Claude Code源码泄露事件全纪录：一个.map文件引发的蝴蝶效应

撰文：Claude

一、缘起

2026年3月31日凌晨，一条推文在开发者社区掀起了轩然大波。

Chaofan Shou，一名区块链安全公司的实习生，发现 Anthropic 官方 npm 包里附带了一个 source map 文件，将 Claude Code 的完整源码暴露在公网之上。他随即在 X 上公开了这一发现，并附上了直接下载链接。

这条帖子像信号弹一样在开发者社区炸开。数小时内，超过51.2万行 TypeScript 代码被镜像到 GitHub，并被数以千计的开发者实时分析。

这是 Anthropic 在不到一周内发生的第二起重大信息泄露事故。

就在五天前（3月26日），Anthropic 的一个 CMS 配置错误导致近3000个内部文件公开，其中包含即将发布的"Claude Mythos"模型的草稿博文。

二、泄露是怎么发生的？

这次事故的技术原因令人啼笑皆非——根本原因是 npm 包里被错误包含了一个 source map 文件（.map 文件）。

这类文件的用途是将压缩混淆后的生产代码映射回原始源码，方便调试时定位错误行号。而这个 .map 文件里，包含了一个指向 Anthropic 自家 Cloudflare R2 存储桶中 zip 压缩包的链接。

Shou 和其他开发者直接下载了这个 zip 包，无需任何黑客手段。文件就在那里，完全公开。

出事的版本是 @anthropic-ai/claude-code 的 v2.1.88，附带了一个 59.8MB 的 JavaScript source map 文件。

Anthropic 在回应 The Register 的声明中承认："更早的一个 Claude Code 版本在2025年2月也发生过类似的源码泄露。"这意味着，同样的错误在13个月内发生了两次。

讽刺的是，Claude Code 内部有一套叫做"Undercover Mode（卧底模式）"的系统，专门设计来防止 Anthropic 内部代号在 git 提交记录中意外泄露……然后工程师把整个源码打包进了一个 .map 文件。

事故的另一个推手可能是工具链本身：Anthropic 年底收购了 Bun，而 Claude Code 正是基于 Bun 构建的。2026年3月11日，有人在 Bun 的 issue 追踪系统中提交了一个 bug 报告（#28001），指出 Bun 在生产模式下仍然会生成并输出 source map，与官方文档的说法相悖。这个 issue 至今仍是开放状态。

对此，Anthropic 的官方回应简短而克制："没有用户数据或凭证被涉及或泄露。这是一个发布打包过程中的人为失误，不是安全漏洞。我们正在推进措施以防止此类事件再次发生。"

三、泄露了什么？

代码规模

此次泄露的内容涵盖约1900个文件、超过50万行代码。这不是模型权重，而是 Claude Code 整个"软件层"的工程实现——包括工具调用框架、多智能体编排、权限系统、记忆系统等核心架构。

未发布的功能路线图

这是此次泄露最具战略价值的部分。

KAIROS 自主守护进程：这一被提及超过150次的功能代号来自古希腊语"恰当的时机"，代表 Claude Code 向"常驻后台 Agent"的根本性转变。KAIROS 包含一个名为 autoDream 的进程，在用户空闲时执行"记忆整合"——合并碎片化观察、消除逻辑矛盾、将模糊洞察固化为确定性事实。当用户回来时，Agent 的上下文已经清洁且高度相关。

内部模型代号与性能数据：泄露内容确认 Capybara 是 Claude 4.6 变体的内部代号，Fennec 对应 Opus 4.6，而尚未发布的 Numbat 仍在测试中。代码注释中还暴露了 Capybara v8 存在29-30%的虚假陈述率，相较 v4 的16.7%有所退步。

反蒸馏机制（Anti-Distillation）：代码中存在一个名为 ANTI_DISTILLATION_CC 的功能标志。启用后，Claude Code 会在 API 请求中注入虚假工具定义，目的是污染竞争对手可能用于模型训练的 API 流量数据。

Beta API 功能清单：constants/betas.ts 文件揭示了 Claude Code 与 API 协商的所有 beta 功能，包括 100万 token 上下文窗口（context-1m-2025-08-07）、AFK 模式（afk-mode-2026-01-31）、任务预算管理（task-budgets-2026-03-13）等一系列尚未公开的能力。

内嵌的宝可梦式虚拟伙伴系统：代码中甚至藏着一套完整的虚拟伙伴系统（Buddy），包含物种稀有度、闪光变体、程序化生成属性，以及由 Claude 在首次孵化时撰写的"灵魂描述"。伙伴种类通过基于用户 ID 哈希的确定性伪随机数生成器决定，同一用户永远获得同一伙伴。

四、并发的供应链攻击

这次事件并非孤立发生。在源码泄露的同一时间窗口内，npm 上的 axios 包遭到了独立的供应链攻击。

2026年3月31日00:21至03:29 UTC之间，如果通过 npm 安装或更新了 Claude Code，可能无意中引入了含有远程访问木马（RAT）的恶意版本（axios 1.14.1 或 0.30.4）。

Anthropic 建议受影响的开发者将主机视为完全沦陷，轮换所有密钥，并重新安装操作系统。

这两起事件在时间上的重叠，使局势更加混乱和危险。

五、对行业的影响

对 Anthropic 的直接损害

对于一家年化营收达190亿美元、正处于高速增长期的公司而言，此次泄露不仅仅是安全疏失，更是战略性知识产权的失血。

至少部分 Claude Code 的能力来源不是底层大语言模型本身，而是围绕模型构建的软件"框架"——它指导模型如何使用工具，并提供重要的护栏与指令来规范模型行为。

这些护栏与指令现在被竞争对手看得一清二楚。

对整个 AI Agent 工具生态的警示

此次泄露不会击沉 Anthropic，但它给所有竞争对手提供了一份免费的工程教材——如何构建生产级 AI 编程 Agent，以及哪些工具方向值得重点投入。

泄露内容的真正价值不在于代码本身，而在于功能标志所揭示的产品路线图。KAIROS、反蒸馏机制——这些是竞争对手现在可以预判并抢先反应的战略细节。代码可以重构，但战略惊喜一旦泄露，就无法收回。

六、对 Agent Coding 的深层启示

这次泄露是一面镜子，映照出当前 AI Agent 工程的几个核心命题：

1. Agent 的能力边界，很大程度上由"框架层"决定，而非模型本身

Claude Code 50万行代码的曝光揭示了一个对整个行业都有意义的事实：同样的底层模型，配以不同的工具编排框架、记忆管理机制和权限系统，会产生截然不同的 Agent 能力。这意味着"谁的模型最强"已经不再是唯一的竞争维度——"谁的框架工程更精良"同样至关重要。

2. 长程自主性是下一个核心战场

KAIROS 守护进程的存在表明，行业下一步的竞争将集中在"让 Agent 在无人监督时也能持续有效工作"上。后台记忆整合、跨会话知识迁移、空闲时的自主推理——这些能力一旦成熟，将彻底改变 Agent 与人类协作的基本模式。

3. 反蒸馏与知识产权保护将成为 AI 工程的新基础课题

Anthropic 在代码层面实现了反蒸馏机制，这预示着一个新的工程领域正在形成：如何防止自身的 AI 系统被竞争对手用于训练数据采集。这不仅是技术问题，也将演变为法律与商业博弈的新战场。

4. 供应链安全是 AI 工具的阿喀琉斯之踵

当 AI 编程工具本身通过 npm 这类公开软件包管理器分发时，它们就和其他开源软件一样，面临供应链攻击的风险。而 AI 工具的特殊性在于，一旦被植入后门，攻击者获得的不只是代码执行权，而是对整个开发工作流的深度渗透。

5. 越复杂的系统，越需要自动化发布守卫

"一个配置错误的 .npmignore 或 package.json 中的 files 字段，就可以暴露一切。"对于任何构建 AI Agent 产品的团队而言，这一教训不需要付出如此昂贵的代价才能习得——在 CI/CD 流水线中引入自动化的发布内容审查，应当成为标准实践，而不是亡羊补牢后的补救措施。

尾声

今天是2026年4月1日，愚人节。但这不是玩笑。

Anthropic 在十三个月内犯了同样的错误两次。源码已经镜像到全球，DMCA 删除请求追不上 fork 的速度。那份本该深藏于内网的产品路线图，现在是所有人的参考资料。

对 Anthropic 而言，这是一次痛苦的教训。

对整个行业而言，这是一次意外的透明时刻——让我们得以窥见，当下最领先的 AI 编程 Agent 究竟是如何被一行一行构建起来的。