Claude Code 源码泄露:Anthropic 的开源意外

**时间**：2026 年 3 月 31 日  

**事件**：Anthropic 旗下终端开发工具 Claude Code 源代码泄露  

**原因**：npm 包配置失误，非黑客攻击  

**状态**：代码已在 GitHub 公开，Anthropic 尚未回应

—

3 月 31 日，Web3 安全和分析公司 FuzzLand 的实习研究员 **Chaofan Shou** 在推特上披露：

这个 map 文件不只是符号映射和路径索引，而是包含了**实打实的源代码内容**（sourcesContent）。

**任何人都可以：**

1. 从 npm 下载官方包

2. 提取 cli.js.map 文件

3. 完整还原 Claude Code 的源代码

—

根据已获取源码的开发者透露，泄露内容包括：

• ✅ **完整源代码** – 核心逻辑、命令处理、MCP 集成
• ✅ **大量 TODO 注释** – 暴露未实现功能和开发路线图
• ✅ **未公开功能提示** – 下一个”王牌功能”提前曝光
• ✅ **内部路径和配置** – 开发环境和构建信息

目前已有网友将完整代码备份并上传至 GitHub 仓库 `claude-code`。

—

这不是黑客攻击，而是**打包配置失误**。

Anthropic 选择了 **npm** 作为分发渠道——选择了 JavaScript 生态的便利性，就要接受它的透明性。

Source Map 本应用于调试，但在生产包中未正确剥离，导致源码随安装包公开。

**对比其他方案：**

• Cursor → Electron 打包二进制，源码不暴露
• Devin → 纯 SaaS 模式，代码在云端
• Claude Code → npm 包，源码”意外开源”

—

—

1. TODO 注释暴露路线图

源码中的 TODO 注释揭示了 Anthropic 正在开发的功能：

• 更多 MCP 服务器集成
• 增强的文件操作权限管理
• 团队协作功能
• 与企业 CI/CD 系统的深度集成

2. 架构设计曝光

源码显示 Claude Code 的核心架构：

• 基于 Node.js 的终端工具
• 通过 MCP 协议与 Anthropic API 通信
• 本地工作空间隔离机制
• 命令执行沙箱设计

3. 安全边界清晰

源码中可见多层安全检查：

• 工作空间边界验证
• 危险命令拦截
• API 密钥本地加密存储

—

如果你发布 npm 包：

“`json

// package.json 正确配置

{

 “scripts”: {

   “build”: “tsc && rm -rf dist/**/*.map”

 },

 “files”: [

   “dist”,

   “!**/*.map”

 ]

}

“`

检查清单：

• [ ] 生产构建移除所有 .map 文件
• [ ] .npmignore 排除敏感文件
• [ ] 发布前用 `npm pack` 预览包内容
• [ ] 使用 CI 自动检查包内容

—

1. **Anthropic 官方回应** – 是否会要求 GitHub 下架仓库

2. **版本更新** – 是否会紧急发布 2.1.89 修复此问题

3. **法律行动** – 是否会对传播源码者采取措施

4. **安全审计** – 是否会邀请第三方进行安全审查

—

这次泄露事件再次提醒我们：

选择 npm 分发，就要接受 JS 生态的透明性规则。对于 Anthropic 这样的 AI 巨头，如何在便利性和安全性之间找到平衡，是一个值得深思的课题。

对于开发者而言，这是一次难得的学习机会——可以深入了解顶级 AI 编程工具的内部实现。但对于 Anthropic，这可能是一次代价不菲的”意外开源”。

—

*参考资料：PANews、FuzzLand、GitHub*  

*本文基于公开信息整理，不构成任何投资建议*