Claude Code 51万行源码泄露:一个 .npmignore 配置失误引发的行业地震

Claude Code 51万行源码泄露:一个 .npmignore 配置失误引发的行业地震

2026/04/016 分钟
分类:网络新闻
标签:#人工智能#泄露#源代码#安全#TypeScript#AI#github#安全事件
2026年3月31日,一场堪称AI行业年度最大的"意外开源"事件爆发——Anthropic 的旗舰编程工具 Claude Code 的完整源代码,通过 npm 包中一个被遗漏的 Source Map 文件,被安全研究员发现并迅速传遍全网。

事件经过

3月31日凌晨,Anthropic 发布了 Claude Code v2.1.88 版本。然而,由于 .npmignore 配置文件中遗漏了对 .map 文件的排除规则,一个约 60MB 的 cli.js.map 文件被打包进了 npm 发布包。这个 Source Map 文件直接映射回了完整的原始 TypeScript 源码。
当天上午,安全研究员 Chaofan Shou(@shoucccc / @Fried_rice)在 X 平台首发披露了这一发现,并附带了源码下载链接。帖子迅速传播,数小时内 GitHub 上出现了多个镜像仓库,星标从0冲到数万。
新闻源截图(CyberSecurity News 报道)
notion image
notion image
Anthropic 随后向 The Register 确认了此事,表示这是一个由人为错误导致的发布打包问题,不涉及任何客户数据或凭证泄露,并正在部署措施防止再次发生。

泄露了什么?

notion image
泄露的代码库覆盖了 Claude Code 的整个 src/ 目录,规模惊人:约 1900 个文件51万+ 行代码,使用严格 TypeScript 编写,运行在 Bun 运行时上,终端 UI 使用 React + Ink 框架。
关键暴露内容包括:
  • 核心引擎QueryEngine.ts(约4.6万行),驱动 LLM API 调用、流式传输、工具循环和 Token 追踪
  • 工具系统Tool.ts(约2.9万行),定义了约40个 Agent 工具及权限模式
  • 命令系统commands.ts(约2.5万行),注册和执行约85个斜杠命令
  • 多 Agent 编排:子 Agent 生成、协调和通信机制
  • OAuth 2.0 认证流程:完整的认证和权限控制逻辑
notion image

三大重磅发现

notion image
notion image
notion image

1. 神秘的 "Capybara" 模型族

源码中出现了对 "Capybara" 模型家族的引用,这是一个此前从未公开的内部模型代号,暗示 Anthropic 正在开发尚未对外发布的新模型系列。

2. Undercover Mode(卧底模式)

最具讽刺意味的发现是一个名为 "Undercover Mode" 的子系统——这套机制专门用于在贡献开源项目时隐藏 Anthropic 内部信息。然而,整个系统本身却在这次泄露中完全曝光。

3. Buddy 宠物系统

源码中包含一个完整的 Tamagotchi 风格虚拟宠物系统(/buddy),使用 Mulberry32 伪随机数生成器根据用户 ID 确定宠物种类,包含稀有度系统和1%的闪光概率。代码引用 2026年4月1-7日为预览窗口,5月正式上线。

4. KAIROS 自主代理模式

代码中还发现了一个名为 KAIROS 的持久运行代理模式——一个不需要用户输入就能主动观察、记录和行动的AI助手。这个功能通过 PROACTIVE / KAIROS 编译时特性标志控制,完全不存在于外部构建中。

5. 反蒸馏假工具注入

源码揭示了 Anthropic 用于防止模型蒸馏的技术手段:向API请求中注入假工具定义,干扰试图通过 Claude Code 接口窃取模型能力的行为。

安全视角分析

从安全工程的角度看,这次事件暴露了几个关键问题:
这不是第一次。 Source Map 泄露在2025年初就发生过类似事件,同样的错误在同一个阴沟里翻了两次船。更值得注意的是,就在一周前(3月26日),Anthropic 还因 CMS 配置错误导致未发布的 Claude Mythos 模型信息泄露。再加上今年1月被披露的 CVE-2026-21852 安全漏洞,Source Map + CMS + 安全漏洞的三连击,对于一家以"AI Safety"为核心招牌的公司来说,2026年 Q1 的表现确实尴尬。
NPM 选择的代价。 如果 Claude Code 像 Cursor 那样用 Electron 打包二进制分发,或者像 Devin 那样做纯 SaaS,这个问题根本不会存在。选择了 npm 生态的便利性,就要承受它的透明性。
核心竞争力未受影响。 Claude Code 的核心竞争力从来不是客户端代码,而是底层的 Claude 模型能力。泄露的只是"工具的实现方式",不是"工具为什么好用"。

行业影响

短期来看,这对 Anthropic 显然是负面的——知识产权暴露、产品路线图提前曝光、竞争对手获得了完整的架构参考。特别是对 Cursor 等竞品的影响,预计很快会出现大量基于泄露代码的二次开发项目。
但从长远来看,这可能是行业的一次意外福利。正如有评论指出的:一年前的泄露让大家知道了"Coding Agent 该怎么做",这一次让大家知道了"SOTA Coding Agent 现在进化到了什么程度"。多 Agent 编排、插件系统、技能按需加载——这些 2025-2026 年 Agent 工程的前沿实践,开源社区会消化得很快。

参考来源

分享到:

相关文章

返回首页