夜雨聆风
离谱!Claude Code 51万行源码一夜裸奔,韩国小哥6小时用AI重写,直接干上GitHub历史第一
AI圈又炸出史诗级大瓜!
3月31日,Anthropic 家的 AI 编程神器 Claude Code 突发“全裸泄露”:
51万行核心源码、1900多个文件,直接在全网公开。
不是黑客攻击,不是被破解——
纯纯工程师手滑:忘删一个60MB的 .map 调试文件。
更魔幻的是:
这是他们第二次犯一模一样的低级错误。
但最绝的还在后头:
一个韩国小哥,凌晨4点被吓醒,6小时用AI从零重写一遍,直接封神。
一、一句话看懂:为啥一个文件能泄露全部源码?
先给小白科普:
Source Map(.map 文件)= 代码的“翻译字典+还原说明书”
– 你写的 TS/JS 代码 → 发布前会压缩、混淆(变成乱码)
– .map 文件就是记录:乱码第3行 = 原代码第100行的某个函数
– 关键:这次包里的 .map 直接内嵌了完整原始源码
相当于:
你卖外卖,
把后厨全部配方、操作流程、保密手册,
一起塞进了顾客的外卖袋。
二、事件时间线:半天内,从手滑到全网裸奔
– 3.31 14:00:Anthropic 发布 claude-code@2.1.88 到 npm 公仓
– 几小时后:安全大佬发现巨无霸 cli.js.map (59.8MB)
– 当天下午:GitHub 出现镜像,1小时狂揽1万星、1.7万叉
– 当晚:Anthropic 紧急删包、发 DMCA → 已经晚了
– 全网扩散:代码被疯狂备份、分析、重写,永久留在互联网
三、神转折:韩国小哥凌晨4点被吓醒,6小时干出历史级项目
就在大家疯狂下载泄露代码时,
韩国开发者 Sigrid Jin(GitHub ID:instructkr) 慌了。
他女友提醒:
“你电脑里存着这个,可能会被 Anthropic 起诉!”
一般人可能删代码跑路,但他是硬核程序员:
“既然不能用泄露的代码,那我就用AI,从零重写一个!”
于是,教科书级操作开始:
1. 净室重写(完全合法)
– 不复制、不粘贴、不看一行原始 TS 代码
– 只研究:功能逻辑、架构设计、工作流、命令系统
– 用 Python 从零实现核心功能
– 全程靠 AI 工具 oh-my-codex 辅助加速
2. 速度离谱
– 凌晨4点:开始动手
– 早上10点前:写完、测完、推上 GitHub
– 项目名:Claw Code(玩梗:Claude → Claw)
3. GitHub 历史纪录诞生
– 2小时:5万星
– 3小时:8万星
– 24小时:11万+星
– 直接成为 GitHub 史上涨星最快项目,没有之一
四、到底漏了啥?对我们有啥影响?
✅ 全裸泄露:
– 完整客户端架构、多Agent调度、系统提示词
– 44个功能开关、20+未发布新功能
– 安全规则、权限控制、计费逻辑、工具调用链
❌ 没漏(万幸):
– Claude 大模型权重、训练数据
– 用户聊天记录、API 密钥、隐私数据
一句话影响:
– 用户没事:账号、数据都安全
– Anthropic 血亏:产品壁垒一夜清零,竞品直接抄作业
– 开发者狂欢:免费拿到地表最强AI编程助手“教科书”
– 韩国小哥封神:从普通用户 → 开源圈顶流
五、为什么说这是“低级到离谱”的错误?
1. 重复踩坑
2025年2月,第一次因为同样的 Source Map 漏过一次。
当时说“彻底修复”,结果一年后再犯。
2. 流程完全失控
– Bun 构建默认生成 .map → 没关
– .npmignore 没排除 *.map → 没加
– package.json 没过滤 → 没配
– 包体积暴增到60MB → 没人检查
3. 安全口号打脸
Anthropic 一直以 “AI Safety”(AI安全) 为核心卖点,
结果连“发布前删调试文件”这种入门级规范都守不住。
六、这件事给所有程序员/公司敲警钟
Source Map 泄露 = 送命级漏洞
– 生产环境 必须禁用 Source Map
– .npmignore/.gitignore 强制加: *.map
– 发布前 审计包体积、检查文件清单
– CI/CD 加自动化检查:禁止 .map 进入生产包
七、最后吐槽
AI 越来越强,
但最致命的漏洞,
往往不是模型、不是算法、不是黑客,
而是最基础的工程规范、最不该犯的低级失误。
一家靠“安全AI”吃饭的公司,
在同一个阴沟里翻船两次。
更讽刺的是:
被泄露的代码,反而被对手用AI,6小时就造出了一个完全合法的替代品。
这大概就是 AI 时代,最魔幻的一幕吧。