrails的实现细节，恶意者可能用来绕过限制
• 暴露了agent架构，竞争对手可以直接学习
• 暴露了未发布功能的路线图

问题三：一周双事故的警示

一周内两次安全失误不会是巧合。

这反映出Anthropic的安全流程存在系统性漏洞，需要全面审视。

六、深度分析：这次泄露对行业意味着什么

1. AI公司需要重新定义“安全问题”

传统上，“安全”对AI公司意味着：

• 模型权重保护
• 训练数据保密
• API密钥安全

但Anthropic事件表明：代码安全同样重要，而且往往是被忽视的短板。

2. 开源vs闭源的争论再起

Claude Code是闭源工具，但这次泄露相当于“被动开源”。

有分析认为，这次泄露可能反而加速AI Agent框架的开源化——既然闭源无法保护，那开源社区自己来。

3. 对IPO的影响

Anthropic正在推进350亿美元的IPO计划。

此时遭遇源码泄露，虽然不是致命打击，但必定影响投资人对公司治理和安全能力的评估。

七、后续：Anthropic如何危机公关

截至目前，Anthropic的回应：

1. 确认泄露事件
2. 声明“无客户数据或凭证泄露”
3. 已下架问题版本

但外界更关注的是：

• 是否有第三、第四次“泄露”在等着？
• IPO进程会否受影响？
• 安全团队是否会有重大调整？

参考资料：

• Ars Technica《Entire Claude Code CLI source code leaks thanks to exposed map file》
• Layer5《The Claude Code Source Leak: 512,000 Lines, a Missing .npmignore》
• Dev.to《The Great Claude Code Leak of 2026》
• The Verge《Claude Code leak exposes a Tamagotchi-style ‘pet’》
• Fortune《Anthropic source code leak second security lapse days after accidentally revealing Mythos》

声明：本文为综合编译，不代表平台观点。