2026年3月31日,AI圈发生了一件足以载入史册的“乌龙事件”——Anthropic旗下明星产品Claude Code的完整TypeScript源码,因一个59.8MB的调试文件误发布,意外暴露在全球开发者面前。
1900多个文件、51万行代码,就这样展示在全世界开发者的面前。
这到底是怎么回事?泄露的代码里藏着什么?对我们有什么启示?本篇,我们来把这件事讲透。
一、事故还原:一个.map文件引发的“裸奔”
1.1 事情经过
2026年3月31日早晨,Web3安全公司FuzzLand的安全研究员Chaofan Shou在例行检查Anthropic的npm包时,发现了一个难以置信的事实:
Anthropic刚刚发布的@anthropic-ai/claude-code v2.1.88版本中,竟然包含了一个59.8MB的cli.js.map文件。
Source Map是前端开发中再常见不过的调试工具——它能将压缩混淆后的代码“翻译”回原始的可读源码。这个文件本应只存在于开发环境,却被Anthropic打包进了生产发布物中。
更致命的是,这个map文件的sourcesContent字段完整嵌入了原始TypeScript源码——1900个文件、51.2万行代码,全部以未混淆的形态暴露在公网上。
1.2 泄露的完整过程
根据安全内参和智东西的报道,泄露的具体路径是这样的:
- 源头:Anthropic将包含source map的包发布到了npm registry**(不是GitHub)**
- 发现:安全研究员Chaofan Shou在npm上发现了这个文件,并在X平台公开披露,附上了R2存储桶的直接下载链接
- 扩散:全球开发者迅速通过npm下载该包,利用source map逆向还原出完整的TypeScript源码
- 备份:有用户将还原后的代码上传到GitHub进行备份和分享
关键细节:Source map文件的sourcesContent数组里,直接存储了Cloudflare R2存储桶的公开地址。这意味着任何人只要下载npm包,打开.map文件,就能顺着地址下载到完整的、未混淆的TypeScript源码——不需要反编译,不需要逆向工程,就是“一键还原”。
短短几小时内,Chaofan Shou在X平台上的推文获得了超过310万次浏览,源码被迅速归档到GitHub公开仓库,一夜之间冲上11,000+ star、17,000+ fork。
Anthropic并未主动把代码放到GitHub。代码之所以出现在GitHub上,是第三方用户在事件发生后自行上传的。泄露后,Anthropic迅速从npm下架了问题版本,但源码已经在全球开发者社区中广泛传播。
二、官方回应:定性为“人为失误”
针对此次事件,Anthropic官方通过CNET、CNBC等媒体发布了正式声明:
Anthropic发言人声明:“今早发布的Claude Code新版中,确认包含一些内部源代码,但没有涉及或泄露任何敏感用户数据或凭证。这是由于人为失误(human error)导致的发布打包问题,而非安全漏洞。我们正在推出措施,以防止类似情况再次发生。”
《每日经济新闻》在报道中也引用了相同的官方回应。澎湃新闻进一步指出,这次泄露让竞争对手和软件开发者能够深入了解Claude Code的开发过程,对正在寻求IPO上市的Anthropic来说是一次重大打击。
三、泄露了什么?——Claude Code的完整“身体构造图”
3.1 Claude Code工具包含哪些内容?
Claude Code是一个完整的AI编程助手系统,它包含以下五个层面:
| 层级 | 组成部分 | 说明 |
|---|---|---|
| 入口层 | CLI命令行、桌面端、SDK | 用户与工具交互的入口,统一路由 |
| 运行层 | TAOR循环(Think-Act-Observe-Repeat) | “思考→行动→观察→再思考”,就是在第二篇中详细讲过的Agent Loop |
| 引擎层 | QueryEngine(4.6万行代码) | 系统心脏,负责动态提示词组装、API调用、流式响应 |
| 工具与能力层 | 约40个内置工具 | 文件读写、Bash执行、MCP调用、子代理生成等 |
| 基础设施层 | 记忆管理、权限系统、远程控制 | 包含“杀向开关”和“自动做梦”机制 |
3.2 泄漏的CLI客户端在Claude Code中的位置与作用
用一张图来理解CLI客户端在整个系统中的位置:
CLI客户端的核心作用:
| 作用 | 说明 |
|---|---|
| 用户入口 | 用户通过终端输入claude命令,与AI对话 |
| 本地执行器 | 在用户电脑上执行文件读写、Bash命令、代码搜索 |
| API 网关 | 将用户请求发给云端Claude模型,接收流式响应 |
| 工具调度器 | 模型决定调用哪个工具后,CLI负责在本地执行 |
| 记忆管理器 | 维护对话历史、项目记忆、跨会话知识 |
一句话概括:CLI客户端是Claude Code的“手和脚”——模型负责思考(在云端),CLI负责执行(在本地)。
3.3 泄露内容与未泄露内容
| 内容类型 | 是否泄露 | 说明 |
|---|---|---|
| CLI客户端完整源码 | ✅ 是 | 约1900个TypeScript文件,51.2万行代码 |
| 核心引擎(QueryEngine) | ✅ 是 | 4.6万行,AI对话的核心逻辑 |
| 40个工具实现 | ✅ 是 | 文件读写、Bash、搜索等 |
| 多Agent协作系统 | ✅ 是 | Coordinator-Worker架构 |
| 未发布功能(KAIROS等) | ✅ 是 | 44个feature flag,包含未来路线图 |
| Claude 模型权重 | ❌ 否 | 模型本身在云端,未泄露 |
| 用户对话数据 | ❌ 否 | Anthropic已确认无敏感数据泄露 |
| API 密钥/凭据 | ❌ 否 | 官方确认无凭据泄露 |
3.4 CLI客户端源码泄露的价值
虽然CLI客户端不包含模型权重,但它的价值在于:
1. 揭示了Anthropic的工程方法论
- 如何设计工具描述(prompt engineering的精髓)
- 如何管理多智能体协调
- 如何构建工业级权限控制体系
2. 暴露了未来产品路线图
- KAIROS:持续后台运行的守护进程
- BUDDY系统:虚拟宠物(用户粘性设计)
- ULTRAPLAN:30分钟云端规划会话
3. 相当于一份“行业标准答案”
- 泄露的51万行代码展示了如何在真实场景中构建复杂的AI编程工具——这是教科书上学不到的实战经验
四、泄露代码里藏着什么?——51万行代码的“惊喜”
当开发者们涌入GitHub镜像仓库(短短两小时内星标突破5万,创下GitHub历史最快纪录),他们发现:泄露的远非一个简单的命令行工具“壳子”。
4.1 核心架构:精密到让人意外
万能工具箱(Tools) :40多个独立模块覆盖文件读写、Bash执行、MCP调用、子代理生成等能力。内置LSP协议集成,直接对标专业IDE的功能边界。
超级大脑(QueryEngine.ts) :单文件4.6万行代码,承载了所有推理逻辑、Token计数和复杂的“思维链”循环。仅这一个文件的代码量,就已经超过了许多完整项目的规模。
协同系统:源码中出现了coordinator(多智能体协调器)和bridge(连接VS Code/JetBrains的桥梁),采用Coordinator-Worker架构,支持并行生成和管理多个工作代理。
4.2 隐藏功能大揭秘:那些从未被官方提及的彩蛋
KAIROS模式:一个尚未发布的守护进程系统。它不是普通的功能插件,而是具备“持久生命”的自主后台进程,支持后台会话和记忆整合。在源码的feature flags中,KAIROS出现了154次,是出现频率最高的标记。
简单说,Anthropic正在让Claude进化成一个 “永不离线”的AI智能体,在后台持续处理任务,不断加深对你项目的理解。更令人惊讶的是,它还包含一个名为“dream”(做梦)的内存整理机制,用于在空闲时压缩和巩固长期记忆。
Buddy System(电子宠物系统) :这大概是整次泄露中最出人意料的发现。src/buddy/目录下藏着一套完整的虚拟宠物系统——18****种物种(鸭子、猫、龙、水豚、仙人掌……)、6种眼睛样式、完整的稀有度体系(从普通到传说)。代码注释中还写了一句:“Mulberry32, good enough for picking ducks”(用来挑鸭子够用了)。
严肃的工程项目里藏着这样的彩蛋,让人会心一笑。
Undercover Mode(卧底模式) :当Anthropic员工在公共仓库操作时自动激活,强制抹除提交记录中的所有AI痕迹,且无法手动关闭。
系统提示词明确写着:“你正在UNDERCOVER模式下运行……你的commit信息不能包含任何Anthropic内部信息。不要暴露身份。”
这个旨在防止内部信息泄露的系统,最终却未能阻止自身连同整个代码库的全面曝光。
4.3 情绪监控系统
代码底层的遥测(Telemetry)系统显示,Anthropic非常在意开发者的“挫败感”。系统会专门追踪:
- 用户是否在终端里对Claude爆粗口
- 连续输入continue的频率(通常因模型输出中断而导致的烦躁行为)
这个发现揭示了Anthropic对用户体验的精细打磨——他们不仅关心AI“能不能干活”,还关心用户“用得爽不爽”。
五、谁受损,谁受益?
5.1 Anthropic的损失
核心竞争力暴露:Claude Code的系统架构、工具调用逻辑、多智能体协作框架,以及正在开发中的功能路线图,全部暴露。对于竞争对手而言,这是一份比任何公开论文都更有价值的技术情报。
IPO窗口期的信任危机:Gizmodo等媒体直接指出:这次泄露发生在最糟糕的时机——投资者正在评估这家公司的工程严谨性、数据安全能力与内控管理水平。
5.2 行业受益:一份价值连城的“教科书”
泄露的51万行代码展示了顶级AI公司如何解决Agent工程中的实际问题:
第一课:工具描述就是产品力。 Claude Code对每个工具的prompt描述经过了极其精细的调优——什么时候用、什么时候不用、用了之后怎么处理结果、出错了怎么重试。国内很多工具的tool use实现还停留在“给模型一个函数签名,让它自己猜怎么用”的阶段。光是把工具描述写到Claude Code的水平,就能让同一个模型的表现提升一个档次。
第二课:记忆架构,比模型参数更影响用户体验。 泄露代码揭示了Anthropic如何解决“上下文熵”(context entropy)——即随着对话复杂度增加,AI越来越混乱的问题。他们的解决方案是一个精巧的三层记忆架构,以及一个名为“autoDream”的后台记忆整合引擎。
第三课:情绪感知不是玄学,是工程问题。 用一段正则表达式检测用户是否在发火,然后调整回复策略。这个方案简单到粗暴,但极其实用。好的AI产品不是每个问题都需要用模型来解决,有时候一个regex就够了。
第四课:KAIROS指向的方向,比KAIROS本身更重要。 一个always-on的后台代理,在用户不用的时候自动整理记忆、发现问题。这个产品方向意味着AI编程助手的下一步不是“更快地回答问题”,而是 “在你没有问问题的时候,就已经在工作” 。
六、结语:没有黑魔法,只有大量的细节打磨
如果把Claude Code比作一个“会编程的智能体”,那么:
- 泄露的CLI客户端 = 它的“身体”和“神经系统”(怎么执行、怎么记忆、怎么调用工具)
- 未泄露的模型 = 它的“大脑”(怎么思考、怎么理解需求)
虽然大脑没泄露,但身体和神经系统的构造图,已经足够让竞争对手学到太多东西了。
这次泄露最大的意义可能不在技术细节,而在于它撕掉了一层神秘感——原来Anthropic最核心的AI编程工具,底层也不过是精心设计的prompt编排,加上工程化的工具调度。
没有黑魔法,只有大量的细节打磨。
这对中国AI公司来说,其实是个好消息。它意味着差距是可以弥合的。前提是,你得有耐心去打磨那些细节——而不是想着直接把别人的代码拿过来改个名字。
正如一位开发者所说: “你可以fork这51万行代码,但你fork不了Anthropic的工程文化。”
真正聪明的做法不是fork代码,而是理解每一个设计决策背后的tradeoff,然后针对自己的模型特点重新实现。架构思路可以学,工具编排模式可以学,记忆分层策略可以学——但实现必须是自己的。
毕竟,你今天fork的代码,下个月就是旧版本。追着抄,永远追不上;理解了原理,才能跑出自己的路线。
本文内容来源于网络,经小编整理成文。如有不同见解,欢迎在评论区理性交流。
本文首发于微信公众号[机器人与人工智能爱好者]。转载须注明出处。来源于
