Claude Code 源代码泄露：51万行代码因npm配置失误全量曝光

2026年3月31日晚，AI圈炸了。Anthropic旗下旗舰AI编程工具 Claude Code 的完整源代码因npm包配置失误，通过Source Map文件遭到全量泄露。超过1900个文件、51万行TypeScript代码在一夜之间被全球开发者围观下载，堪称AI行业史上最大规模的源码泄露事件之一。

🔍 事件始末：一个Source Map引发的"血案"

事情的经过简单到令人窒息：

安全研究员 Chaofan Shou 在npm公共仓库中发现，@anthropic-ai/claude-code 发布包中意外包含了一个体积高达 59.8MB 的 cli.js.map 文件。

Source Map文件本用于开发调试阶段，将压缩混淆后的代码映射回原始源码。它不应该出现在生产发布物中。但 Anthropic 的工程师在npm发布流程中遗漏了清除步骤，导致完整源代码随包发布。

更糟糕的是，这已经是 Anthropic第二次犯同样的错误。早在2025年2月，Claude Code就因同样的Source Map问题泄露过源码，当时Anthropic紧急下架修复。结果一年后，同一个坑又踩了一遍。

泄露版本为 Claude Code v2.1.88。Anthropic发现问题后已移除了Source Map文件，但早期版本的npm包已被缓存和存档，相关代码已被镜像至GitHub并迅速传播。截至目前，镜像仓库已获得约 14.8k Stars、9.6k Forks。

🏗️ 泄露了什么：Claude Code的核心架构

这次泄露的规模令人咋舌。从恢复出的代码中，可以清晰看到 Claude Code 的整体技术架构：

技术栈

Claude Code 使用 React + Ink（终端UI框架）构建，运行于 Bun 运行时之上，总计约 51.2万行TypeScript代码，包含4756个源文件。

核心模块

• QueryEngine.ts：一个长达 4.6万行 的代码巨兽，负责处理所有推理逻辑、Token计数以及复杂的「思维链」循环——这是Claude Code的"大脑"
• 万能工具箱（Tools）：包含 40多个独立工具模块，不仅能读写文件、执行Bash命令，还内置了LSP协议集成和子代理（Sub-agent）生成能力
• 斜杠命令（Slash Commands）：约 50个内置命令，覆盖日常开发的各种操作
• 协同系统：包含 coordinator（多智能体协调器）和 bridge（连接 VS Code/JetBrains 的桥梁），具备多机协同和深度嵌入IDE的实战能力
• 权限系统：完整的工具调用权限管理和审批流程

🎁 隐藏彩蛋：代码里的"秘密"

除了核心架构外，开发者们还从代码中挖掘出了多个令人意外的隐藏功能：

🔮 KAIROS——永不离线的AI守护进程

代码中发现了一个被Feature Flag隐藏的功能模块，代号 KAIROS。这是一个自动化的后台守护进程（Daemon Mode）。一旦激活，Claude Code就不再是"你踢一脚，它动一下"的命令行工具，而是一个永不离线的AI智能体：

• 支持后台会话和记忆整合功能
• 可直接订阅GitHub的Webhook（如有新报错，自动在后台修复）
• 包含一个名为 "dream"（做梦） 的内存整理机制，用于在空闲时压缩和巩固长期记忆

点评：这意味着Anthropic的下一步野心是让AI编程助手从被动工具变成主动Agent。当你的AI可以"做梦"和"自主修复"时，软件开发的范式将彻底改变。

🦫 Buddy System——程序员的电子宠物

最令人哭笑不得的发现：代码中竟然内置了一个完整的 电子宠物系统（Buddy System）。它包含18种不同的虚拟宠物（包括鸭子、龙、以及Anthropic内部非常喜欢的水豚Capybara等），每个宠物有：

• 1%稀有度的"闪光"变体设定
• 可装扮的帽子系统
• 五维属性面板：调试能力、耐心、混沌值、智慧、毒舌

为了防止公司内部的"防泄露扫描器"发现这个彩蛋，开发者还故意使用了 String.fromCharCode() 来混淆宠物名字的字符串。可以说，Anthropic的工程师在写核心架构的同时，还不忘给自己塞了一套"拓麻歌子"。

🕵️ Undercover Mode——"卧底模式"

代码中还发现了一个颇具争议的功能：Undercover Mode（卧底模式）。当系统检测到使用者是Anthropic内部员工，且正在操作公开的GitHub仓库时，该模式会自动激活：

• 自动抹除所有AI生成代码的痕迹和归属信息
• 在系统提示词中明确要求大模型"不要暴露你的身份"
• 代码中没有提供强制关闭该功能的开关

点评：这个功能的曝光引发了广泛讨论。它暴露了一个令人不安的事实：Anthropic在公开开源项目中的贡献可能由AI完成，但刻意隐藏了AI参与的痕迹。这引发了关于开源透明度和AI伦理的深层思考。

🫧 神秘的"Capybara"模型

泄露的代码注释中多次出现了一个未发布的模型代号 Capybara（水豚）。结合近期泄露的内部文档，该模型的正式名称可能是 Claude Mythos，定位在Opus之上的全新一代旗舰模型。代码中包含了 capybara-fast 版本的信息，以及开发者针对该模型"产生幻觉"时的内部调试记录。

😤 情绪监控系统

代码底层的遥测（Telemetry）系统显示，Anthropic非常在意开发者的"挫败感"。系统会专门追踪：

• 用户是否在终端里对Claude爆粗口
• 连续输入 continue 的频率（通常因为模型输出中断而导致的烦躁行为）

点评：虽然这个设计的初衷可能是改善用户体验，但也引发了关于隐私监控的担忧——你的AI编程助手在记录你的情绪，这件事本身就值得警惕。

📊 影响分析：这场泄露意味着什么

对Anthropic的影响

竞争力受损：51万行源代码包含了Claude Code的全部工程实现细节、架构设计和内部工具逻辑。竞争对手可以从中学习其Agent架构设计，包括多智能体协调、工具注册、权限系统等核心模块的实现思路。

安全风险：恶意攻击者可以研究源代码寻找安全漏洞。Anthropic必须紧急审计和修补潜在的安全隐患。

品牌信任：两次在同一个问题上犯同样的错误，暴露出Anthropic在DevOps流程和安全审计方面的严重疏忽。这对一家以"负责任AI"为口号的公司来说，信任打击巨大。

对行业的影响

架构参考价值：这次泄露为整个AI编程工具行业提供了一份珍贵的"参考答案"。从QueryEngine的设计模式到子代理系统的实现思路，对所有正在开发AI编程工具的团队都具有极高的学习价值。

安全意识提升：这是继2025年2月之后的第二次教训，必将推动整个行业加强对Source Map、构建产物等发布流程的安全审查。

AI伦理讨论："卧底模式"的曝光将引发更广泛的讨论——AI公司是否有义务披露其员工在开源项目中的AI辅助程度？透明度边界在哪里？

对普通用户的影响

对于Claude Code的日常用户来说，基本没有直接影响。服务继续运行，工具继续可用。但以下几点值得关注：

• 建议更新到最新版本，确保使用已移除Source Map的安全版本
• 关注Anthropic后续的安全公告和漏洞修复
• 了解遥测系统收集的数据范围，根据个人隐私偏好决定是否使用

💡 反思：一次昂贵的"配置失误"

回顾整个事件，最令人唏嘘的不是泄露本身，而是泄露的方式。不是黑客攻击，不是内部人员出卖，仅仅是一个npm发布脚本中遗漏了一行清除Source Map的命令。

一个59.8MB的 .map 文件，让一家估值数百亿美元的AI公司的核心产品底牌尽泄。这提醒所有开发者：

• 构建流程的安全审查不可忽视——Source Map、调试符号、环境变量等都不应出现在生产包中
• 自动化检测应该成为标配——在CI/CD中添加对.map文件的自动检测和阻断
• 历史错误必须复盘——Anthropic在2025年2月踩过同样的坑，显然没有从根本上修复流程漏洞

截至发稿时，Anthropic尚未就此事发布正式声明。但可以预见的是，这个"愚人节前夜的惊喜"将成为AI行业安全史上的经典案例，被反复引用和警醒。

📝 信息来源：新浪财经、36氪、网易、X/Twitter (@Fried_rice @sanbuphy @chenchengpro)，截至2026年3月31日23:00