乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > Claude核心源码泄露的来龙去脉及事件后续与影响

Claude核心源码泄露的来龙去脉及事件后续与影响

当前时间: 2026-04-02 22:40:29 更新时间: 2026-04-02 分类:软件教程 评论(0)

Claude核心源码泄露的来龙去脉及事件后续与影响

大家好,我是Lily。

在数据基建和AI架构一线摸爬滚打的多年,我见过无数次因为研发流程疏漏导致的线上事故。但就在2026年3月31日,行业顶流 Anthropic 爆出的超级事故,依然让我大跌眼镜。

Anthropic 旗下广受欢迎的 AI 编程智能体工具 Claude Code 的源代码发生了严重的意外泄露。此次事件并非因为黑客攻击,而是一次低级的“人为打包错误”,但其暴露了 Anthropic 大量核心商业机密、未发布的产品路线图以及一些引发争议的内部机制。

外行看热闹,内行看门道。今天这篇笔记,我们不单纯“吃瓜”,而是用架构师和商业的角度,深度拆解这场堪称“AI 领域最具破坏性”的泄露事件。

1. 泄露的起因

本次泄露的根本原因在于 配置文件的缺失(如 .npmignore 或 package.json 中的 files 字段配置错误)。

  • 当 Anthropic 在公共 npm 注册表上发布版本为 2.1.88 的 @anthropic-ai/claude-code 包时,意外地打包进去了一个 59.8 MB 的 cli.js.map(Source Map 调试文件)。
  • 这个 Source Map 文件内部指向了一个托管在 Anthropic 自己的 Cloudflare R2 存储桶上的 .zip 压缩包 URL,而该存储桶完全公开且无需任何权限验证
  • 这导致任何下载了该 npm 包的人都可以直接获取约 51.2万行未混淆的 TypeScript 源代码,涉及 1906 个核心文件。

2. 泄露的核心内容

Anthropic 发言人证实,没有敏感的客户数据或凭据被泄露。然而,泄露的源码揭示了支撑 Claude Code 运行的底层“智能体框架(Agentic Harness)”及大量机密:

  • 创新的“自我修复记忆”系统:
展示了 Claude Code 如何解决长对话上下文混乱的问题。它采用了一种三层记忆架构,通过 MEMORY.md 索引文件存放指针而非实体数据,并遵循“严格写入纪律”,只有在确认文件成功写入后才会更新记忆。
  • 44项未发布的隐藏功能:
    • KAIROS
      被代码提及 150 多次的守护进程模式。它允许 AI 智能体在后台全天候静默运行、自我整理碎片化记忆(autoDream)并监控代码库变化。
    • ULTRAPLAN
      长达 30 分钟的远程规划功能,可将复杂任务卸载到云端容器中由更强大的模型运行。
    • BUDDY
      内置的拓麻歌子(Tamagotchi)式电子宠物,原本计划作为愚人节彩蛋发布。
  • 备受争议的“卧底模式”(Undercover Mode)
    该模式专门指示 AI 在向公共开源代码库提交代码(Commit/PR)时,隐瞒其作为 AI 的身份,并抹除所有与 Anthropic 相关的品牌或内部代号。这一功能引发了业界关于开源透明度与归属权的巨大伦理争议。
  • 反蒸馏机制(ANTI_DISTILLATION_CC)
    代码显示,Anthropic 会故意在 API 请求中注入“虚假工具定义”,以此来“毒化”竞争对手试图抓取其数据来训练/蒸馏自有模型的行为。
  • 内部模型代号与性能倒退
    曝光了未来的模型产品线代号,如 Capybara(Claude 4.6 的变体)、Fennec(Opus 4.6)以及 Numbat。代码注释还披露,内部处于测试中的 Capybara v8 模型存在性能倒退,其“虚假声明率(幻觉率)”高达 29%~30%,远差于之前版本的 16.7%。
  • 基于正则的用户挫败感遥测
    系统使用一段复杂的正则表达式来捕捉用户输入中的几十种“脏话”和抱怨词汇,以此作为遥测数据来评估用户挫败感。

3. 同期爆发的致命供应链攻击

极为巧合且危险的是,在 Claude Code 泄露的同一天(3月31日 UTC 00:21 至 03:29),知名的 npm HTTP 库 axios 遭到了供应链攻击。攻击者发布了包含远程访问木马(RAT)的 1.14.1 和 0.30.4 版本恶意包。

  • 因为 Claude Code 依赖于 axios,在这一特定时间窗口内通过 npm 安装或更新 Claude Code 的用户,很可能连同泄露源码一起下载了恶意木马
  • 为此,Anthropic 强烈建议用户卸载 npm 版本,转而使用不依赖 npm 供应链的本地原生安装程序(Native Installer)。

4. 事件后续与影响

虽然 Anthropic 在事发几小时后迅速下架了出错的包并撤销了公共 R2 存储桶的权限,但为时已晚。

  • 源码在 GitHub 上被疯狂克隆,有镜像仓库在 2 小时内飙升至 50,000 颗 Star,总 Fork 数超过 41,500 次。
  • 尽管 Anthropic 试图通过 DMCA(数字千年版权法)发出侵权下架通知,但代码已经通过不受 DMCA 约束的去中心化镜像站以及“净室重写”(开发者用 Python 重新实现了该逻辑,从而规避了直接版权问题)等方式永远留在了互联网上。

总而言之,由于一次极其简单的配置失误,Anthropic 被迫向全球开发者和竞争对手“开源”了其最核心、最顶尖的 AI 智能体架构护城河,这也是迄今为止 AI 领域最具战略破坏性的意外代码泄露事件之一。

💡 结语:一场失误,一次行业加速

尽管 Anthropic 试图通过 DMCA 发出下架通知,但借由去中心化镜像和开发者的“净室重写”,这些顶级的架构思想已经永远留在了互联网上。

这次事故给全行业上了一课:真正的护城河,不是你藏得多深的代码,而是你解决复杂业务流的系统工程能力。不要过度迷信大厂的工程能力。企业在引入外部 AI 智能体工具时,“供应链安全”和“本地化隔离运行”永远是排在首位的红线。没有安全兜底,再牛的 AI 也会成为刺穿企业内网的利刃。

与其对大厂神话顶礼膜拜,不如静下心来,借着这次开源的“东风”,把自身业务的数据底座打牢,把AI Agent 的记忆流转跑通。

这里是 Lily的AI研究笔记。 读懂底层逻辑,拆解AI落地实操路径,我们下期见。

如果这篇文章让你对 AI 的应用有了新思考,顺手点个赞与转发,就是对原创最大的支持。

关注我,持续获取深度的 AI 落地实战复盘。

如果你正在操盘企业的数字化转型或 AI 落地,欢迎留言或后台私信,我们聊聊真实的解法。