就在几个小时前,一个名为 Chaofan Shou 的用户在 X 平台上披露,Anthropic 旗下 AI 编程工具 Claude Code 的完整源代码通过 npm 包中的 source map 文件意外暴露。
(来源:X)
Chaofan Shou 是 Web3 安全公司 FuzzLand 的实习研究员。他在检查 Claude Code 的 npm 包时发现,包内的一个体积为 57MB 的 cli.js.map 文件指向了一个 R2 存储桶链接,其中包含 1,900 个 TypeScript 文件,共计 512,000 余行未经混淆的完整源代码。不需要反编译、反混淆,便可轻松还原。
(来源:X)
数小时内,泄露代码已被“热心网友”归档至 GitHub,获得超过 13,000 颗星和 20,000 次 fork。
(来源:GitHub)
泄露的原因相当基础:source map 文件本应在生产构建时被排除,但由于.npmignore 配置疏漏或构建工具设置不当,导致这些包含完整原始代码的文件被一同发布到了 npm registry。
Anthropic 随后紧急推送 npm 更新移除了 source map 文件,并删除了早期版本。但为时已晚,GitHub 上的归档已经永久保存,开发者们已开始分析代码。
具体泄露了什么?
根据 GitHub 仓库的分析,泄露的代码库远比外界想象的复杂。这不是一个简单的 API 封装,而是一个包含 40 多个权限控制工具、46,000 行查询引擎代码、多智能体协调系统、IDE 桥接功能和持久化记忆机制的完整生产级开发工具。
代码中还发现了 35 个编译时功能标志、120 多个未公开的环境变量,以及 26 个内部斜杠命令(如/teleport、/dream、/good-claude 等)。其中 USER_TYPE=ant 环境变量可以为 Anthropic 员工解锁全部功能。泄露代码中最引人注目的是大量尚未公开的实验性功能:
BUDDY:终端里的电子宠物
代码中包含一个完整的类似 Tamagotchi 的 AI 伴侣系统,拥有确定性抽卡机制、物种稀有度等级、闪光变种、程序化生成的属性,以及由 Claude 在首次孵化时撰写的“灵魂描述”。
KAIROS:永不下线的 AI 助手
KAIROS 是一个持久化的常驻助手模式。它会持续监视、记录,并主动对观察到的事物采取行动。这一功能隐藏在 PROACTIVE/KAIROS 编译标志之后,在外部构建版本中完全不存在。KAIROS 会维护每日的追加日志文件,记录观察、决策和操作。
autoDream:让 Claude 学会“做梦”
代码库中存在一个名为 autoDream 的后台记忆整合引擎,作为分叉子代理运行。这是一个反思性的记忆文件处理过程,用于将近期学习到的内容整合为持久化、组织良好的记忆,以便后续会话能够快速定位上下文。该系统通过“三重门控触发”:距上次做梦 24 小时、至少 5 次会话、获取整合锁。
ULTRAPLAN:30 分钟的远程规划会话
ULTRAPLAN 模式可以将复杂规划任务交给运行 Opus 4.6 的远程云容器运行时会话,给予最多 30 分钟的思考时间,用户可以在浏览器中批准结果,然后通过特殊的__ULTRAPLAN_TELEPORT_LOCAL__标记将结果“传送”回本地终端。
此外泄露代码还揭示了一些特殊模式:
·Coordinator Mode:多智能体协调模式,可并行生成和管理多个工作代理
·Bridge 模式:通过 claude.ai 或手机远程控制本地 CLI
·Daemon 模式:完整的后台会话管理器,支持 claude ps、attach、kill 等命令
·UDS Inbox:通过 Unix 域套接字让多个 Claude 会话互相通信
此外,代码中存在一个“Undercover Mode”(卧底模式),专门用于防止 Anthropic 员工(通过 USER_TYPE === 'ant'识别)在公开/开源仓库贡献代码时意外泄露内部信息。
该模式在激活时会注入系统提示,明确禁止在 commit 消息或 PR 描述中包含:内部模型代号(如 Capybara 卡皮巴拉、Tengu 天狗等动物名)、未发布的模型版本号、内部工具名、Slack 频道、“Claude Code”字样,甚至禁止提及自己是 AI。
代码还透露,Anthropic 内部代号使用动物命名,“Tengu”(天狗)作为前缀出现了数百次,几乎可以确定是 Claude Code 的内部项目代号。
这是愚人节玩笑吗?
值得玩味的是,泄露发生在 3 月 31 日,愚人节前一天。而代码中多处细节暗示这可能是精心策划的彩蛋:
BUDDY 系统使用的随机数种子盐值是'friend-2026-401',其中 401 可能指代 4 月 1 日。代码还标注了 4 月 1-7 日为“预告窗口”,完整发布则定于 2026 年 5 月。
不过,考虑到泄露的代码规模之大、工程细节之完整,加之这是 Anthropic 五天内的第二次重大泄露事件(3 月 26 日刚因 CMS 配置错误泄露了 Claude Mythos 模型信息和约 3,000 份未公开资产),将整起事件解释为愚人节玩笑似乎有些牵强。
值得一提的是,就在同一天,Axios npm 包也发生了被入侵事件。后者导致一个每周下载量达 8,300 万次的包被植入跨平台远程访问木马。Claude Code 的泄露虽非恶意,但同样说明 npm 包发布流程中一个配置疏漏就可能暴露完整代码库。
而这也并非 Claude Code 首次出现安全问题。2025 年 2 月,Claude Code 早期版本就因同样的问题曝光过,Anthropic 当时删除了旧版本并修复了 source map 配置;去年 12 月,其系统提示词也曾被完整泄露。加上几天前的 CMS 配置错误导致 Claude Mythos 模型信息外泄(也在这次的泄露代码中),Anthropic 近期的运维安全表现令人担忧。
不过这次的泄露对普通用户来说并没有风险,泄露的主要是 CLI 的客户端实现代码,不涉及用户数据。
而且,尽管这并非一次官方的“开源”行动,被公开的代码已被开发者社区视为宝藏。其中展示的 40+ 工具系统、多智能体协调、持久化记忆等生产级架构,为 Agent 开发者提供了宝贵的参考蓝本。这次泄露某种程度上可能推动 Agent 赛道的又一轮技术迭代。
参考链接:
1. https://x.com/Fried_rice/status/2038894956459290963
2. https://github.com/instructkr/claude-cn