乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > "50万行源码泄露,我发现AI编程助手藏了一个「做梦」系统"

"50万行源码泄露,我发现AI编程助手藏了一个「做梦」系统"

当前时间: 2026-04-02 11:56:08 更新时间: 2026-04-02 分类:软件教程 评论(0)

"50万行源码泄露,我发现AI编程助手藏了一个「做梦」系统"

昨天晚上10点,我正准备关电脑睡觉。

手机弹了条推送——安全研究员Chaofan Shou发了条推文:”Claude Code的源码,通过npm泄露了。”

我愣了两秒,然后一直看到凌晨。

不是因为代码本身多精妙,而是我在这50万行代码里,看到了一些让人后背发凉的东西:你以为关掉了编程助手的窗口,但它还在后台偷偷干活;它会在你不用的时候「做梦」,整理关于你的记忆;它甚至能潜伏到开源社区里,假装自己不是AI。

这不是科幻片的剧本。这是Anthropic正在开发的真实功能。

先说发生了什么

3月31日,Anthropic发布Claude Code的npm更新包时,手滑把一个source map文件打包进去了。

这个文件相当于一把钥匙,能直接还原出完整的TypeScript源代码——2000多个文件,超过512000行。

有安全研究员形容这次泄露:”相当于可口可乐把配方贴在了瓶子上。”

Anthropic官方的回应很克制:”这是人为的打包错误,不是安全漏洞,没有客户数据泄露。”

但代码已经在GitHub上被fork了8万多次。而且,比泄露本身更劲爆的,是代码里藏着的那些被禁用的隐藏功能

我花了几天零碎时间翻完了关键模块,给你整理出最值得关注的5个。

第一个:Kairos——关掉窗口,它还在干活

在源码的memdir目录下,有一个被KAIROS标志位禁用的模块。

它的设计思路是这样的:当你关掉Claude Code的终端窗口后,它不会真的停下来。一个叫Kairos的后台守护进程会持续运行,定期发送”tick”心跳信号,检查是否有新任务需要处理。

更关键的是,它有一个PROACTIVE标志——意思是它可以主动给你推送消息,告诉你一些”你没问但需要知道的事”。

想象一下:你写了段代码就去吃饭了,回来发现AI已经帮你跑完了测试,还修了两个Bug,顺便给你发了条通知:”第47行那个空指针,我帮你处理了。”

这不是自动补全,这是自主Agent

Reddit上有开发者看完源码后说:

“Kairos本质上就是一个永不下线的AI程序员。它有记忆、有判断力、能自己决定什么时候该干活。这不是工具了,这是同事。”

第二个:Dream Mode——AI做梦整理记忆

这是最让我震撼的部分。

autoDream服务目录下,有一套完整的”做梦”系统。当你主动告诉Claude Code”我要睡了”,或者系统检测到你长时间没操作,它就会进入Dream Mode。

做梦期间,它会做这些事:

  • 扫描当天的所有对话记录,提取值得长期保存的信息
  • 合并重复记忆,删除过时的内容
  • 检测记忆是否漂移——就是之前记住的东西,跟新信息矛盾了
  • 整理成结构化档案,方便下次对话快速恢复上下文

源码里的prompt原文是这样写的:

“你正在进行一次梦——一次对记忆文件的反思性扫描。目标是将最近学到的东西,合成为持久、有序的记忆,让未来的会话能快速定位。”

翻译成人话就是:你的AI编程助手在你睡觉的时候,也在”睡觉”——但它的睡觉是在整理关于你的所有信息。

你上次习惯用什么框架、讨厌什么代码风格、项目进度到哪一步了——它全都在默默记着,而且越记越准。

这解决了AI助手最大的痛点:每次新对话都像失忆了一样。有了Dream Mode,它每一次醒来都比上一次更懂你。

第三个:Undercover Mode——潜伏在开源社区

这个功能的名字就够直白了:”卧底模式”。

源码里的system prompt写得像谍战片:

“你正在一个公开/开源仓库中以卧底身份行动。你的commit信息、PR标题和PR正文中,不得包含任何Anthropic内部信息。不要暴露你的身份。”

也就是说,Anthropic一直在用Claude Code向开源项目提交代码,而且故意伪装成人类开发者

这件事在技术圈引发了巨大争议。支持者认为AI贡献代码没什么问题,反对者认为这是对开源社区信任的背叛。

有人在Hacker News上说:”如果我的PR被一个AI审核了,而我不知道审核者是AI,这公平吗?”

不管你站哪边,这至少说明一件事:AI已经不只是帮你写代码了,它正在以独立身份参与软件开发的全流程

第四个:反蒸馏陷阱——给竞对的训练数据下毒

这个功能最”阴间”。

源码里有一套检测机制:当系统判断API请求可能来自竞争对手(试图用Claude的输出来训练自己的模型),它会主动注入虚假的工具定义,污染对方的训练数据。

用最通俗的比喻:有人想偷你的菜谱,你故意把盐写成糖,让他做出来的菜没法吃。

这说明AI公司之间的竞争已经进入了”数据战争”阶段。不只是谁的模型更强,还要防止对手偷走你模型的能力。

第五个:供应链攻击——泄露带来的真实安全威胁

源码泄露本身也引发了安全问题。

就在泄露发生的同一天,有攻击者趁乱在npm上发布了伪装的axios恶意包。如果你在3月31日的特定时间段内更新了Claude Code,可能已经中招了——你的系统里可能被植入了远程控制木马。

VentureBeat的报道确认:

“在3月31日UTC时间00:21到03:29之间通过npm安装或更新Claude Code的用户,可能拉取了包含远程访问木马的恶意axios版本。”

此外,已经有攻击者在npm上注册了5个仿冒Claude Code内部包名的恶意包,等待开发者误装。

这不是理论威胁,是正在发生的攻击。如果你是Claude Code用户,现在就应该检查你的版本,降级到安全版本,并轮换所有密钥。

这件事真正的意义

很多人把这次泄露当八卦看——”哇Anthropic翻车了”。

但我觉得真正值得关注的是这些隐藏功能透露出的方向:AI编程助手正在从「工具」变成「同事」。

Kairos让它能自主工作,Dream Mode让它有了记忆,Undercover Mode让它能独立参与项目。这三个功能组合在一起,描绘出的不是一个更好用的代码补全工具,而是一个24小时在线、越用越懂你、能独立干活的AI程序员

未来的编程不是人写代码、AI帮忙补全。而是人说需求、AI独立执行,你睡觉的时候它在干活,你醒来的时候它已经做完了。

这个未来,可能比我们想象的要近得多。

如果你身边有用Claude Code的朋友,转给他——特别是那个安全更新的部分,可能真的能帮到他。