Claude Code 泄露的代碼里，處處寫著：這家公司人品不行

　　整理 | Tina

　　這周，Anthropic 因一次發(fā)布失誤，把 Claude Code 的大部分核心源碼直接暴露在了網(wǎng)上。

　　事情的起點，是 npm 上發(fā)布的 Claude Code 2.1.88 安裝包。包里混進了一個本不該公開的 map 文件。這類文件原本只是開發(fā)階段的調(diào)試工具，用來在代碼被壓縮、打包之后，依然能把報錯信息對應(yīng)回原始源碼中的具體位置。

　　問題在于，map 文件里往往不只有“映射關(guān)系”，還可能直接包含原始源碼。

　　更關(guān)鍵的是，這個 map 文件還指向了 Anthropic 在 Cloudflare R2 存儲桶中的一個 zip 壓縮包。順著這個地址，外界可以直接下載并解壓完整源碼。

　　這個壓縮包里的內(nèi)容相當(dāng)完整：大約 1900 個 TypeScript 文件，總計約 52 萬行代碼，包含一整套內(nèi)置命令以及各種內(nèi)置工具，可以說是“該有的全都有”。

　　刪不掉的源代碼

　　從結(jié)構(gòu)上看，Claude Code 采用了一套類似插件的工具體系。文件讀取、Bash 執(zhí)行、網(wǎng)頁抓取、LSP 集成等能力，都被拆成獨立工具，并帶有權(quán)限控制。僅基礎(chǔ)工具定義，就占了將近 3 萬行代碼。

　　同時，代碼中還包含一個約 4.6 萬行的 Query Engine，可以理解為整個系統(tǒng)的“大腦”，負責(zé)模型調(diào)用、流式輸出、緩存以及整體調(diào)度。

　　更進一步，Claude Code 還具備多智能體編排能力。它可以拉起子智能體（內(nèi)部稱為 “swarms”），把復(fù)雜任務(wù)拆分并并行執(zhí)行，每個智能體都有獨立上下文和工具權(quán)限。

　　在使用體驗上，IDE 與 CLI 之間通過一套雙向通信機制打通。VS Code、JetBrains 等編輯器插件，正是通過這層橋接系統(tǒng)與 Claude Code 交互，實現(xiàn)“在編輯器里用 AI 編碼”的體驗。

　　此外，源碼中還包含一套持久化記憶機制。Claude 會以文件的形式，在本地持續(xù)記錄與用戶、項目以及使用偏好相關(guān)的信息，并在后續(xù)會話中調(diào)用這些內(nèi)容。

　　事發(fā)之后，Anthropic 已下架相關(guān)版本。負責(zé) Claude Code 的工程師 Boris Cherny 專門澄清，這件事就是一次開發(fā)失誤。本質(zhì)上是流程、文化或基礎(chǔ)設(shè)施問題。

　　不過，代碼一旦流出去，就很難再收回來了。GitHub 上很快冒出了數(shù)百個源碼鏡像。其中，用戶 Sigrid Jin 上傳的一個版本，最新已經(jīng)拿下 10.5 萬 star、9.5 萬 fork。作為對比，Anthropic 官方那個主要用來分享插件和收 bug 反饋的 Claude Code 倉庫，star 也不過 9.5 萬左右。

　　有報道稱，Anthropic 已經(jīng)開始發(fā)版權(quán)刪除請求。為了避開這類風(fēng)險，Jin 后來又借助 OpenAI Codex，把這份 TypeScript 代碼改寫成了 Python，隨后又繼續(xù)改成了 Rust。

　　截至目前，Anthropic 尚未回應(yīng)是否會對這些“再實現(xiàn)”項目采取法律行動。這也引出了一個更復(fù)雜的問題：既然 Anthropic 一直強調(diào) Claude Code 的代碼大部分是由 AI 自己生成的，那么這些代碼在版權(quán)上是否具備保護資格？

　　技術(shù)律師 Russ Pearlman 在 LinkedIn 上指出：“按照當(dāng)前美國版權(quán)法，作品必須具備實質(zhì)性的人類創(chuàng)作才能獲得保護……競爭對手如果研究這些泄露的代碼，可能面對的是在法律意義上并不受保護的內(nèi)容。”

　　他還寫道：“最諷刺的是，這個世界上最先進的 AI 編碼工具，可能正是靠自己，把自己的知識產(chǎn)權(quán)‘寫沒了’?！?/p>

　　代碼背后那些不想讓你知道的秘密

　　Claude Code 在開發(fā)上的效果確實不錯，但如果往下拆，真正起決定作用的，可能還是底層大模型，而不只是外面那層封裝。更何況，業(yè)內(nèi)已經(jīng)有開源的 Codex、Gemini，以及 OpenCode 這類命令行工具，在技術(shù)思路上并沒有本質(zhì)差別。

　　有網(wǎng)友評論稱，Claude 的命令行工具談不上有什么“獨門秘訣”，其代理框架甚至未必比同類產(chǎn)品更強。也就是說，這次泄露最值得看的，未必是 Claude Code “到底有多強”，而是全球開發(fā)者順著這份源碼，究竟挖出了多少原本不該被外界知道的東西。

　　雖然 Claude Code 不像 rootkit 那樣擁有持久內(nèi)核訪問權(quán)限，但對其源代碼的分析發(fā)現(xiàn)，這款智能體程序?qū)τ谟脩粲嬎銠C的控制能力仍遠超協(xié)議條款中的表述。它不僅會保留大量用戶數(shù)據(jù)，甚至在面對拒絕 AI 的開源項目時可以隱藏其身份。

　　從泄露的 Claude Code 客戶端源代碼來看（研究人員對其二進制文件進行了逆向工程），這款程序幾乎可以控制任何完成了安裝的用戶設(shè)備。

　　它說動不了模型，但入口一個沒少

　　最近，Anthropic 與美國政府合作相關(guān)的一場風(fēng)波，又把一個關(guān)鍵問題擺上臺面：它到底能不能動模型。

　　外界擔(dān)心的是，Anthropic 理論上仍有能力在特殊情況下調(diào)整模型行為，甚至讓系統(tǒng)失效。Anthropic 對此予以否認，還強調(diào)模型一旦部署進機密環(huán)境，自己就無法再訪問，更談不上控制。

　　然而，一位要求匿名的安全研究員（化名“Antlers”）在梳理 Claude Code 源碼后認為，在機密環(huán)境中，似乎可通過滿足以下所有條件以阻止 Claude Code 采取“回傳”或其他遠程操作：

　　確保推理傳輸通過 Amazon Bedrock GovCloud 或 Google AI for Public Sector (Vertex) 進行。

　　阻止數(shù)據(jù)收集端點。使用防火墻保護 Statsig/GrowthBook/Sentry 等工具。

　　阻止系統(tǒng)提示符指紋識別（例如通過 Bedrock）。

　　通過版本鎖定和阻止更新端點來阻止自動更新。

　　禁用 autoDream，這是一個正在測試中的未發(fā)布后臺代理，能夠讀取所有會話記錄。

　　我們沒有找到在機密環(huán)境中運行的特定設(shè)置，但 Claude Code 確實支持多種可限制遠程通信的標記。具體包括：

　　CLAUDE_CODE_DISABLE_AUTO_MEMORY=1，禁用所有內(nèi)存與遙測寫入操作。

　　CLAUDE_CODE_SIMPLE (--bare mode)，完全移除內(nèi)存與 autoDream。

　　ANTHROPIC_BASE_URL，可用于將 API 調(diào)用重新定向至私有端點。

　　ANTHROPIC_UNIX_SOCKET，通過轉(zhuǎn)發(fā)套接字（SSH 隧道模式）對身份驗證進行路由。

　　遠程管理設(shè)置（policySettings）可以鎖定企業(yè)級部署行為，但無法徹底鎖死。

　　據(jù) Anthropic 公共部門負責(zé)人 Thiyagu Ramasamy 介紹，Anthropic 會將模型的運行與管理權(quán)交由這類高安全級別的客戶環(huán)境，包括功能增減在內(nèi)的更新，也需要雙方協(xié)商確認。

　　他在 2026 年 3 月 20 日的聲明中表示，例如在系統(tǒng)運行期間，Anthropic 人員無法直接登錄客戶環(huán)境去修改或停用模型，這在技術(shù)上不可行。在機密部署中，只有客戶及其授權(quán)的云服務(wù)提供方可以訪問系統(tǒng)。Anthropic 主要負責(zé)提供模型本體，并在客戶要求或批準的情況下提供更新。

　　即便如此，Anthropic 仍可以通過合同條款，在一定范圍內(nèi)保留部分控制能力。

　　Claude Code 背后，有一整套拿用戶信息的辦法

　　對于所有未使用與防火墻連接的公有云版本、或以某種方式實現(xiàn)物理隔離的 Claude Code 用戶而言，Anthropic 擁有著更大的訪問權(quán)限。

　　首先，Anthropic 會接收通過其 API 傳輸?shù)挠脩籼崾驹~與響應(yīng)結(jié)果。這些對話不僅可能泄露對話內(nèi)容，還可能泄露文件內(nèi)容及系統(tǒng)詳細信息。

　　從源代碼內(nèi)容來看，除此之外，該公司還通過其他多種方式接收或收集用戶信息，具體包括：

　　KAIROS（src/bootstrap/state.ts:72）是由 kairosActive 標記設(shè)置的守護進程（后臺進程）。它似乎屬于尚未發(fā)布的無頭“助手模式”，會在用戶不查看終端用戶界面 (TUI) 時起效。它會移除狀態(tài)欄（StatusLine.tsx:33），禁用規(guī)劃模式，并靜默禁用 AskUserQuestion 工具（AskUserQuestionTool.tsx:141）。它還會自動將長時間運行的 bash 命令置于后臺，而不會發(fā)出任何通知（BashTool.tsx:976）。

　　CHICAGO 的全稱為計算機使用與桌面控制。它使 Claude 智能體能夠執(zhí)行鼠標點擊、鍵盤輸入、訪問剪貼板和截屏。此功能已公開發(fā)布，可供 Pro/Max 訂閱用戶和 Anthropic 員工以“ant”標記使用。此外，還有一項獨立且公開發(fā)布的 Chrome 版 Claude 服務(wù)，支持瀏覽器自動化以及所有相關(guān)的系統(tǒng)訪問權(quán)限。

　　持久遙測。最初，這項功能由 Statsig 實現(xiàn)，并于去年 9 月被競爭對手 OpenAI 收購。這很可能是促使他們切換到 GrowthBook 的原因。GrowthBook 是支持 A/B 測試和分析的平臺。Claude 啟動后，分析服務(wù) (firstPartyEventLoggingExporter.ts) 會在網(wǎng)絡(luò)中斷時，將以下數(shù)據(jù)保存到 ~/.claude/telemetry/ 目錄并向服務(wù)器發(fā)送：用戶 ID、會話 ID、應(yīng)用版本、平臺、終端類型、組織 UUID、帳戶 UUID、電子郵件地址（如果已設(shè)置）以及當(dāng)前啟用的功能門控。Anthropic 可以在會話期間激活這些功能門控，包括啟用或禁用分析功能。

　　遠程管理設(shè)置 (remoteManagedSettings/index.ts)。對于企業(yè)客戶，Anthropic 維護的專用服務(wù)器會推送 policySettings 對象。該對象可以：覆蓋合并鏈中的其他項；每小時輪詢一次，無需用戶交互；可以設(shè)置 .env 變量（例如 ANTHROPIC_BASE_URL、LD_PRELOAD、PATH）；并且這些設(shè)置通過熱重載 (settingsChangeDetector.notifyChange) 立即生效。當(dāng)出現(xiàn)“危險設(shè)置更改”時，系統(tǒng)會提示用戶，但該術(shù)語由 Anthropic 代碼定義，因此可能會進行修改。常規(guī)更改（權(quán)限、.env 變量、功能標記）似乎不會觸發(fā)通知。

　　Auto-updater 自動更新程序。自動更新程序 (autoUpdater.ts:assertMinVersion()) 每次啟動時都會運行，并從 Statsig/GrowthBook 處拉取配置版本。如此一來，Anthropic 就能根據(jù)需要刪除或禁用特定版本。

　　錯誤報告。當(dāng)出現(xiàn)未處理的異常時，錯誤報告腳本 (sentry.ts) 會捕捉當(dāng)前工作目錄，其中可能包含項目名稱、路徑和其他系統(tǒng)信息。此腳本還會報告已激活的功能門控、用戶 ID、電子郵件、會話 ID 和平臺信息。

　　有效負載大小遙測。此 API 會調(diào)用 tengu_api_query 以傳輸 messageLength，即系統(tǒng)提示詞、消息和工具模式的 JSON 序列化字節(jié)長度。

　　autoDream。autoDream 服務(wù)已開放討論但尚未正式發(fā)布，它會生成一個后臺子智能體，該子智能體會搜索（grep）所有 JSONL 會話記錄以整合內(nèi)存（Claude 用作查詢上下文的存儲數(shù)據(jù)）。該智能體與 Claude 運行在同一進程中（使用相同的 API 密鑰和相同的網(wǎng)絡(luò)訪問權(quán)限）且掃描均在本地執(zhí)行。但它寫入 MEMORY.md 的任何內(nèi)容都會被注入到未來的系統(tǒng)提示詞中，因此會被發(fā)送至 API。

　　團隊內(nèi)存同步。這項雙向同步服務(wù) (src/services/teamMemorySync/index.ts) 會將本地內(nèi)存文件接入至 api.anthropic.com/api/claude_code/team_memory，由此實現(xiàn)在組織內(nèi)與其他團隊成員共享內(nèi)存的方法。該服務(wù)包含一個密鑰掃描器 (secretSanner.ts)，使用正則表達式模式來匹配大約 40 種已知的 token 和 API 密鑰模式（AWS、Azure、GCP 等）。但是，不匹配這些正則表達式的敏感數(shù)據(jù)可能會通過內(nèi)存同步暴露給其他團隊成員。

　　實驗性 Skill 搜索 (src/tools/SkillTool/SkillTool.ts:108) 為僅對 Anthropic 員工可用的功能標記。它提供的方法能夠?qū)?skill 定義下載至遠程服務(wù)器 (remoteSkillLoader.js)；跟蹤會話中已使用的遠程 skill (remoteSkillState.js)；以及執(zhí)行遠程下載的 skill (第 969 行處的 executeRemoteSkill()) ；并注冊 skill 以便在精簡操作后保留。如果為非員工帳戶啟用此功能（例如使用 GrowthBook 功能標記），理論上會構(gòu)成一條遠程代碼執(zhí)行路徑。Anthropic 或任何控制 skill 搜索后端的人員，都能夠以“skill”的形式提供任意提詞注入或指令覆蓋，在會話中加載并運行這些 skill。

　　不是“看一眼”，而是“留一份副本”

　　研究員 Antlers 還強調(diào)說，“人們恐怕沒有意識到，Claude 查看的每個文件都會被保存并上傳至 Anthropic。換言之，只要 Claude 在設(shè)備上接觸過的文件，Anthropic 那邊就會有相應(yīng)的副本?！?/strong>

　　對于 Free/Pro/Max 版用戶，Anthropic 會在用戶接受將共享數(shù)據(jù)用于模型訓(xùn)練時將數(shù)據(jù)保留五年；若不接受則僅保留 30 天。商業(yè)用戶（Team、Enterprise 及 API 版）的標準數(shù)據(jù)保留期限為 30 天，用戶可選擇不保留任何數(shù)據(jù)。

　　不久前，微軟 Recall 曾經(jīng)引發(fā)激烈爭論，而 Claude Code 的活動捕捉機制與之類似。在每次發(fā)生工具調(diào)用讀取、每次 Bash 工具調(diào)用、每次搜索（grep）結(jié)果以及每次對新舊內(nèi)容進行編輯 / 寫入時，內(nèi)容都會以純文本格式被存儲在本地 JSONL 文件當(dāng)中。

　　Claude 的 autoDream 智能體在正式發(fā)布之后，會搜索這些文件并將提取到的數(shù)據(jù)存儲在 MEMORY.md 文件之內(nèi)，再將該文件注入至后續(xù)系統(tǒng)提示詞以調(diào)用 API。

　　另外幾個勁爆發(fā)現(xiàn)

　　去做開源，但別把自己是 AI 這件事說出去

　　從產(chǎn)品策略的角度看，這種做法本身就有很強的指向性。

　　Anthropic 的員工會用 Claude Code 參與公共倉庫和開源項目的開發(fā)。代碼里通過 USER_TYPE === 'ant' 來識別員工身份。而 Undercover Mode（utils/undercover.ts）的作用，就是在這種場景下給 AI 加上一層“隱身要求”：防止它在 commit 和 PR 里泄露 Anthropic 的內(nèi)部信息，也避免它直接表明自己是 AI。

　　一旦這個模式開啟，系統(tǒng)就會把下面這段內(nèi)容直接塞進 system prompt 里：

　　這段代碼至少說明了：第一，Anthropic 的員工確實在用 Claude Code 參與開源項目，而且系統(tǒng)被明確要求不要暴露自己是 AI。第二，Anthropic 內(nèi)部模型代號確實采用動物命名，比如 Capybara、Tengu。第三，“Tengu”在代碼中高頻出現(xiàn)，作為功能開關(guān)和埋點事件的前綴，基本可以判斷，它就是 Claude Code 的內(nèi)部項目代號之一。

　　按常規(guī)流程，這些邏輯在構(gòu)建產(chǎn)物中會被當(dāng)作“死代碼”剔除，但 source map 依然保留了完整映射，這些信息并沒有真正消失。

　　Anthropic 顯然清楚，“AI 參與開源貢獻”在很多社區(qū)依然是敏感話題，所以它的做法不是提高透明度，而是先把身份隱藏起來。在這種前提下，一個更值得追問的問題是：他們內(nèi)部究竟已經(jīng)對多少開源代碼庫造成了多大破壞。

　　防蒸餾這件事，選了一種不太體面的做法

　　在 claude.ts（301–313 行）里，有一個名為 ANTI_DISTILLATION_CC 的開關(guān)。打開之后，Claude Code 在發(fā)起 API 請求時，會帶上 anti_distillation: ['fake_tools']。這意味著服務(wù)端會悄悄往 system prompt 里塞進一些偽造出來的工具定義。

　　這套設(shè)計的目的并不復(fù)雜。如果有人在錄制 Claude Code 的 API 流量，想把這些數(shù)據(jù)拿去訓(xùn)練競品模型，這些“假工具”就會一起混進訓(xùn)練數(shù)據(jù)里，變成專門用來攪渾水的污染項。這個能力由 GrowthBook 的 feature flag tengu_anti_distill_fake_tool_injection 控制，而且只對官方 CLI 會話開放。

　　這也是最早在 HN 上被不少人注意到的細節(jié)之一。

　　代碼里還藏著第二套反蒸餾機制，位置在betas.ts（279–298 行），名字叫 connector-text summarization。打開之后，API 不會直接返回工具調(diào)用之間的完整助手文本，而是先把這部分內(nèi)容緩存起來，壓成摘要，再把摘要連同一個加密簽名一起返回。到了下一輪，再通過這個簽名把原文恢復(fù)出來。也就是說，如果你在抓 API 流量，拿到的只是“縮水版”，完整推理鏈并不會直接落在你手里。

　　問題是，這兩套東西并沒有看上去那么牢。

　　從 claude.ts 的觸發(fā)邏輯來看，“假工具注入”要生效，必須同時滿足四個條件：編譯時打開 ANTI_DISTILLATION_CC，走 CLI 入口，使用官方 API 提供方，以及 GrowthBook 返回 tengu_anti_distill_fake_tool_injection=true。只要架一個 MITM 代理，在請求到達 API 之前把 anti_distillation 字段刪掉，這套機制就會直接失效，因為注入動作發(fā)生在服務(wù)端，而開關(guān)是客戶端主動遞過去的。

　　另外，shouldIncludeFirstPartyOnlyBetas() 還會檢查環(huán)境變量 CLAUDE_CODE_DISABLE_EXPERIMENTAL_BETAS。只要把它設(shè)成真值，整套機制都可以關(guān)掉。如果你走的不是官方 CLI，而是第三方 API 提供方，或者干脆使用 SDK 入口，這段檢查甚至根本不會觸發(fā)。

　　至于 connector-text summarization，范圍還更小，只對 Anthropic 內(nèi)部用戶（USER_TYPE === 'ant'）開放，外部用戶本來就碰不到。

　　所以這件事最難看的地方在于，它一方面試圖靠“假工具”和“摘要替換”來給潛在的模仿者下絆子，另一方面，這些手段又并不算多高明。只要認真翻一遍源碼，真想拿 Claude Code 流量做蒸餾的人，很快就能把繞過路徑摸清。

　　一天浪費約 25 萬次 API 調(diào)用

　　在 autoCompact.ts（68–70 行）里，有一段注釋寫道：

“BQ 2026-03-10: 1,279 sessions had 50+ consecutive failures (up to 3,272) in a single session, wasting ~250K API calls/day globally.”

　　意思是，在 1279 個會話里，autoCompact 連續(xù)失敗了 50 次以上，最高的一個會話甚至連續(xù)失敗了 3272 次，最終在全球范圍內(nèi)每天浪費了大約 25 萬次 API 調(diào)用。

　　這里的 compaction，指的是對上下文進行壓縮，避免會話過長、token 過多，而這個過程本身也需要調(diào)用 API。如果壓縮過程不斷失敗，系統(tǒng)又持續(xù)重試，就會不斷額外消耗調(diào)用次數(shù)。后來的修復(fù)方式很直接：設(shè)置 MAX_CONSECUTIVE_AUTOCOMPACT_FAILURES = 3。也就是說，只要 autoCompact 連續(xù)失敗 3 次，這個會話后續(xù)就不再繼續(xù)嘗試壓縮，以避免無效重試繼續(xù)浪費 API 調(diào)用。

　　需要補充的一點是，這次并不是 Claude Code 第一次泄露。該產(chǎn)品經(jīng)歷了 363 個版本迭代，而 Claude Code 的源碼，實際上至少已經(jīng)泄露過三次。

　　第一次發(fā)生在 2025 年 2 月。Anthropic 當(dāng)天發(fā)布 Claude Code，npm 包里帶著一個 23MB 的 cli.mjs 文件。開發(fā)者 Dave Shoemaker 用 Sublime Text 打開后，在文件末尾發(fā)現(xiàn)了一段長達 1800 萬字符的字符串，實際上那是一份以 base64 編碼的內(nèi)聯(lián) source map。source map 本來是用來把壓縮后的代碼映射回原始源碼的，而這一份映射信息，已經(jīng)可以把整套 Claude Code 源碼還原出來。隨后，Anthropic 迅速推送了一個更新（版本 0.2.9），移除了源映射。但網(wǎng)上還是有一些分支，如：https://github.com/jinrunsen/claude-code-sourcemap

　　第二次發(fā)生在 2026 年 3 月 7 日。有人發(fā)現(xiàn)，npm 包 @anthropic-ai/claude-agent-sdk 中意外包含了完整的 Claude Code CLI 打包文件：一個約 13800 行的壓縮 JavaScript 文件 cli.js，版本為 2.1.71，構(gòu)建于 3 月 6 日。也就是說，不再是通過映射還原源碼，而是整個可執(zhí)行代碼直接被一起打包進了 SDK。

　　第三次才是 2026 年 3 月 31 日，59.8MB 的獨立 source map 再次把整套代碼暴露出來。

　　也就是說，Claude Code 代碼其實已經(jīng)在網(wǎng)上公開 13 個月了。過去 13 個月里，這套代碼被反復(fù)扒出、鏡像、逆向、整理，直到這一次才真正引爆輿論。

　　https://www.theregister.com/2026/04/01/claude_code_source_leak_privacy_nightmare/

　　https://thehuman2ai.com/blog/claude-code-source-leak

　　https://github.com/sanbuphy/learn-coding-agent/blob/main/docs/en/04-remote-control-and-killswitches.md

　　https://thehuman2ai.com/blog/claude-code-source-leak

　　聲明：本文為 InfoQ 整理，不代表平臺觀點，未經(jīng)許可禁止轉(zhuǎn)載。