#ClaudeCode500KCodeLeak

2026年4月1日，人工智能安全公司Anthropic（Claude系列模型背后的公司）意外曝光了其旗舰开发产品Claude Code的几乎完整源代码。此次事件并非由网络攻击、恶意内部人员或复杂的入侵造成，而是一次打包错误。一份错误的文件被发往公共注册库，仅数小时内，AI界便开始仔细研究这份包含50多万行专有代码的泄露。

事件经过

当Anthropic将@anthropic-ai/claude-code包的2.1.88版本发布到公共npm注册库时，构建过程中无意中将一个59.8兆字节的JavaScript源映射文件（cli.js.map）与其他包内容一同打包。源映射文件是调试用的产物，用于将打包、压缩或编译后的代码链接回人类可读的原始源代码。它们是严格的内部工具，绝不应被发放给最终用户或出现在公共包注册库中。

问题在于，这个特定的源映射文件并未指向混淆或编译后的代码，而是引用了未混淆的TypeScript源文件。任何下载了npm包并懂得使用源映射的人，都可以还原出原始的TypeScript代码库，且完全可导航。这正是发生的事情。

据报道，一位隶属于Solayer Labs的安全研究员（在X上以@Fried_rice为名）最先识别并解包了此次泄露。在短时间内，一个GitHub仓库出现，展示了被还原的源代码——大约52万行TypeScript代码，分布在约1900个文件中。该仓库在Anthropic回应之前迅速被Fork。

实际内容

此次泄露并未暴露Claude的基础模型权重、训练数据或任何客户凭证，Anthropic已明确确认。但泄露的内容可以说是次于模型本身的最敏感信息：详细展示了Claude Code的架构、其处理用户意图的方式、与模型的通信机制，以及幕后正在构建的内容。

分析代码的开发者和研究人员迅速传播了一些发现。

在代码库中发现了未发布模型的引用。出现的模型名包括Opus 4.7和Sonnet 4.8，以及内部代号Capybara和Mythos——后者几天前已通过一次意外泄露的未发布博客和文档部分曝光。Mythos和Capybara似乎指向同一款即将发布的模型，泄露的代码进一步确认了其正处于积极准备阶段。

代码中还发现了一个名为ultraplan的功能。这似乎是一个异步多智能体模式，设计用于较长的研究会话，预计完成时间在十到三十分钟之间。暗示Claude Code正被构建为协调多个智能体实例以完成长时间任务的架构能力，这在公开信息中尚未披露。

此外，还提到一个名为Kairos的功能，代码中描述为一个始终在线的主动代理，是一个可以在没有明确用户提示的情况下主动发起行动的后台进程。还有一个名为autoDream的功能，似乎是一个记忆巩固系统，可能旨在帮助智能体自动保持上下文或总结会话历史。

最令人意外的发现之一是一个内部命名为Buddy System的功能，似乎模拟一种AI伙伴行为，具有追踪混乱和讽刺程度的属性。不清楚这是一个严肃的产品特性还是内部实验，但在网络上引起了广泛关注。

在安全和遥测方面，代码显示Claude Code会记录特定用户表达，包括粗俗词汇如wtf和ffs，并在分析管道中标记为is_negative。更具结构意义的是，发现Claude Code的网络安全防护措施是以纯文本提示字符串实现的，而非硬编码逻辑，这意味着它们原则上可以被替换或修改而无需深层系统变更。代码库中还包含超过44个功能标志，大部分未在公开文档中披露。

代码还显示，超过120个开发工具名称被硬编码在产品中，表明Claude Code已被有意调优以识别并与特定集成进行不同交互。

社区反应与Fork

开发者社区反应迅速。仓库公开数小时内，出现了多个衍生项目。

其中一个名为OpenCode的Fork，旨在剥离Claude特定的模型依赖，替换为一个模块化后端，能够将请求路由到任何大型语言模型，包括GPT、Llama等。其目标是借鉴Claude Code的架构模式，同时实现模型无关。

另一个名为free-code的Fork则更进一步，移除遥测、禁用安全层，并启用实验性功能。为了避免DMCA下架，它通过IPFS分发，而非任何中心化托管平台。

这两个Fork都引发了法律上的问题。代码属于专有知识产权，未经许可的再分发和衍生使用在大多数司法管辖区都构成侵权。一些社区成员指出，即使详细分析代码也可能存在法律风险。尽管如此，代码仍在快速传播。

背景与先前事件

对Anthropic来说，此次事件的时机极为不利。在源映射事件发生前几天，公司曾因未发布的Mythos模型文档和博客被意外暴露在可被爬取的公共数据缓存中，造成尴尬。这次泄露在知识产权方面的损失更为严重。

截至2026年初，Anthropic的年化收入已达190亿美元，而Claude Code被估算带来25亿美元的年化经常性收入——这一数字在今年前几个月已翻倍。该产品是公司商业战略的核心。

多位评论员指出的讽刺是，Anthropic的Claude Code负责人在2025年末曾公开表示，他最近对产品的所有贡献都由Claude Code自己完成。社区推测，导致源映射文件被打包的错误可能是自动构建流程在没有充分人工审查的情况下运行的结果——也就是说，一个由AI部分塑造的产品，可能被同样的自动化所破坏。这一说法尚未得到确认，但引发了广泛关注。

据报道，一份由GPT-5.4和高端Claude模型共同进行的AI辅助代码审查，给出评分6.5（满分10），评价为“性能感知的意大利面条”——意味着代码在压力下表现出优化和反复修补的迹象，而非干净的基础设计。

Anthropic的回应

Anthropic发言人用简短声明确认了此次事件：今天早些时候，Claude Code的某次发布中包含了部分内部源代码。公司表示，没有客户数据或凭证被涉及或暴露。受影响的npm包已被迅速下架。被问及是否会对发布或Fork泄露仓库的人采取法律行动，Anthropic未作进一步评论。

截至2026年4月初，公开发布说明仍显示2.1.88为最新版本，npm分发路径在文档中被列为已弃用的兼容路径，表明公司已在迁移到其他分发机制。

更广泛的影响

此次事件处于AI行业多个持续讨论的交汇点。

首先，凸显了在没有完善构建流程的情况下，将AI开发工具通过公共包注册库发布的风险。尤其是npm生态系统，历来存在意外泄露的历史，但此次泄露的规模和敏感性尤为不同。

第二，提出了AI公司如何在追求速度与保障安全之间取得平衡的问题。Claude Code的快速增长，似乎也促成了未能在公开版本中排除调试产物的构建流程。

第三，泄露代码中隐藏功能、可替换的安全字符串和大量遥测数据，可能会加剧对AI编码工具处理用户数据和安全措施实际落实情况的审查，特别是在工程层面而非政策层面。

第四，出现旨在移除遥测和安全层的Fork，虽然在法律上可能存疑，但表明一旦专有AI工具在此级别被曝光，控制后续使用的能力会迅速减弱。

对竞争者而言，此次泄露提供了一个罕见且详细的视角，展示了迄今为止最具商业成功的AI编码产品之一。对Anthropic来说，当前的工作不仅是修补构建流程，更是评估哪些战略优势已被永久转移到公众领域。