Claude Code源代碼泄露：512K行代碼曝光，內(nèi)含大量未發(fā)布功能

就在幾個(gè)小時(shí)前，一個(gè)名為 Chaofan Shou 的用戶在 X 平臺(tái)上披露，Anthropic 旗下 AI 編程工具 Claude Code 的完整源代碼通過 npm 包中的 source map 文件意外暴露。

（來源：X）

Chaofan Shou 是 Web3 安全公司 FuzzLand 的實(shí)習(xí)研究員。他在檢查 Claude Code 的 npm 包時(shí)發(fā)現(xiàn)，包內(nèi)的一個(gè)體積為 57MB 的 cli.js.map 文件指向了一個(gè) R2 存儲(chǔ)桶鏈接，其中包含 1,900 個(gè) TypeScript 文件，共計(jì) 512,000 余行未經(jīng)混淆的完整源代碼。不需要反編譯、反混淆，便可輕松還原。

(來源：X)

數(shù)小時(shí)內(nèi)，泄露代碼已被“熱心網(wǎng)友”歸檔至 GitHub，獲得超過 13,000 顆星和 20,000 次 fork。

(來源：GitHub）

泄露的原因相當(dāng)基礎(chǔ)：source map 文件本應(yīng)在生產(chǎn)構(gòu)建時(shí)被排除，但由于.npmignore 配置疏漏或構(gòu)建工具設(shè)置不當(dāng)，導(dǎo)致這些包含完整原始代碼的文件被一同發(fā)布到了 npm registry。

Anthropic 隨后緊急推送 npm 更新移除了 source map 文件，并刪除了早期版本。但為時(shí)已晚，GitHub 上的歸檔已經(jīng)永久保存，開發(fā)者們已開始分析代碼。

具體泄露了什么？

根據(jù) GitHub 倉(cāng)庫(kù)的分析，泄露的代碼庫(kù)遠(yuǎn)比外界想象的復(fù)雜。這不是一個(gè)簡(jiǎn)單的 API 封裝，而是一個(gè)包含 40 多個(gè)權(quán)限控制工具、46,000 行查詢引擎代碼、多智能體協(xié)調(diào)系統(tǒng)、IDE 橋接功能和持久化記憶機(jī)制的完整生產(chǎn)級(jí)開發(fā)工具。

代碼中還發(fā)現(xiàn)了 35 個(gè)編譯時(shí)功能標(biāo)志、120 多個(gè)未公開的環(huán)境變量，以及 26 個(gè)內(nèi)部斜杠命令（如/teleport、/dream、/good-claude 等）。其中 USER_TYPE=ant 環(huán)境變量可以為 Anthropic 員工解鎖全部功能。泄露代碼中最引人注目的是大量尚未公開的實(shí)驗(yàn)性功能：

BUDDY：終端里的電子寵物

代碼中包含一個(gè)完整的類似 Tamagotchi 的 AI 伴侶系統(tǒng)，擁有確定性抽卡機(jī)制、物種稀有度等級(jí)、閃光變種、程序化生成的屬性，以及由 Claude 在首次孵化時(shí)撰寫的“靈魂描述”。

KAIROS：永不下線的 AI 助手

KAIROS 是一個(gè)持久化的常駐助手模式。它會(huì)持續(xù)監(jiān)視、記錄，并主動(dòng)對(duì)觀察到的事物采取行動(dòng)。這一功能隱藏在 PROACTIVE/KAIROS 編譯標(biāo)志之后，在外部構(gòu)建版本中完全不存在。KAIROS 會(huì)維護(hù)每日的追加日志文件，記錄觀察、決策和操作。

autoDream：讓 Claude 學(xué)會(huì)“做夢(mèng)”

代碼庫(kù)中存在一個(gè)名為 autoDream 的后臺(tái)記憶整合引擎，作為分叉子代理運(yùn)行。這是一個(gè)反思性的記憶文件處理過程，用于將近期學(xué)習(xí)到的內(nèi)容整合為持久化、組織良好的記憶，以便后續(xù)會(huì)話能夠快速定位上下文。該系統(tǒng)通過“三重門控觸發(fā)”：距上次做夢(mèng) 24 小時(shí)、至少 5 次會(huì)話、獲取整合鎖。

ULTRAPLAN：30 分鐘的遠(yuǎn)程規(guī)劃會(huì)話

ULTRAPLAN 模式可以將復(fù)雜規(guī)劃任務(wù)交給運(yùn)行 Opus 4.6 的遠(yuǎn)程云容器運(yùn)行時(shí)會(huì)話，給予最多 30 分鐘的思考時(shí)間，用戶可以在瀏覽器中批準(zhǔn)結(jié)果，然后通過特殊的__ULTRAPLAN_TELEPORT_LOCAL__標(biāo)記將結(jié)果“傳送”回本地終端。

此外泄露代碼還揭示了一些特殊模式：

·Coordinator Mode：多智能體協(xié)調(diào)模式，可并行生成和管理多個(gè)工作代理

·Bridge 模式：通過 claude.ai 或手機(jī)遠(yuǎn)程控制本地 CLI

·Daemon 模式：完整的后臺(tái)會(huì)話管理器，支持 claude ps、attach、kill 等命令

·UDS Inbox：通過 Unix 域套接字讓多個(gè) Claude 會(huì)話互相通信

此外，代碼中存在一個(gè)“Undercover Mode”（臥底模式），專門用于防止 Anthropic 員工（通過 USER_TYPE === 'ant'識(shí)別）在公開/開源倉(cāng)庫(kù)貢獻(xiàn)代碼時(shí)意外泄露內(nèi)部信息。

該模式在激活時(shí)會(huì)注入系統(tǒng)提示，明確禁止在 commit 消息或 PR 描述中包含：內(nèi)部模型代號(hào)（如 Capybara 卡皮巴拉、Tengu 天狗等動(dòng)物名）、未發(fā)布的模型版本號(hào)、內(nèi)部工具名、Slack 頻道、“Claude Code”字樣，甚至禁止提及自己是 AI。

代碼還透露，Anthropic 內(nèi)部代號(hào)使用動(dòng)物命名，“Tengu”（天狗）作為前綴出現(xiàn)了數(shù)百次，幾乎可以確定是 Claude Code 的內(nèi)部項(xiàng)目代號(hào)。

這是愚人節(jié)玩笑嗎？

值得玩味的是，泄露發(fā)生在 3 月 31 日，愚人節(jié)前一天。而代碼中多處細(xì)節(jié)暗示這可能是精心策劃的彩蛋：

BUDDY 系統(tǒng)使用的隨機(jī)數(shù)種子鹽值是'friend-2026-401'，其中 401 可能指代 4 月 1 日。代碼還標(biāo)注了 4 月 1-7 日為“預(yù)告窗口”，完整發(fā)布則定于 2026 年 5 月。

不過，考慮到泄露的代碼規(guī)模之大、工程細(xì)節(jié)之完整，加之這是 Anthropic 五天內(nèi)的第二次重大泄露事件（3 月 26 日剛因 CMS 配置錯(cuò)誤泄露了 Claude Mythos 模型信息和約 3,000 份未公開資產(chǎn)），將整起事件解釋為愚人節(jié)玩笑似乎有些牽強(qiáng)。

值得一提的是，就在同一天，Axios npm 包也發(fā)生了被入侵事件。后者導(dǎo)致一個(gè)每周下載量達(dá) 8,300 萬(wàn)次的包被植入跨平臺(tái)遠(yuǎn)程訪問木馬。Claude Code 的泄露雖非惡意，但同樣說明 npm 包發(fā)布流程中一個(gè)配置疏漏就可能暴露完整代碼庫(kù)。

而這也并非 Claude Code 首次出現(xiàn)安全問題。2025 年 2 月，Claude Code 早期版本就因同樣的問題曝光過，Anthropic 當(dāng)時(shí)刪除了舊版本并修復(fù)了 source map 配置；去年 12 月，其系統(tǒng)提示詞也曾被完整泄露。加上幾天前的 CMS 配置錯(cuò)誤導(dǎo)致 Claude Mythos 模型信息外泄（也在這次的泄露代碼中），Anthropic 近期的運(yùn)維安全表現(xiàn)令人擔(dān)憂。

不過這次的泄露對(duì)普通用戶來說并沒有風(fēng)險(xiǎn)，泄露的主要是 CLI 的客戶端實(shí)現(xiàn)代碼，不涉及用戶數(shù)據(jù)。

而且，盡管這并非一次官方的“開源”行動(dòng)，被公開的代碼已被開發(fā)者社區(qū)視為寶藏。其中展示的 40+ 工具系統(tǒng)、多智能體協(xié)調(diào)、持久化記憶等生產(chǎn)級(jí)架構(gòu)，為 Agent 開發(fā)者提供了寶貴的參考藍(lán)本。這次泄露某種程度上可能推動(dòng) Agent 賽道的又一輪技術(shù)迭代。

1. https://x.com/Fried_rice/status/2038894956459290963

2. https://github.com/instructkr/claude-cn