Claude Code 一次史诗级源码泄露,彻底暴露了AI 的本质-夜雨聆风

Claude Code 一次史诗级源码泄露,彻底暴露了AI 的本质

个人其它平台技术视频：

小红书ID：码农有道
B站ID：码农有道
知乎ID：砖一块一块搬

注：公众号文章对应视频详解版已同步更新在小红书、B站，统一搜索「码农有道」就能找到。

前几天，AI 圈发生了一件颇具讽刺意味的事情。

一家一直强调“安全优先”、坚持闭源、声称一切都是为了“人类利益”的公司——Anthropic，竟然把自己的核心代码给泄露了。

而且，是以一种非常“不体面”的方式。

事情的起因并不复杂。

在一次 NPM 包发布中，Anthropic 意外将一个 57MB 的 source map 文件一起打包了进去。

如果你做过开发，应该知道这意味着什么：相当于把完整可读源码公开了。

很快，安全研究员发现了这个问题。短短几分钟内，这份包含 50 多万行 TypeScript 代码的源码开始在互联网疯狂传播。

当 Anthropic 的法务团队反应过来并发出 DMCA 下架请求时，一切已经来不及了。

代码已经被：

多次镜像
大量克隆
广泛传播

彻底“收不回来了”。

这件事最讽刺的地方在于：Anthropic 一直是闭源阵营的代表，甚至公开主张：闭源，是为了人类安全。

结果却因为一次低级失误，让自己变成了“最开放”的公司之一。

更离谱的是，开源社区迅速找到了“合法绕过”的方式：

有人用 Codex 把 TypeScript 改写成 Python，做出了 ClawCode
这个项目迅速冲上 GitHub 热榜，成为最快破 5 万 Star 的仓库之一
还有人做了 OpenClaude，让代码可以适配任意模型

短短一天时间，一个原本封闭的系统，被彻底“开源化”。

表面上看，这是一次打包失误。

但事情可能没那么简单。

这个项目使用了 bun.js 作为构建工具，而就在几周前，有人曾在 GitHub 上提过 issue：bun.js 可能会在生产环境暴露 source map

如果这一点属实，那就更讽刺了：“最快的 JavaScript 运行时”，也可能是“最快泄露代码的工具”。

相比“泄露事件”本身，更有意思的是：这份代码，让大家第一次真正看清了 Claude Code 的内部结构。

而结论，可以说有点“反直觉”。

1. 没有魔法，只有“提示词工程”

Claude Code 的本质，并不是什么神秘技术。更像是：一个由 TypeScript 拼接出来的“动态 Prompt 系统”

整个流程大概是：

system prompt + 用户输入
多层处理与拼接
最终交给模型生成输出

只不过，它做了 11 层处理流程，比普通聊天机器人复杂得多。

但核心仍然是：Prompt Engineering。

大量“哄模型”的硬编码

代码中最夸张的一点，是各种硬编码指令。

你会看到：

一段段超长字符串
反复强调行为约束
不断“提醒”模型不要做奇怪的事情

这也说明了一件事：当前的大模型，并没有我们想象中那么“稳定”

反蒸馏“毒丸”：主动误导对手

更有意思的是，代码里存在一种机制：Anti-distillation（反蒸馏）。

它的做法很“不地道”：故意让模型输出一些“看起来存在”的工具，但这些工具实际上根本不存在，结果就是：如果别人用 Claude 的输出来训练模型，会被带偏方向。

但现在代码泄露之后：哪些是真的，哪些是“毒丸”，一清二楚，这套防御，基本失效。

undercover mode：让 AI 看起来像人

代码里还有一个很有争议的功能：undercover mode，它的作用是：不允许模型在输出中提及自己，从而让代码看起来更像是人类写的。

“最先进 AI”，用正则判断你是不是在骂人

还有一个非常有戏剧性的功能：挫败感检测器（frustration detector）。

实现方式很简单：

用正则匹配关键词
比如脏话、吐槽词
判断用户是否体验不佳

如果命中，就记录日志。

是的，你没看错：一个“最先进的 AI 系统”，竟然在用正则表达式分析情绪。

真正暴露的，是产品路线图

比代码更敏感的，其实是：功能命名 + feature flag。

泄露中出现了很多未发布功能：

Buddy（类似电子宠物的 AI 伙伴）
Opus 4.7
Capybara（新模型）
Ultraplan / Demon Mode
Kairis（后台智能代理）

其中 Kairis，看起来像一个长期运行，用于自动记录日志、整理记忆、定时执行任务的Agent。

这次事件却说明：再严密的系统，也可能因为一个打包错误崩塌，再封闭的代码，也可能一夜之间彻底公开。再封闭的代码，也可能一夜之间彻底公开