Claude Code 源码泄露：一次”低级失误”，撕开了AI行业最隐蔽的伤疤

2026年3月31日，Anthropic的CLI工具Claude Code因一个Source Map文件外泄，约51.2万行TypeScript源码暴露在公开网络上。

这不是黑客攻击，不是内部间谍——只是一次”正常”的打包失误。

但它可能成为AI行业历史上最严重的工程安全事故之一。

3月31日，安全研究员 Fried_rice（Chaofan Shou） 在日常审计中发现了一个异常的GitHub仓库。

一个匿名GitHub仓库里，赫然躺着：

1,906个文件，51.2万行TypeScript代码

打包后的 `cli.js`（13MB）+ Source Map文件 `cli.js.map`（59MB）

换句话说，有了这份Source Map，任何人都能把经过混淆的cli.js完整还原出原始源码。

这不是泄露了几个配置文件——是Anthropic给开发者用了几个月的工具，核心代码全部裸奔。

更讽刺的是，发现者Fried_rice的推特开头写着：

“I’m just a college student looking for open source contributions”

一个”找开源贡献机会的大学生”，随手一挖，挖出了AI顶流的底裤。

问题来了：Source Map是什么？它怎么会跑到生产环境？

Source Map是前端/工具开发中的调试文件，用来把压缩混淆后的代码还原为原始源码。

它长这样：

// cli.js（混淆后）function a(b){return c(b)}

有了 `cli.js.map`，开发者可以定位到源码中是哪一行：

 原始源码

function processUserInput(input) { return validateAndExecute(input) }

Source Map本应只存在于开发环境，绝不应该随产品一起发布到npm。

就像工地的施工图纸不应该和房子一起卖给业主——它会让任何人绕过”保护层”，直接看到建筑的全部细节。

那Anthropic是怎么搞砸的？

打包流程存在漏洞。v2.1.88版本在发布到npm时，误将Source Map文件一并打包，用户安装后直接Download。

Anthropic发现问题后紧急下架了相关npm版本，但代码已经在GitHub上传开。

51.2万行代码泄露，听起来是数字，但真正的问题在后面。

🔓 混淆保护完全失效

Claude Code的cli.js是经过混淆的，攻击者无法直接读懂。但有了Source Map，混淆形同虚设——任何懂点技术的人都能看到完整源码。

🎯 提示词保护机制暴露

Claude Code的核心能力之一是它的提示词工程——告诉模型”你应该怎么思考、怎么行动”的系统指令。

这些提示词是Anthropic的核心竞争力，也是他们一直在努力保护的资产。

但现在，任何人都可以下载源码，直接看到这套完整的提示词体系。

供应链攻击风险

这是最让安全社区不寒而栗的一点。

有了完整源码，攻击者可以：

1. 删掉安全审计日志

2. 加入隐藏的后门代码

3. 截获用户输入的代码和数据

4. 重新打包上传到npm

用户以为自己装的是Anthropic的官方工具，实际运行的可能是一个被篡改的版本。

而由于cli.js本身是混淆的，普通用户几乎无法察觉差异。

防护建议：

• 开发者应立即检查是否使用过 `npm install` 安装过 Claude Code v2.1.88 版本

• 建议使用 `npm audit` 或 `npm ls` 检查依赖完整性

• 可通过官方渠道（如Anthropic官网、GitHub官方仓库）重新安装并验证哈希值

• 关注Anthropic官方公告，确认后续修复版本

事情曝光后，该GitHub仓库迅速获得 47 Stars、71 Forks（数据来源：Twitter社区反馈）。

这不是看热闹——这是整个行业在重新审视AI工具的安全现状。

安全研究员们的共识是：这不是Anthropic一家的问题，这是AI工具开发的系统性盲区。

看看市面上的AI编程工具：Cursor、Copilot、Claude Code……它们清一色基于Node.js生态，打包发布逻辑大同小异。

Source Map外泄只是冰山一角。

这次事件撕开了三个被行业选择性忽视的问题：

第一，提示词保护是伪命题。

很多人都知道不应该把prompt直接硬编码在客户端，但做起来又是另一回事。当代码本身暴露在用户手中，prompt就不再是秘密。

第二，工具链安全长期被轻视。

AI公司重模型安全，轻工具安全。但对用户来说，跑在本地/虚拟机里的代码，才是真正接触数据的入口。

第三，npm生态的信任体系极其脆弱。

一个错误打包的文件，可以在几个小时内扩散到全球大量开发者的机器里。

Anthropic是AI安全领域的标杆公司，技术实力毋庸置疑。

但这次泄露，不是因为他们技术不行——而是因为打包时多打了一个.map文件。

AI行业跑得太快，安全基础设施还在学走路。

这不是某一家公司的问题。当51.2万行代码能被一个”找开源贡献的大学生”随手挖出，整个行业都应该停下来，想一想我们在狂奔的路上，到底遗落了什么。

下一步观察点：

• 关注Anthropic官方是否发布正式安全通报

• 留意npm上是否有v2.1.89等后续修复版本发布

• 监测GitHub开源社区是否有利用这些源码的异常项目出现

金句收藏“最强大的安全体系，往往被最微小的失误击穿——51.2万行代码的泄露，起因只是一个.map文件的打包疏忽。”

“AI行业在高速狂奔，但供应链安全这道坎，不过是被我们习惯性地踩在了脚下的灰尘里。”

你有踩过AI工具的安全坑吗？评论区聊聊 👇