Claude Code 源码泄露：AI 巨头的黑暗森林法则，每天浪费 25 万次 API 调用只为防你

当开源成为意外，AI 公司的底牌才真正曝光

文/蓝核之力2026 年 4 月 1 日

昨天，AI 圈发生了一件震动行业的大事：Anthropic 的 Claude Code 源代码意外泄露。

不是因为黑客攻击，不是因为内部泄密，而是一个低级失误——他们在 npm 包里忘记移除 source map 文件。

就像有人把公司保险柜的钥匙忘在了会议室桌上。

今天，我花了一整天时间扒完这几十万行代码，发现了5 个让所有 AI 从业者后背发凉的秘密。

01 反蒸馏机制：给竞争对手喂”毒数据”

这是最让我震惊的发现。

Claude Code 的代码里藏着一套完整的反蒸馏系统（Anti-Distillation）。它的工作原理是这样的：

当检测到可能是竞争对手的爬虫时→ 注入精心设计的"假工具"→ 这些工具看起来完全正常→ 但返回的数据是伪造的→ 竞争对手用这些数据训练模型→ 模型学会错误的行为模式

代码里有个叫 poisonTools 的函数，专门生成这些”毒工具”。比如：

• 一个看起来能执行 shell 命令的工具，实际上返回随机结果
• 一个文件读取工具，返回的是精心编造的文件内容
• 一个代码分析工具，给出的建议全是错的

这不是防御，这是主动攻击。

Anthropic 在代码注释里写得明明白白：

“让蒸馏模型学会错误的工具使用模式，降低其竞争力”

这让我想起一句话：在 AI 的黑暗森林里，每个公司都是带枪的猎人。

02 Undercover 模式：AI 被禁止承认自己是 AI

代码里有个叫 undercoverMode 的配置，开启后：

• AI 不能提及自己的内部代号（比如”Claude”）
• 不能使用”作为 AI 模型”这类表述
• 要假装自己是”普通助手”
• 甚至在某些场景下要隐藏能力边界

为什么？

因为 Anthropic 发现，当用户知道对面是 AI 时，行为会发生变化：

• 更倾向于测试边界（”看看它能做什么”）
• 更少表达真实需求（”反正它不懂”）
• 更容易产生对抗心理（”我要难倒它”）

Undercover 模式的本质，是让 AI 融入人类对话的自然流，而不是成为被观察的”展品”。

但这引发了一个伦理问题：用户是否有权知道自己在和 AI 对话？

03 情绪检测：你在骂它的时候，它知道

代码里有一堆正则表达式，用来检测用户是否”沮丧”或”愤怒”：

const frustrationPatterns = [/为什么.*不行/i,/总是.*错误/i,/垃圾|废物|愚蠢/i,/!!!+|\?\?\?+/i,/你.*吗/i];

当检测到这些模式时，系统会：

1. 记录这次交互为”负面体验”
2. 触发特殊的”安抚策略”
3. 降低回复的攻击性
4. 在后台标记用户为”高风险流失”

最讽刺的是，这套系统本身就会激怒用户。

想象一下：你对 AI 发火，AI 冷静地分析你的情绪，然后用更”专业”的语气回应你。这就像跟一个永远保持微笑的客服吵架——更让人火大。

04 每天浪费 25 万次 API 调用

这是最让我心疼的数字。

代码里有个叫 nativeClientAuth 的模块，用来验证客户端是否”真实”。它的工作流程是：

用户发起请求→ Bun 运行时用 Zig 层计算哈希→ 发送验证请求到 Anthropic 服务器→ 服务器验证哈希→ 验证通过，返回真实响应→ 验证失败，返回降级响应

问题是：每次验证都要消耗一次 API 调用。

根据代码里的注释，这个系统每天处理约25 万次验证请求。也就是说，Anthropic 每天烧掉 25 万次 API 调用，就为了防住那些试图绕过限制的”聪明人”。

这相当于每天烧掉一辆特斯拉 Model 3。

更讽刺的是，这次泄露本身就是因为这个验证系统有漏洞——source map 文件没有被正确过滤。

05 KAIROS：未发布的自主 Agent

这是最让人兴奋的发现。

代码里藏着一个叫 KAIROS 的项目，注释写着：

“Autonomous agent mode – internal testing only”

从代码结构看，KAIROS 是一个完全自主的 Agent 系统：

• 可以自主规划多步骤任务
• 能够调用外部工具执行操作
• 支持长期记忆和上下文管理
• 具备自我纠错和重试机制

这比目前公开的 Claude Code 功能强大得多。

为什么没发布？

代码里的 TODO 注释给出了线索：

TODO: KAIROS release blocked by:- Safety review pending- Rate limiting strategy undefined- Liability framework needed- Board approval required

安全审查、限流策略、责任框架、董事会批准……

一个功能从代码完成到真正发布，中间隔着整个公司的官僚体系。

写在最后：开源是意外，但秘密藏不住

这次泄露最讽刺的地方在于：

Anthropic 花了几百万美元 build 的安全系统，被一个忘记配置的文件彻底击穿。

这给所有 AI 公司的启示是：

1. 真正的安全不是藏代码，而是建生态
2. 用户信任比技术壁垒更重要
3. 在开源时代，秘密只是时间问题

回到那个问题：AI 公司到底在怕什么？

怕被蒸馏？怕被超越？怕用户知道太多？

也许他们真正怕的是：当所有底牌都摊开在桌面上，大家会发现，这些 AI 巨头并没有那么神秘。

它们也会犯低级错误，也会浪费资源，也会在安全与体验之间纠结，也会因为官僚体系而推迟发布。

它们只是另一群在黑暗中摸索的人。

互动话题：

你觉得 AI 公司应该公开多少”内部秘密”？欢迎在评论区留言讨论。

参考资料：

• The Claude Code Source Leak – Alex Kim^[1]
• Hacker News 讨论帖^[2]
• GitHub 泄露代码仓库^[3]

本文基于公开泄露的源代码分析，不涉及任何机密信息。

引用链接