Claude Code源码泄露48小时:GitHub冒出8000个仓库,一半以上是木马!

Anthropic Claude Code源码意外泄露，GitHub出现大量恶意修改版本，木马化程度触目惊心。开发者防不胜防。

4月的第一个星期，AI编程圈发生了一件让Anthropic彻夜难眠的事——

他们的王牌产品Claude Code，源码被公开了。

不是泄露给竞争对手那么简单。紧接着发生的事情，才是真正的噩梦。

一场精心设计的”趁火打劫”

事情经过很快：

Anthropic的Claude Code源码意外公开后，开发者社区GitHub上迅速出现了大量仓库——据《华尔街日报》统计，一度超过8000个。都是”好东西要分享”的姿态，里面装着刚刚泄露的Claude Code代码。

听起来很合理？安全研究人员的判断是：其中相当一部分从一开始就埋了恶意代码。

这些仓库的做法是，在代码里悄悄植入信息窃取木马（infostealer）。当开发者按教程把命令复制到终端执行时，木马就已经在后台运行了——你的浏览器密码、SSH密钥、加密货币钱包，全部拱手送出。

《连线》杂志的报道把这称为**” bonus malware”**——买一送一的恶意软件。

这不是第一次，也不会是最后一次

安全公司BleepingComputer追踪发现，黑客利用Claude Code热度植入木马，已经形成了成熟的攻击链：

1. 在GitHub大量上传”完整源码整合包”
2. 包里内置恶意脚本
3. 等待不明真相的开发者复制粘贴执行

这背后还有更早期的操作：早在3月，就有黑客在Google搜索结果里购买赞助广告位，伪装成Claude Code官方安装指南，引导用户执行下载木马的命令。

简单说，黑客早就盯上了Claude Code——泄露只是给他们省了搭建钓鱼站点的功夫。

Anthropic的72小时”公关战”

Anthropic的反应是紧急发送DMCA（数字千年版权法）删除通知。

但问题是：

• GitHub上实际存在8000多个仓库
• 逐个核查工作量极大
• 最后Anthropic把删除目标缩小到96个”核心副本和改编版本”
• 但实际能删除的，可能连这个数字都不到

泄露出去的代码像泼出去的水。GitHub的开放生态意味着：只要有一个人fork了仓库，它就永远存在于某个角落里。

Anthropic内部现在面临的局面是：一方面要控制传播，另一方面还要和众多”野生版本”赛跑。

细思极恐的几个问题

1. 谁是下一个目标？

Claude Code只是开始。随着AI编程工具越来越普及，Cursor、Windsurf、Cline这些工具的源码同样是黑客觊觎的对象。开发者的电脑里，往往存着各种API密钥和访问凭证——这是高价值目标。

2. 源码公开意味着什么？

对安全社区来说，泄露的源码可以帮助分析Claude Code的内部工作原理，寻找新的漏洞。对黑客来说，同样如此。这是一场不对称的竞赛：Anthropic修复一个漏洞，黑客可能已经发现了三个新的。

3. 国内开发者受伤最深

Claude Code在国内没有官方渠道，国内开发者普遍通过第三方渠道安装。源码泄露后，这些非官方渠道的安全性将进一步恶化——你永远不知道”优化版”里被塞了什么私货。

给开发者的三条保命建议

1. 不要在非官方渠道下载任何”源码整合包”，即便是GitHub上的
2. 不要复制粘贴来路不明的终端命令，特别是带curl或pip install的
3. 尽快检查自己的电脑是否有异常进程，密钥轮换永远是第一优先级

AI编程工具正在成为黑客的头号猎物。Claude Code源码泄露不是终点，充其量只是开始。

信息来源：WIRED / BleepingComputer / 华尔街日报，2026年4月