夜雨聆风
Claude Code 51万行源码泄露:多方视角深度复盘
2026年3月31日,Anthropic以最尴尬的方式登上了全球科技头条。
Claude Code v2.1.88发布到npm时,一个59.8MB的source map文件被意外打包进去。近2000个文件、超过51万行TypeScript源码,就这样在几个小时内在GitHub上被克隆超过5万次。
这不是外部攻击,是最原始的人为失误——忘了删.map文件。
但事情远不止”翻车”这么简单。
一、事件始末:一次低级失误的全记录
1.1 怎么泄露的
Source map是前端开发的标配工具,它的作用是把压缩混淆后的生产代码还原回原始源码,方便调试。发布到npm时删除map文件,是写在每本新手教程第一页的基本操作。
Anthropic的工程师在发布时,打包工具Bun默认生成了source map文件,而他们忘了在发布配置里排除掉。
就这么简单。简单到有点讽刺。
1.2 泄露了什么
这次泄露的是客户端CLI工具的源码,不是Claude的模型权重或后端服务器代码。
具体内容包括:
内部架构:Claude Code如何处理文件系统、如何与Anthropic API交互
遥测逻辑:Telemetry的实现细节
多进程通信协议:主进程和子进程之间怎么通信
系统提示词:硬编码的复杂Prompt,用于引导Claude进行代码编辑、测试和Git管理
技术栈确认:Bun运行时 + React + Ink构建终端UI
1.3 扩散速度
开发者Chaofan Shou在社交平台发布这条消息后,几小时内浏览量突破780万。GitHub备份库瞬间获得2万+星。
更关键的是,代码已经在开源社区永久留存。即使Anthropic紧急删除npm包,代码也无法撤回。
二、技术视角:51万行代码揭示的架构秘密
2.1 架构核心:状态机与事件驱动
Claude Code不是简单的脚本,而是一个复杂的有状态终端应用。
React + Ink渲染层:用React配合Ink库来管理CLI的UI状态。终端里的每个进度条、气泡对话框都是通过组件化管理的。
多进程模型:将”模型交互”与”本地执行”分离。主进程负责与Anthropic后端通信,子进程负责执行Git命令、文件读写和测试运行,以防止阻塞UI。
这个设计的精妙在于:AI思考时不阻塞本地文件操作,本地执行时不影响AI推理。
2.2 Agent循环机制
Claude Code的核心是一个Agent循环,代码里叫QueryEngine,近5万行。
每次循环中:
程序通过queryModel函数与大模型沟通
发送请求,接收SSE流式输出,累计token用量
如果返回tool_use类型内容,说明AI还想调用工具继续干活,循环接着转
如果没有tool_use,说明任务完成,循环结束
2.3 40+工具模块
Claude Code内置了40多个工具,在tools.ts文件的getAllBaseTools()函数里列出:
文件读写操作
Bash命令执行
Git操作
测试运行
子Agent生成
每个工具都是声明式的——通过Schema定义输入、通过权限模型定义安全边界、通过独立模块实现逻辑。这种设计使新增工具的成本极低。
2.4 记忆架构
代码里可以看到,Claude Code有一个复杂的记忆管理系统。包含工作记忆、持久记忆和会话记忆三个层次。
工作记忆基于当前上下文窗口,持久记忆存储在本地文件,会话记忆记录当前任务进度。
2.5 安全设计
默认禁止原则:对于AI应用,你不知道它下一步会调用什么工具。在这种不确定性下,”默认禁止”比”默认允许”安全太多。
Claude Code在toolOrchestration.ts里做了一套很聪明的读写分离机制——涉及写操作需要更严格的权限确认。
三、安全视角:一家”安全公司”的安全漏洞
3.1 这是第几次了
这不是Anthropic第一次因为发布环节失误泄露代码。
2025年2月,Claude Code就曾因类似失误泄露过早期源码。
加上最近Token消耗Bug还没修好,又来这次史诗级源码泄露,说明什么?
Anthropic的发布审核流程存在系统性漏洞。
3.2 暴露的攻击面
安全研究人员指出,源码透明化让攻击者更容易发现RCE(远程代码执行)漏洞。
具体风险点:
恶意配置文件:.claude/settings.json可能被利用
API交互逻辑暴露:攻击者可以分析如何绕过安全护栏
权限模型透明化:知道边界在哪,更容易越界
3.3 对Claude 4.6 Opus的影响
值得关注的是,现有的Claude 4.6 Opus已经具备自主识别零日漏洞的能力。源码泄露后,攻击者可以更精准地分析如何对抗这种能力。
四、产品视角:泄露代码里的隐藏彩蛋
4.1 BUDDY:赛博电子宠物
在所有泄露的隐藏功能中,代号BUDDY的项目讨论度最高。
这多少让人想起当年微软Office那个烦人的”大眼夹(Clippy)”。但BUDDY是它的终极进化版。
根据源码分析,BUDDY是一个能在终端里陪你写代码的AI伙伴。你不干活的时候,它会做一些有趣的事情。
更戏剧性的是,源码显示这个功能原计划4月1日到7日作为愚人节彩蛋预热,5月份才向Anthropic员工内测。
现在全世界都提前知道这个惊喜了。
4.2 KAIROS:会”做梦”的AI助手
如果说BUDDY是工程师的浪漫彩蛋,那KAIROS就彻底暴露了Anthropic在AGI路径上的野心。
为了防止长期记忆日志无限膨胀、导致逻辑混乱,KAIROS会在夜间自动启动”做梦”进程。代码里甚至详细处理了午夜跨日的时间戳问题,确保做梦进程不会中断。
AI白天帮你写代码,深夜你睡着后,它独自在服务器里”做梦”来更懂你。
把一个冷冰冰的工程问题(上下文窗口压缩与检索)变成充满生命隐喻的解决方案,这种产品思路确实让人眼前一亮。
4.3 未发布的新模型线索
源码里还发现了Mythos和Capybara的代号,被认为是对标现有旗舰Opus系列的新模型,可能具备更大上下文窗口,并会推出快慢双版本。
这可能是行业最先进的模型。
五、行业影响:AI安全警钟
5.1 供应链安全典型案例
这次事件是教科书级别的供应链安全案例。
不是外部攻击,而是内部发布流程缺陷。暴露了当前AI开发工具在安全架构上的系统性漏洞。
5.2 AI系统越来越强,安全能力没跟上
把最近的情况连起来看,会发现一个明显的趋势:
AI系统越来越强,但安全能力明显没跟上。
具体表现:
发布流程安全:打包、审核、发布环节的自动化检查缺失
工具层面安全:Agent调用外部工具的安全边界不清晰
数据层面安全:用户数据、提示词、记忆的隔离机制不够完善
5.3 对AI行业的影响
短期影响:
Anthropic声誉受损
Claude Code用户可能转向竞品
安全社区加速分析源码,寻找漏洞
长期影响:
推动行业建立更严格的发布安全规范
促使其他AI公司审视自己的发布流程
可能催生新的AI安全标准和审计机制
六、多方反应
6.1 Anthropic官方回应
“今日早些时候,Claude Code的一次发布中包含了部分内部源代码。此次事件未涉及或暴露任何敏感的客户数据或凭证。这是由于人为错误导致的发布打包问题,而非安全漏洞。我们正在推出措施,以防止类似情况再次发生。”
官方已经确认,相关人员已被解雇。
6.2 开发者社区
安全研究圈:如获至宝,加速分析源码,寻找攻击面
逆向工程圈:发布深度分析报告,称这是”AI Agent工程实践教科书”
普通开发者:有的担心Claude Code安全性,有的已经开始用源码学习AI应用架构
6.3 社区调侃
“作为一个旨在帮助程序员写代码的AI工具,Claude Code却以这种方式实现了’被动开源’。”
” Anthropic花了数十亿美元研究一个终极问题:如何让AI变得更像人类,这次泄露事件给出了一个意外的答案:不用急,先让人类变得更像AI就行了。”
七、这件事对程序员意味着什么
7.1 学习机会
这份源码是目前最好的AI应用架构教材。
Agent循环怎么写、工具系统怎么设计、记忆怎么管理、安全怎么做——答案全在里面。
简历上如果能写上”深度阅读了Claude Code源码并应用于自己的项目”,那绝对是加分项。
7.2 安全警示
作为开发者,我们需要认识到:
不要迷信”安全公司”:再强的安全公司也可能犯低级错误
关注工具链安全:不只是模型安全,发布流程、工具链同样重要
保持警惕:了解你使用的工具的风险
7.3 行业启示
对于AI公司:
发布流程必须有多重检查:自动化扫描应该成为标配
安全是系统工程:不只是模型安全,还包括代码安全、流程安全、人员安全
透明不等于安全:公开源码不意味着更安全,反而可能暴露更多攻击面
八、总结
Claude Code源码泄露事件,是2026年AI行业最具戏剧性的安全事件之一。
讽刺的是,泄露的方式如此低级,但泄露的内容如此丰富。
从技术角度,这是了解AI应用架构的珍贵资料。
从安全角度,这是对整个AI行业的严肃警示。
从产品角度,这是对Anthropic工程能力的最意外展示。
一家以”AI安全”著称的公司,却因为最基础的操作失误,让自己的代码被全世界看光。
这个故事告诉我们:
在AI时代,安全不是一个功能,而是一个系统。
它需要从代码编写、测试、审核、发布、部署的每一个环节都嵌入安全的理念。
任何一环的失误,都可能让之前的所有安全投入化为乌有。