Anthropic 史诗级“翻车”：Claude Code 源代码意外全泄露，AI 智能体底层架构遭曝光

事件起因：一个本不该存在的 .map 文件

2026 年 3 月 31 日，安全研究员 Chaofan Shou 发现了一个令人震惊的事实：AI 巨头 Anthropic 发布的 Claude Code 命令行工具，竟然将其完整的 TypeScript 源代码直接暴露在了 npm 公共仓库中。

这次事故源于 @anthropic-ai/claude-code 软件包的 2.1.88 版本。由于打包过程中的人为疏忽，该版本包含了一个本应用于调试的 .map 源映射文件。这个文件直接引用并指向了 Anthropic R2 云存储桶中的完整、未经混淆的源代码压缩包。短短几小时内，该代码库就在 X（原 Twitter）上获得了数百万次浏览，并迅速被同步到多个 GitHub 仓库中，瞬间积累了数万个 Star 和 Fork。

Anthropic 随后在给 CNBC 的一份声明中承认，这是一次“由人为错误导致的发布包装问题，而非安全漏洞”，并强调没有客户数据或凭据遭到泄露。

50 万行代码背后的“智能体蓝图”

虽然此次泄露的是 Claude Code CLI 工具，而非 Claude 模型本身或 claude.ai 网页版源码，但其技术含量之高依然让业界震撼。整个泄露的库包含约 1900 个 TypeScript 文件，总行数超过 51.2 万行。对于开发者而言，这无异于一本“如何构建顶级 LLM 代理”的参考手册。

核心组件拆解：

• QueryEngine.ts (4.6万行)：它是系统的“心脏”，处理从 API 流式响应到工具调用循环、思维模式（thinking blocks）、速率限制重试以及复杂的系统提示词组装。
• Tool.ts (2.9万行)：定义了超过 50 种离散工具，包括文件操作、Shell 执行、Web 浏览、多代理协调等，每个工具都有严密的权限网关。
• 底层架构：基于 Bun 运行时，结合 React 构建终端 UI，并使用 Zod 进行模式验证。这种选型确保了原生 JSX/TSX 支持和极速启动。

意外发现：未公开的功能与“潜行模式”

在被网友“逐行研读”的代码中，还埋藏着许多 Anthropic 尚未发布的功能和内部代号：

1. KAIROS：描述了一个自主后台守护进程模式，能在用户闲置时进行内存整合。
2. ULTRAPLAN：旨在将复杂的规划任务外包给云端基础设施。
3. BUDDY：一个类似“电子宠物（Tamagotchi）”的 AI 伙伴，甚至拥有品种、稀有度等级和属性统计。
4. 模型代号：代码中出现了 Capybara（对应 Claude 4.6 变体）和 Fennec（对应 Opus 4.6 变体）。

最具讽刺意味的是一个名为 “Undercover Mode（潜行模式）” 的子系统。它的作用是防止 Claude Code 在参与开源仓库贡献时泄露内部信息，例如隐藏其 AI 身份或内部 Slack 频道名称。然而，Anthropic 费心构建了防御系统来防止 AI “说漏嘴”，最后却因构建配置失误自己“交了底”。

安全隐患与行业警示

尽管 Anthropic 认为这不算安全突破，但 Varonis Threat Labs 的研究人员警告称，泄露的编排逻辑和权限防御机制为攻击者提供了绝佳的绕过指南。一旦攻击者了解了系统提示词的确切内容和权限判定路径，就能更精准地设计“提示词注入（Prompt Injection）”攻击。

此外，事件发生的同一天，流行的 npm 包 axios 也遭遇了供应链攻击（版本 1.14.1 和 0.30.4 被注入木马）。由于 Claude Code 依赖于 axios，在那个窗口期安装或更新该工具的用户，可能面临双重安全风险。

开发者应如何防范此类泄露？

这次“翻车”给了所有开发团队三个深刻教训：

• 严格管理 .npmignore：确保所有 .map 文件或敏感配置文件被明确排除。
• 使用 files 白名单：在 package.json 中明确列出必须包含的文件，而非采用排除法。
• 发布前审计：在发布到 npm 前运行 npm pack --dry-run，仔细检查生成的压缩包内容。

结语

Claude Code 的源代码泄露是 2026 年 AI 领域最重大的意外事件之一。虽然 Anthropic 迅速下架了受影响的版本，但镜像仓库已如雨后春笋般出现（如获得 4.6 万星的 claw-code 项目）。对于 AI 社区而言，这提供了一次难得的窥视“行业天花板”架构的机会；对于企业而言，这再次敲响了软件供应链安全与构建流程自动化的警钟。