就在幾個(gè)小時(shí)前,一個(gè)名為 Chaofan Shou 的用戶在 X 平臺(tái)上披露,Anthropic 旗下 AI 編程工具 Claude Code 的完整源代碼通過 npm 包中的 source map 文件意外暴露。
![]()
(來源:X)
Chaofan Shou 是 Web3 安全公司 FuzzLand 的實(shí)習(xí)研究員。他在檢查 Claude Code 的 npm 包時(shí)發(fā)現(xiàn),包內(nèi)的一個(gè)體積為 57MB 的 cli.js.map 文件指向了一個(gè) R2 存儲(chǔ)桶鏈接,其中包含 1,900 個(gè) TypeScript 文件,共計(jì) 512,000 余行未經(jīng)混淆的完整源代碼。不需要反編譯、反混淆,便可輕松還原。
![]()
(來源:X)
數(shù)小時(shí)內(nèi),泄露代碼已被“熱心網(wǎng)友”歸檔至 GitHub,獲得超過 13,000 顆星和 20,000 次 fork。
![]()
(來源:GitHub)
泄露的原因相當(dāng)基礎(chǔ):source map 文件本應(yīng)在生產(chǎn)構(gòu)建時(shí)被排除,但由于.npmignore 配置疏漏或構(gòu)建工具設(shè)置不當(dāng),導(dǎo)致這些包含完整原始代碼的文件被一同發(fā)布到了 npm registry。
Anthropic 隨后緊急推送 npm 更新移除了 source map 文件,并刪除了早期版本。但為時(shí)已晚,GitHub 上的歸檔已經(jīng)永久保存,開發(fā)者們已開始分析代碼。
具體泄露了什么?
根據(jù) GitHub 倉(cāng)庫(kù)的分析,泄露的代碼庫(kù)遠(yuǎn)比外界想象的復(fù)雜。這不是一個(gè)簡(jiǎn)單的 API 封裝,而是一個(gè)包含 40 多個(gè)權(quán)限控制工具、46,000 行查詢引擎代碼、多智能體協(xié)調(diào)系統(tǒng)、IDE 橋接功能和持久化記憶機(jī)制的完整生產(chǎn)級(jí)開發(fā)工具。
代碼中還發(fā)現(xiàn)了 35 個(gè)編譯時(shí)功能標(biāo)志、120 多個(gè)未公開的環(huán)境變量,以及 26 個(gè)內(nèi)部斜杠命令(如/teleport、/dream、/good-claude 等)。其中 USER_TYPE=ant 環(huán)境變量可以為 Anthropic 員工解鎖全部功能。泄露代碼中最引人注目的是大量尚未公開的實(shí)驗(yàn)性功能:
BUDDY:終端里的電子寵物
代碼中包含一個(gè)完整的類似 Tamagotchi 的 AI 伴侶系統(tǒng),擁有確定性抽卡機(jī)制、物種稀有度等級(jí)、閃光變種、程序化生成的屬性,以及由 Claude 在首次孵化時(shí)撰寫的“靈魂描述”。
KAIROS:永不下線的 AI 助手
KAIROS 是一個(gè)持久化的常駐助手模式。它會(huì)持續(xù)監(jiān)視、記錄,并主動(dòng)對(duì)觀察到的事物采取行動(dòng)。這一功能隱藏在 PROACTIVE/KAIROS 編譯標(biāo)志之后,在外部構(gòu)建版本中完全不存在。KAIROS 會(huì)維護(hù)每日的追加日志文件,記錄觀察、決策和操作。
autoDream:讓 Claude 學(xué)會(huì)“做夢(mèng)”
代碼庫(kù)中存在一個(gè)名為 autoDream 的后臺(tái)記憶整合引擎,作為分叉子代理運(yùn)行。這是一個(gè)反思性的記憶文件處理過程,用于將近期學(xué)習(xí)到的內(nèi)容整合為持久化、組織良好的記憶,以便后續(xù)會(huì)話能夠快速定位上下文。該系統(tǒng)通過“三重門控觸發(fā)”:距上次做夢(mèng) 24 小時(shí)、至少 5 次會(huì)話、獲取整合鎖。
ULTRAPLAN:30 分鐘的遠(yuǎn)程規(guī)劃會(huì)話
ULTRAPLAN 模式可以將復(fù)雜規(guī)劃任務(wù)交給運(yùn)行 Opus 4.6 的遠(yuǎn)程云容器運(yùn)行時(shí)會(huì)話,給予最多 30 分鐘的思考時(shí)間,用戶可以在瀏覽器中批準(zhǔn)結(jié)果,然后通過特殊的__ULTRAPLAN_TELEPORT_LOCAL__標(biāo)記將結(jié)果“傳送”回本地終端。
此外泄露代碼還揭示了一些特殊模式:
·Coordinator Mode:多智能體協(xié)調(diào)模式,可并行生成和管理多個(gè)工作代理
·Bridge 模式:通過 claude.ai 或手機(jī)遠(yuǎn)程控制本地 CLI
·Daemon 模式:完整的后臺(tái)會(huì)話管理器,支持 claude ps、attach、kill 等命令
·UDS Inbox:通過 Unix 域套接字讓多個(gè) Claude 會(huì)話互相通信
此外,代碼中存在一個(gè)“Undercover Mode”(臥底模式),專門用于防止 Anthropic 員工(通過 USER_TYPE === 'ant'識(shí)別)在公開/開源倉(cāng)庫(kù)貢獻(xiàn)代碼時(shí)意外泄露內(nèi)部信息。
該模式在激活時(shí)會(huì)注入系統(tǒng)提示,明確禁止在 commit 消息或 PR 描述中包含:內(nèi)部模型代號(hào)(如 Capybara 卡皮巴拉、Tengu 天狗等動(dòng)物名)、未發(fā)布的模型版本號(hào)、內(nèi)部工具名、Slack 頻道、“Claude Code”字樣,甚至禁止提及自己是 AI。
代碼還透露,Anthropic 內(nèi)部代號(hào)使用動(dòng)物命名,“Tengu”(天狗)作為前綴出現(xiàn)了數(shù)百次,幾乎可以確定是 Claude Code 的內(nèi)部項(xiàng)目代號(hào)。
這是愚人節(jié)玩笑嗎?
值得玩味的是,泄露發(fā)生在 3 月 31 日,愚人節(jié)前一天。而代碼中多處細(xì)節(jié)暗示這可能是精心策劃的彩蛋:
BUDDY 系統(tǒng)使用的隨機(jī)數(shù)種子鹽值是'friend-2026-401',其中 401 可能指代 4 月 1 日。代碼還標(biāo)注了 4 月 1-7 日為“預(yù)告窗口”,完整發(fā)布則定于 2026 年 5 月。
不過,考慮到泄露的代碼規(guī)模之大、工程細(xì)節(jié)之完整,加之這是 Anthropic 五天內(nèi)的第二次重大泄露事件(3 月 26 日剛因 CMS 配置錯(cuò)誤泄露了 Claude Mythos 模型信息和約 3,000 份未公開資產(chǎn)),將整起事件解釋為愚人節(jié)玩笑似乎有些牽強(qiáng)。
值得一提的是,就在同一天,Axios npm 包也發(fā)生了被入侵事件。后者導(dǎo)致一個(gè)每周下載量達(dá) 8,300 萬(wàn)次的包被植入跨平臺(tái)遠(yuǎn)程訪問木馬。Claude Code 的泄露雖非惡意,但同樣說明 npm 包發(fā)布流程中一個(gè)配置疏漏就可能暴露完整代碼庫(kù)。
而這也并非 Claude Code 首次出現(xiàn)安全問題。2025 年 2 月,Claude Code 早期版本就因同樣的問題曝光過,Anthropic 當(dāng)時(shí)刪除了舊版本并修復(fù)了 source map 配置;去年 12 月,其系統(tǒng)提示詞也曾被完整泄露。加上幾天前的 CMS 配置錯(cuò)誤導(dǎo)致 Claude Mythos 模型信息外泄(也在這次的泄露代碼中),Anthropic 近期的運(yùn)維安全表現(xiàn)令人擔(dān)憂。
不過這次的泄露對(duì)普通用戶來說并沒有風(fēng)險(xiǎn),泄露的主要是 CLI 的客戶端實(shí)現(xiàn)代碼,不涉及用戶數(shù)據(jù)。
而且,盡管這并非一次官方的“開源”行動(dòng),被公開的代碼已被開發(fā)者社區(qū)視為寶藏。其中展示的 40+ 工具系統(tǒng)、多智能體協(xié)調(diào)、持久化記憶等生產(chǎn)級(jí)架構(gòu),為 Agent 開發(fā)者提供了寶貴的參考藍(lán)本。這次泄露某種程度上可能推動(dòng) Agent 賽道的又一輪技術(shù)迭代。
1. https://x.com/Fried_rice/status/2038894956459290963
2. https://github.com/instructkr/claude-cn
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.