Claude Code源代码意外泄露:512 K行代码曝光,内含大量未发布功能
DeepTech深科技
来源:DeepTech深科技
就在几个小时前,一个名为 Chaofan Shou 的用户在 X 平台上披露, Anthropic 旗下 AI 编程工具 Claude Code 的完整源代码通过 npm 包中的 source map 文件意外暴露。
Chaofan Shou 是 Web3 安全公司 FuzzLand 的实习研究员。他在检查 Claude Code 的 npm 包时发现,包内的一个体积为 57MB 的 cli.js.map 文件指向了一个 R2 存储桶链接, 其中包含 1,900 个 TypeScript 文件,共计 512,000 余行未经混淆的完整源代码 。不需要反编译、反混淆,便可轻松还原。
数小时内,泄露代码已被“热心网友”归档至 GitHub,获得超过 13,000 颗星和 20,000 次 fork。
(来源:GitHub) 泄露的原因相当基础:source map 文件本应在生产构建时被排除,但由于.npmignore 配置疏漏或构建工具设置不当,导致这些包含完整原始代码的文件被一同发布到了 npm registry。
Anthropic 随后紧急推送 npm 更新移除了 source map 文件,并删除了早期版本。但为时已晚,GitHub 上的归档已经永久保存,开发者们已开始分析代码。
具体泄露了什么?
根据 GitHub 仓库的分析,泄露的代码库远比外界想象的复杂。 这不是一个简单的 API 封装,而是一个包含 40 多个权限控制工具、46,000 行查询引擎代码、多智能体协调系统、IDE 桥接功能和持久化记忆机制的完整生产级开发工具。
代码中还发现了 35 个编译时功能标志、120 多个未公开的环境变量,以及 26 个内部斜杠命令(如/teleport、/dream、/good-claude 等)。其中 USER_TYPE=ant 环境变量可以为 Anthropic 员工解锁全部功能。
泄露代码中最引人注目的是大量尚未公开的实验性功能:
BUDDY:终端里的电子宠物
代码中包含一个完整的类似 Tamagotchi 的 AI 伴侣系统,拥有确定性抽卡机制、物种稀有度等级、闪光变种、程序化生成的属性,以及由 Claude 在首次孵化时撰写的“灵魂描述”。
KAIROS:永不下线的 AI 助手
KAIROS 是一个持久化的常驻助手模式。它会持续监视、记录,并主动对观察到的事物采取行动。这一功能隐藏在 PROACTIVE/KAIROS 编译标志之后,在外部构建版本中完全不存在。KAIROS 会维护每日的追加日志文件,记录观察、决策和操作。
autoDream:让 Claude 学会“做梦”
代码库中存在一个名为 autoDream 的后台记忆整合引擎,作为分叉子代理运行。这是一个反思性的记忆文件处理过程,用于将近期学习到的内容整合为持久化、组织良好的记忆,以便后续会话能够快速定位上下文。
该系统通过“三重门控触发”:距上次做梦 24 小时、至少 5 次会话、获取整合锁。
ULTRAPLAN:30 分钟的远程规划会话
ULTRAPLAN 模式可以将复杂规划任务交给运行 Opus 4.6 的远程云容器运行时会话,给予最多 30 分钟的思考时间,用户可以在浏览器中批准结果,然后通过特殊的__ULTRAPLAN_TELEPORT_LOCAL__标记将结果“传送”回本地终端。
此外泄露代码还揭示了一些特殊模式:
·C oordinator Mode : 多智能体协调模式,可并行生成和管理多个工作代理
·Bridge 模式 : 通过 claude.ai 或手机远程控制本地 CLI
·Daemon 模式 : 完整的后台会话管理器,支持 claude ps、attach、kill 等命令
·UDS Inb ox : 通过 Unix 域套接字让多个 Claude 会话互相通信
此外,代码中存在一个“Undercover Mode”(卧底模式),专门用于防止 Anthropic 员工(通过 USER_TYPE === 'ant'识别)在公开/开源仓库贡献代码时意外泄露内部信息。
该模式在激活时会注入系统提示,明确禁止在 commit 消息或 PR 描述中包含:内部模型代号(如 Capybara 卡皮巴拉、Tengu 天狗等动物名)、未发布的模型版本号、内部工具名、Slack 频道、“Claude Code”字样,甚至禁止提及自己是 AI。
代码还透露,Anthropic 内部代号使用动物命名,“Tengu”(天狗)作为前缀出现了数百次,几乎可以确定是 Claude Code 的内部项目代号。
这是愚人节玩笑吗?
值得玩味的是,泄露发生在 3 月 31 日,愚人节前一天。而代码中多处细节暗示这可能是精心策划的彩蛋:
BUDDY 系统使用的随机数种子盐值是'friend-2026-401',其中 401 可能指代 4 月 1 日。代码还标注了 4 月 1-7 日为“预告窗口”,完整发布则定于 2026 年 5 月。
不过,考虑到泄露的代码规模之大、工程细节之完整,加之这是 Anthropic 五天内的第二次重大泄露事件(3 月 26 日刚因 CMS 配置错误泄露了 Claude Mythos 模型信息和约 3,000 份未公开资产),将整起事件解释为愚人节玩笑似乎有些牵强。
值得一提的是,就在同一天,Axios npm 包也发生了被入侵事件。后者导致一个每周下载量达 8,300 万次的包被植入跨平台远程访问木马。Claude Code 的泄露虽非恶意,但同样说明 npm 包发布流程中一个配置疏漏就可能暴露完整代码库。
而这也并非 Claude Code 首次出现安全问题。 2025 年 2 月,Claude Code 早期版本就因同样的问题曝光过,Anthropic 当时删除了旧版本并修复了 source map 配置 ;去年 12 月,其系统提示词也曾被完整泄露。 加上几天前的 CMS 配置错误导致 Claude Mythos 模型信息外泄 (也在这次的泄露代码中),Anthropic 近期的运维安全表现令人担忧。
不过这次的泄露对普通用户来说并没有风险,泄露的主要是 CLI 的客户端实现代码,不涉及用户数据。
而且,尽管这并非一次官方的“开源”行动,被公开的代码已被开发者社区视为宝藏。其中展示的 40+ 工具系统、多智能体协调、持久化记忆等生产级架构,为 Agent 开发者提供了宝贵的参考蓝本。这次泄露某种程度上可能推动 Agent 赛道的又一轮技术迭代。
参考链接:
1. https://x.com/Fried_rice/status/2038894956459290963
2. https://github.com/instructkr/claude-cn