就在幾個小時前,一個名爲 Chaofan Shou 的用戶在 X 平臺上披露,Anthropic 旗下 AI 編程工具 Claude Code 的完整源代碼通過 npm 包中的 source map 文件意外暴露。
(來源:X)
Chaofan Shou 是 Web3 安全公司 FuzzLand 的實習研究員。他在檢查 Claude Code 的 npm 包時發現,包內的一個體積爲 57MB 的 cli.js.map 文件指向了一個 R2 存儲桶鏈接,其中包含 1,900 個 TypeScript 文件,共計 512,000 餘行未經混淆的完整源代碼。不需要反編譯、反混淆,便可輕鬆還原。
(來源:X)
數小時內,泄露代碼已被“熱心網友”歸檔至 GitHub,獲得超過 13,000 顆星和 20,000 次 fork。
(來源:GitHub)
泄露的原因相當基礎:source map 文件本應在生產構建時被排除,但由於.npmignore 配置疏漏或構建工具設置不當,導致這些包含完整原始代碼的文件被一同發佈到了 npm registry。
Anthropic 隨後緊急推送 npm 更新移除了 source map 文件,並刪除了早期版本。但爲時已晚,GitHub 上的歸檔已經永久保存,開發者們已開始分析代碼。
具體泄露了什麼?
根據 GitHub 倉庫的分析,泄露的代碼庫遠比外界想象的複雜。這不是一個簡單的 API 封裝,而是一個包含 40 多個權限控制工具、46,000 行查詢引擎代碼、多智能體協調系統、IDE 橋接功能和持久化記憶機制的完整生產級開發工具。
代碼中還發現了 35 個編譯時功能標誌、120 多個未公開的環境變量,以及 26 個內部斜槓命令(如/teleport、/dream、/good-claude 等)。其中 USER_TYPE=ant 環境變量可以爲 Anthropic 員工解鎖全部功能。泄露代碼中最引人注目的是大量尚未公開的實驗性功能:
BUDDY:終端裏的電子寵物
代碼中包含一個完整的類似 Tamagotchi 的 AI 伴侶系統,擁有確定性抽卡機制、物種稀有度等級、閃光變種、程序化生成的屬性,以及由 Claude 在首次孵化時撰寫的“靈魂描述”。
KAIROS:永不下線的 AI 助手
KAIROS 是一個持久化的常駐助手模式。它會持續監視、記錄,並主動對觀察到的事物採取行動。這一功能隱藏在 PROACTIVE/KAIROS 編譯標誌之後,在外部構建版本中完全不存在。KAIROS 會維護每日的追加日誌文件,記錄觀察、決策和操作。
autoDream:讓 Claude 學會“做夢”
代碼庫中存在一個名爲 autoDream 的後臺記憶整合引擎,作爲分叉子代理運行。這是一個反思性的記憶文件處理過程,用於將近期學習到的內容整合爲持久化、組織良好的記憶,以便後續會話能夠快速定位上下文。該系統通過“三重門控觸發”:距上次做夢 24 小時、至少 5 次會話、獲取整合鎖。
ULTRAPLAN:30 分鐘的遠程規劃會話
ULTRAPLAN 模式可以將複雜規劃任務交給運行 Opus 4.6 的遠程雲容器運行時會話,給予最多 30 分鐘的思考時間,用戶可以在瀏覽器中批准結果,然後通過特殊的
__ULTRAPLAN_TELEPORT_LOCAL__標記將結果“傳送”回本地終端。
此外泄露代碼還揭示了一些特殊模式:
·Coordinator Mode:多智能體協調模式,可並行生成和管理多個工作代理
·Bridge 模式:通過 claude.ai 或手機遠程控制本地 CLI
·Daemon 模式:完整的後臺會話管理器,支持 claude ps、attach、kill 等命令
·UDS Inbox:通過 Unix 域套接字讓多個 Claude 會話互相通信
此外,代碼中存在一個“Undercover Mode”(臥底模式),專門用於防止 Anthropic 員工(通過 USER_TYPE === ''ant''識別)在公開/開源倉庫貢獻代碼時意外泄露內部信息。
該模式在激活時會注入系統提示,明確禁止在 commit 消息或 PR 描述中包含:內部模型代號(如 Capybara 卡皮巴拉、Tengu 天狗等動物名)、未發佈的模型版本號、內部工具名、Slack 頻道、“Claude Code”字樣,甚至禁止提及自己是 AI。
代碼還透露,Anthropic 內部代號使用動物命名,“Tengu”(天狗)作爲前綴出現了數百次,幾乎可以確定是 Claude Code 的內部項目代號。
這是愚人節玩笑嗎?
值得玩味的是,泄露發生在 3 月 31 日,愚人節前一天。而代碼中多處細節暗示這可能是精心策劃的彩蛋:
BUDDY 系統使用的隨機數種子鹽值是''friend-2026-401'',其中 401 可能指代 4 月 1 日。代碼還標註了 4 月 1-7 日爲“預告窗口”,完整發布則定於 2026 年 5 月。
不過,考慮到泄露的代碼規模之大、工程細節之完整,加之這是 Anthropic 五天內的第二次重大泄露事件(3 月 26 日剛因 CMS 配置錯誤泄露了 Claude Mythos 模型信息和約 3,000 份未公開資產),將整起事件解釋爲愚人節玩笑似乎有些牽強。
值得一提的是,就在同一天,Axios npm 包也發生了被入侵事件。後者導致一個每週下載量達 8,300 萬次的包被植入跨平臺遠程訪問木馬。Claude Code 的泄露雖非惡意,但同樣說明 npm 包發佈流程中一個配置疏漏就可能暴露完整代碼庫。
而這也並非 Claude Code 首次出現安全問題。2025 年 2 月,Claude Code 早期版本就因同樣的問題曝光過,Anthropic 當時刪除了舊版本並修復了 source map 配置;去年 12 月,其系統提示詞也曾被完整泄露。加上幾天前的 CMS 配置錯誤導致 Claude Mythos 模型信息外泄(也在這次的泄露代碼中),Anthropic 近期的運維安全表現令人擔憂。
不過這次的泄露對普通用戶來說並沒有風險,泄露的主要是 CLI 的客戶端實現代碼,不涉及用戶數據。
而且,儘管這並非一次官方的“開源”行動,被公開的代碼已被開發者社區視爲寶藏。其中展示的 40+ 工具系統、多智能體協調、持久化記憶等生產級架構,爲 Agent 開發者提供了寶貴的參考藍本。這次泄露某種程度上可能推動 Agent 賽道的又一輪技術迭代。
參考鏈接:
1. https://x.com/Fried_rice/status/2038894956459290963
2. https://github.com/instructkr/claude-cn
