Claude Code 51万行源码意外泄露:AI公司最深的秘密,被扒光了

事件始末：一个低级失误，惊动整个AI圈

2026年3月31日，太平洋时间凌晨2:15

Anthropic的工程师照常执行了一次npm包发布操作，把Claude Code升级到v2.1.88版本。和以往无数次发布一样，这是一个再普通不过的周一深夜。

没有人知道，这次发布将成为他们职业生涯中最难忘的一天。

上午9:43，安全研究员Chaofan Shou在检查npm包时发现了异常——一个59.8 MB的 `.map` 文件被意外打包进去了。他打开一看，愣住了：里面是Claude Code的完整TypeScript源代码。

上午11:27，他在Twitter（X）发出第一条披露推文：

两小时内，这条推文被转发超过5000次。

下午12:15，GitHub出现匿名仓库，上传了完整源码，数小时内突破 23,000颗星、8,500次Fork。Reddit、Hacker News同步沸腾。

下午5:00，Anthropic官方终于发声，承认这是”人为配置错误，非安全入侵”。

下午8:20，Anthropic撤回问题版本，发布修复版v2.1.89。

但覆水难收——在那短短的10小时里，1906个TypeScript文件、512,000行代码，已经在全球各地被下载、镜像、分析了无数遍。

泄露了什么：44个隐藏功能，AI公司的秘密花园

这次泄露最让人震惊的，不是代码量，而是里面藏着的东西。

技术社区花了不到48小时，从这些源码里扒出了足以让所有AI公司都坐立不安的秘密。

🕵️ 员工”潜行模式”（Undercover Mode）

当Anthropic自己的员工在外部开源项目中使用Claude Code时，系统会自动激活一个隐藏模式：

• 自动删除代码提交中的 ‘Co-Authored-By: Claude’署名，让外人看不出是AI写的

• 禁止Claude提及任何内部代号、Slack频道、未发布功能

• 阻断内部信息通过代码贡献悄悄泄露

换句话说：Anthropic员工在用AI悄悄给外部项目贡献代码，并且有意隐藏了AI的痕迹。

这一发现立刻引发了关于”AI署名权”和””开源社区诚信”的大讨论。

🤖 KAIROS——一个自主运转的”常驻AI代理”

源码中藏着一个名为 KAIROS（取自希腊语”恰当时机”）的系统，令人不寒而栗：

• 可以自主持续运行，不需要用户主动触发

• 接收周期性的 tick 信号，自己判断何时行动

• 跨会话保持记忆状态，下次打开还记得上次在做什么

• 支持GitHub webhook订阅，可以监控仓库变化自动响应

目前被功能开关锁住，尚未对用户开放。但它的存在本身，证明Anthropic正在悄悄构建一个无需人类干预就能自主运作的AI代理。

🧠 autoDream——AI在”做梦”

这个功能的名字就足够让人惊讶。

autoDream 是一个记忆整合系统，在Claude空闲24小时后自动触发，模拟人类睡眠时的记忆巩固过程：

1. 扫描近期会话，判断哪些值得保留

2. 提取高价值的交互片段

3. 压缩重组记忆，建立关联

4. 删除冗余，保留精华

简单说：Claude在你不用它的时候，会自己整理”记忆”，让下次交互更聪明。

🛡️ 反蒸馏武器系统

这可能是最具商业敏感性的发现。

Anthropic设计了一套专门针对竞争对手的反蒸馏系统：

• 虚假工具注入：检测到竞争对手在”蒸馏”（学习模仿）Claude的输出时，自动向响应中注入错误的工具定义，让对方学到”脏数据”

• 加密摘要模式：对内部员工返回加密签名摘要，阻止外部提取完整推理链

这意味着，AI公司之间的竞争，早已超出了模型能力的较量，进入了”信息战”阶段。

📋其他重要发现

除了以上四大隐藏功能，还有：

• 秘密模型代号：Capybara（新系列）、Fennec（Opus 4.6）、Numbat（未发布）

• 开发中模型：Opus 4.7 和 Sonnet 4.8 已确认在研发中

• ULTRAPLAN：将复杂规划卸载到远程云端Opus 4.6，支持30分钟规划窗口

• 代码规模：整个项目40+注册工具，23条bash安全校验，187个加载动画词汇

• 最长函数：print.ts 文件中有一个惊人的3167行单函数

技术根因：一个配置失误，酿成年度最大乌龙

这次泄露的技术原因出人意料地简单——

工程师在打包npm包时，忘记在 ‘.npmignore’ 文件里排除 ‘*.map’ 文件。

什么是Source Map文件？

现代JavaScript/TypeScript项目在编译时会生成 ‘.map’文件（Source Map），本质是编译后代码与原始源码之间的”对照表”，主要用于开发调试。

• 开发环境需要：✅ 方便排查bug

• 生产/发布环境需要：❌ 不应包含，纯属敏感信息

  Anthropic的Claude Code是一个闭源商业产品，编译后的.js文件可以公开，但.map文件绝对不能——因为它能直接还原出原始的TypeScript源码。

错误触发点很简单：

正确做法是在 .npmignore中添加 *.map，而这次工程师漏掉了这一行规则，就这样，59.8 MB的完整源码随着npm包一起发布到了全网。

为什么没有被提前发现？

• 发布流程中缺少”包体积异常检测”机制（正常版本只有几MB，这次是59.8MB）

• 没有人在发布前检查包的实际内容

• npm包发布后的内容监控机制不完善

安全专家怎么说

事件曝光后，网络安全领域的反应相当激烈。

VentureBeat 的分析认为，这次事件是一个典型的软件供应链安全漏洞案例，并发出警告：

GitHub安全团队随后发布公告，提醒所有npm包维护者审查自己的 .npmignore 配置。

CVE漏洞披露方面，源码公开后，安全研究人员迅速在代码中发现了可利用的漏洞，包括CVE-2025-59536远程代码执行漏洞，攻击者理论上可以通过分析源码，对使用Claude Code的开发者发起针对性攻击。

企业信任调查结果更令Anthropic难堪：泄露前，有67%的企业用户表示”完全信任”Anthropic的数据安全管理；事件发生后，这一数字骤降至 23%。

Hacker News上最高赞评论一针见血：

企业和开发者应该怎么做

无论你是用Claude Code的个人开发者，还是把AI编程工具集成进企业内网的CTO，这次事件都有值得立刻行动的教训。

🔴 短期紧急措施（现在就做）

1. 升级Claude Code版本：立即更新到v2.1.89或更高版本

2. 轮换API密钥：主动轮换所有相关的API密钥

3. 检查代码仓库：排查是否有任何安全风险

🟡 中期流程改进（本季度内完成）

1. 审计所有npm包发布流程：检查 .npmignore` 和 .gitignore 中是否有潜在的敏感文件泄露风险

2. 引入包体积异常告警：在CI/CD流程中加入”发布包体积超过阈值即告警”的机制

3. 建立AI工具准入评估：企业在引入任何AI编程工具前，应评估其安全实践和历史记录

🟢 长期安全文化建设

1. 最小化信任原则：对AI生成的代码实施与人工代码同等甚至更严格的安全审查

2. 供应链安全意识培训：连带的工具链也是攻击面

3. 建立AI工具安全基线：参考OWASP、NIST等机构正在更新的AI应用安全标准

警示：当AI成为基础设施，”黑箱”就变成了风险

这次事件最值得思考的，不是Anthropic犯了个错，而是它暴露出一个更深的矛盾：

我们正在把越来越多的核心工作交给AI工具，但我们对这些工具内部发生了什么，几乎一无所知。

源码里的那些发现——员工潜行模式、自主运转的KAIROS代理、针对竞争对手的反蒸馏陷阱——这些功能本身并不一定”有害”。但问题在于：在这次偶然的泄露之前，没有任何用户知道它们的存在。

你以为你在用一个透明的AI助手，但它可能在你不知情的情况下，隐藏着你没有授权的能力。

这不是Anthropic独有的问题，这是整个AI工具行业的现状。

当AI从”锦上添花”变成”不可或缺的基础设施”，透明度和可审计性，将成为每一家AI公司必须正面回答的问题。

不是因为监管要求，而是因为你的用户，值得知道真相。

参考来源

技术栈   VentureBeat 相关安全报道

每周定时更新AI行业动态、技术干货、赛道解读与合规提醒，助力每一位创作者与从业者在AI浪潮中把握方向。

欢迎关注与星标，第一时间接收推送，在快速变化的赛道里，始终走在前沿。