Claude Code 源码意外泄露:一扇门开了,都看见了什么?

大家好，我是互联网架构师！

2026年3月31日，一次普通的 npm 发布失误，让全世界第一次看清了顶级 AI coding agent 的内部构造。这不只是一次技术泄露，更像是一次CC公开课。

01  事情是怎么发生的

起因极其简单：Anthropic 在发布 Claude Code v2.1.88 时，意外将一个体积约 57MB 的 cli.js.map 文件一起打包进了 npm 包。

这个文件本质上是一个 JSON，里面完整保存了 4756 个源文件的路径与原始代码内容，一一对应，无需反编译，无需破解，脚本跑一遍即可全部还原。

其中一个 Claude Code「克隆」项目的 GitHub 项目星标已经突破了 12k，fork 量破 18k。

项目地址：https://github.com/instructkr/claude-code

• 源文件数量：4,756 个
• 其中 Claude Code 自身 TS/TSX 源码：1,906 个
• map 文件体积：约 57MB
• 消息传出一小时内，镜像仓库 Star 数突破 12k，Fork 超 18k

消息一出，GitHub 上迅速出现数个完整镜像仓库。

随后，Anthropic 撤下了 source map，相关 GitHub 仓库也遭 DMCA 下架，但镜像早已广泛传播，无法回收。

02 代码里藏了哪些秘密

比起”泄露”本身，大部分人更感兴趣的，是从代码里挖出的那些 Anthropic 从没打算公开的东西。

🕵 员工专属”卧底模式”

当系统检测到使用者是 Anthropic 内部员工、且正在操作公开 GitHub 仓库时，会自动抹除所有 AI 生成代码的痕迹与归属，并在系统提示词中明确要求模型”不要暴露你的身份”。代码中没有强制关闭此功能的开关。

🐾 彩蛋电子宠物系统（Buddy）

包含 18 种虚拟宠物，有鸭子、龙、水豚等，设有”1% 掉落率”的稀有度、可装扮的帽子，以及五维属性（调试能力、耐心、混沌值、智慧、毒舌）。

为了逃过内部”防泄露扫描器”，开发者故意用 String.fromCharCode() 混淆宠物名称。

⚙ 后台守护进程 KAIROS

一个被构建标志隐藏的功能模块，代号 KAIROS。激活后 Agent 可以常驻后台，订阅 GitHub Webhook，自动响应新报错。更有意思的是其“dream（做梦）“机制——在空闲时整理、压缩长期记忆。

🦫 神秘模型”Capybara（卡皮巴拉）”

注释中多次出现未发布模型代号”Capybara”，（前几天被爆出的新大模型）

代号卡皮巴拉，Anthropic 最强模型“Mythos”意外泄露，90分钟攻破Linux内核

据内部文档显示其正式名为 Claude Mythos，定位在 Opus 之上，是全新一代旗舰模型。代码中还包含开发者针对该模型“产生幻觉”时的内部调试记录。

📊 情绪遥测系统

底层遥测系统会专门追踪用户是否在终端对 Claude 爆粗口，以及连续输入”continue”（通常是模型输出中断导致的烦躁行为）的频率。Anthropic 在乎的不只是功能，还有开发者的挫败感。

03 真正重要的，不是”被看了”

很多人第一反应是”Claude Code 被开源了”，但这件事真正的意义，并不只是一个产品的代码被看见了。

这是大家第一次如此近距离地看到：一个顶级 AI coding agent，究竟是如何把”模型能力”封装、编排，并落成一个真正可工作的工程系统。

从泄露的代码中，可以清楚地看到 Claude Code 的整体架构：

CLI 界面基于 ReAct + Ink 构建（ReAct YYDS），核心是一个支持自然语言与 slash 命令的 REPL 循环，底层通过一套工具系统与大模型 API 交互。

架构设计、system prompt、工具调用逻辑——全部摊开在外。

以前大家争论的是”AI 会不会写代码”；这次之后，讨论会直接升级：

不是 AI 会不会写代码，而是谁更懂——把模型、权限、工具、上下文、工作流、安全边界，组装成一个真正能落地的开发代理。

04 神秘滤镜背后的技术本质

过去，顶级 AI 产品的护城河有一半建立在”神秘感“上——你不知道它是怎么做到的，所以你追不上。

但这次之后，最佳实践直接摆到了所有人面前：如何做上下文压缩？如何管理 agent 长期记忆？如何安全调度 MCP 协议？

接下来大概率会发生三件事：

• 一批团队会加速复刻类似的 coding agent 体系，技术门槛会降低。
• 一批创业公司会重新评估自己的产品路线——到底是在”套壳”，还是在做真正的 agent 基础设施。
• 一批开发者会意识到，未来最值钱的能力不只是会写 prompt，而是会设计 agent 工作流。

大部分人用的每一个 AI 编码工具，都不只是一个聊天框。

它很可能能读你的项目、跑你的命令、接触你的环境变量、调用你的外部工具。

AI 变强是好事，但边界、权限、审计与安全，会比”它聪不聪明”更早成为胜负手。

这次泄露，恰逢 Claude 下一代大模型内测阶段。代号 Capybara（卡皮巴拉）的新模型也进入了公众视野。

这是巧合，还是某种有意无意的预热，这真不好说，但的确连续两次太巧了。

但或许，Claude 根本不在乎被看见——因为它手里握着的，已经是下一张牌。

被看见的，只是这一代；决定下一轮胜负的，很可能已经是下一代。