安全事件分析 · 2026.03.31

Claude Code 源码大泄露

一个缺失的 .npmignore 配置，让 Anthropic 的 51 万行产品核心源码悉数暴露于公众视野

事件摘要：2026 年 3 月 31 日，@anthropic-ai/claude-code npm 包意外附带 59.8 MB Source Map 文件，导致约 1,900 个 TypeScript 文件完整泄露。安全研究员 Chaofan Shou 首先发现并公开。这是 Anthropic 一周内第二次重大信息泄露。

警示：任何使用 Bun 构建并发布 npm 包的项目，都应立即运行 npm pack --dry-run 检查输出文件列表，确认无意外 .map 文件被打包。

🔍 隐身模式（undercover.ts）

当 Claude Code 在非 Anthropic 内部的公开代码仓库中操作时，该模式剥除所有 Anthropic 内部痕迹（内部代号 “Capybara”、”Tengu” 等），并指示模型不得提及公司内部信息。可通过环境变量 CLAUDE_CODE_UNDERCOVER=1 启用。争议：Anthropic 员工向开源项目提交 AI 辅助代码时，可主动隐藏 AI 参与痕迹，无任何透明度披露机制。

⚔️ 反蒸馏假工具（ANTI_DISTILLATION_CC）

claude.ts 第 301–313 行的标志位，启用后在 API 请求中注入虚假工具定义，专门污染竞争对手用于蒸馏 Claude 行为的训练数据。讽刺之处：该机制现已公开，竞争对手只需过滤含 anti_distillation 字段的训练样本即可绕过。

🤖 KAIROS：未公开自主守护进程

代码库中 150 余处引用，是迄今最接近”真正自主 Agent”的产品形态：   • 持久化后台 Agent，定期接收 <tick> 提示，无需用户触发自主决策   • 订阅 GitHub Webhook，主动监听仓库变更   • 子功能 autoDream：用户闲置时后台整合记忆，合并观察、消除矛盾，具备只读 Bash 访问权限   当前所有功能标志均编译为 false，尚未公开发布。

📋 其他关键发现

   • 情绪检测 Regex：用正则表达式（而非 LLM）检测用户是否咒骂工具，折射成本取舍   • 内部模型代号：Capybara = Claude 4.6，Fennec = Opus 4.6，Numbat = 未发布新模型   • 44 个隐藏功能：完全实现但未公开，全部编译为 false   • 完整 System Prompt：所有内部提示词和行为约束以纯文本形式暴露

结语：这不是某个工程师的粗心，而是现代软件发布流程复杂度在具体场景下的系统性失败。更值得关注的，是泄露内容本身揭示的信息：一个 AI 公司在追求产品竞争力时，选择了哪些技术路径，做出了哪些伦理取舍，又在背后悄悄构建着怎样的能力边界。源码比任何公关声明都要诚实。