Claude 源代码泄露后，我们还能相信 AI 吗？

2026 年 3 月 31 日，周二。

有人发现 Anthropic 公司最新版 npm 包里有个 59.8MB 的文件。这是 Claude Code 的源代码映射文件，能打开整个系统的后门。

512,000 行代码，1900 个文件，未经混淆的 TypeScript 源码。几小时内，这些代码在 GitHub 上被复制了数千次。Anthropic 发版权下架请求，删掉一个，冒出三个。

不是黑客攻击。只是”人为错误”。

泄露的不只是代码

讽刺的是，Anthropic 一直把”安全”和”负责任”挂在嘴边。

他们是 AI 安全研究的旗手，最早提出”宪法 AI”概念，反复强调”要确保 AI 对齐人类价值观”。

结果一个 npm 发布流程的疏忽，把底裤都露出来了。

泄露的代码里有内部架构、编排逻辑、权限系统、隐藏功能。有个叫”KAIROS”的模块，有个叫”Buddy”的内部工具，还有个听起来像间谍片的”卧底模式”。

没有模型权重，没有客户数据，没有 API 密钥。官方声明反复强调这三点，像是在说”还好还好，只是把房子设计图贴电线杆上了，保险柜还在”。

问题在于，当一家 AI 公司的”房子设计图”被公开，任何人都能研究它的内部运作机制，信任的根基已经动摇了。

这不是第一次

翻翻 Anthropic 的安全记录：

2025 年 2 月，Claude Code 源代码第一次泄露。
2025 年 10 月，npm 上出现冒充 Claude CLI 的恶意包，专门窃取 API 令牌。
2026 年 1 月，claude-flow 包被发现供应链漏洞，攻击者可以远程注入 AI 行为。
2026 年 3 月，泄露前一周，公司内部文件被公开访问。
2026 年 3 月 31 日，源代码再次泄露。

同一时间段还发生了 Axios 供应链攻击。攻击者劫持了维护者的 npm 账户，在热门 HTTP 客户端里植入了远程木马。那些刚好在 3 月 30 日到 31 日更新 Claude Code 的开发者，可能同时中了两种招。

更黑色幽默的是，泄露发生后，威胁行为者在 GitHub 上创建了虚假仓库，里面放的不是源代码，是 Vidar 信息窃取恶意软件和 GhostSocks 代理工具。

想偷看 Claude 源码的人，自己被偷了。

三个问题

我们真的了解自己在用什么吗？

大多数开发者调用 AI API 时，就像按电梯按钮。你按”18 楼”，电梯到了，你出去。你不会问电梯井里发生了什么，不会检查钢缆的磨损程度，不会研究控制系统的代码。

AI 服务也是黑箱。你输入提示词，得到回复。中间发生了什么？数据去了哪里？模型如何决策？没人知道，包括很多开发者自己。

直到某天，黑箱的门被意外打开了。

AI 公司的安全能力配得上他们的野心吗？

Anthropic 不是小作坊。他们拿了数百亿美元投资，估值超过千亿美元。客户包括政府机构、金融机构、医疗系统。

如果连他们的 npm 发布流程都能出这种低级错误，其他公司呢？那些没有顶级安全团队、没有充足资金的 AI 初创公司呢？

当 AI 被用于编写代码、诊断疾病、处理财务、辅助决策时，提供这些服务的公司，其安全实践是否配得上这份信任？

当 AI 成为基础设施，我们承受得起多少次”人为错误”？

电力系统出故障，会停电。银行系统出故障，会冻住你的存款。航空管制系统出故障，飞机会停飞。

AI 正在成为新的基础设施。它写代码、写合同、写新闻、写论文。它辅助医生诊断、辅助法官量刑、辅助 HR 筛选简历。

当基础设施的提供者说”这只是人为错误，没有数据泄露”，这句话的安慰力度，取决于你对这个基础设施的依赖程度。

开发者社区的反应

泄露事件发生后，开发者社区的反应很有意思。

有人愤怒：”这种低级错误怎么能发生在 Anthropic 身上？”

有人兴奋：”终于能看到 Claude 内部是怎么工作的了！”

有人担忧：”这会不会让针对 AI 的攻击更容易？”

有人冷漠：”反正都是黑箱，看了又能怎样？”

GitHub 上，有人创建了镜像仓库，不是为了攻击，是为了”研究”和”学习”。有人分析代码结构，有人寻找安全漏洞，有人试图复现某些功能。

Anthropic 的版权下架请求在法律上站得住脚，但在技术上，已经晚了。互联网的记忆不是删除链接就能抹去的。

悖论

AI 行业有个悖论：

用户希望 AI 足够智能，能理解复杂意图、处理复杂任务。但这要求模型足够复杂，复杂到连开发者自己都无法完全理解。

用户希望 AI 足够安全，不会泄露数据、不会输出有害内容、不会被攻击。但这要求系统足够透明，透明到可以被审计、被验证。

复杂性和透明性，在工程实践中往往是矛盾的。

Anthropic 既要构建足够复杂的系统来实现强大的 AI 能力，又要保证这个系统足够安全、足够可靠。

结果是一个 59.8MB 的源映射文件，像特洛伊木马一样被打包进了发布包。

怎么办？

说”别用 AI”不现实。AI 已经渗透到工作流的各个环节，就像当年的互联网、云计算。

有几个建议：

保持怀疑。 AI 输出的内容，尤其是关键场景下的内容，需要人工复核。它可能很聪明，但它也会错，而且错的方式可能很隐蔽。

关注供应商的安全记录。 选择 AI 服务时，安全实践应该是和模型性能同等重要的评估维度。一次”人为错误”可能是偶然，五次就是模式。

做好隔离和备份。 敏感数据不要直接传给第三方 AI 服务。关键代码不要完全依赖 AI 生成。重要决策不要完全交给 AI 判断。

接受不完美。 AI 是工具，不是神。它会犯错，会被攻击，会有漏洞。这不代表它没用，只代表它需要被谨慎使用。

尾声

写到这里，我想起一个细节。

在泄露的源代码里，有个内部安全机制叫”卧底模式”。它让 AI 假装成别的东西，以测试系统的安全性。

一个用于测试安全的机制，本身因为不安全而被曝光。

AI 可靠吗？

这个问题没有简单的答案。就像问”互联网可靠吗”、”云计算可靠吗”、”电力系统可靠吗”一样。

它们都可靠，直到不可靠的那一刻。

我们能做的，不是在可靠和不可靠之间二选一，而是在享受便利的同时，保持一份清醒：

信任，但要验证。