Anthropic犯了个低级错误，没防住自己的源码裸奔

文｜晓静

编辑｜徐青阳

2026年3月31日，安全研究者Chaofan Shou在npm注册表中发现，Anthropic的旗舰产品Claude Code意外附带了一个59.8MB的source map文件。这个文件将打包压缩后的代码完整映射回原始TypeScript源码，等于直接把超过1900个源文件、共计51.2万行代码摊在了公共互联网上。数小时内，备份仓库在GitHub上获得超过5000颗星标，Hacker News和Reddit同时冲上热榜。

这不是一次黑客攻击，甚至不是一次数据库泄露，它只是一个构建流水线的配置疏漏。但它意外让整个行业得以窥见Anthropic对“AI工程师”这个概念的完整工程实现。

一位AI工程师说，“这次泄露的是半编译过的cc（Claude Code）源码，不是模型本身，所以冲击有限。真正有价值的信息是其中可能包含的系统提示词和内部架构逻辑，但模型权重没有暴露。”

一个.map文件引发的「开源」

事故的技术原因并不复杂。Claude Code使用Bun作为运行时和打包工具，而Bun的构建器默认生成source map文件。在正常的发布流程中，这类文件应当通过.npmignore或构建配置被排除在npm发布包之外。但这一次，一个名为cli.js.map的文件随正式包一同上传到了npm公共注册表。

Source map的设计初衷是方便开发者调试，将生产环境中压缩混淆的代码映射回可读的原始源码。一旦这种文件出现在公共包中，任何人都可以据此还原出完整的原始代码库。据已公开的分析，该map文件还引用了托管在Anthropic R2存储桶中的未混淆TypeScript源文件，使整个src/目录可被直接下载。

值得注意的是，这并非Claude Code首次因source map暴露源码。早在2025年2月，Hacker News上就有开发者讨论过从Claude Code的npm包中提取source map的可行性。此后也有人通过反混淆手段完成了对Claude Code的“净室转译”。但此前的暴露规模远不及这次，51.2万行完整TypeScript源码的泄露，使外界第一次看到了这款工具的全貌。

不只是一个CLI壳

从泄露代码的架构来看，Claude Code远不止是一个套在大模型API外面的命令行界面。

它的核心由三大模块构成。第一是工具系统，包含约40个独立模块，涵盖文件读写、Bash命令执行、网页抓取、LSP协议集成等能力，每个工具都定义了独立的输入模式、权限模型和执行逻辑。仅工具基础定义代码就达到约2.9万行。

第二是查询引擎QueryEngine.ts，这个长达4.6万行的模块处理所有与大模型的API交互，包括流式传输、缓存、Token计数和推理编排。

第三是多智能体协调系统，代码中出现了coordinator（协调器）和bridge（桥接层），后者用于连接VS Code和JetBrains等IDE。

更引人关注的是一批尚未公开的功能。代码中存在一个名为Kairos的模式，从实现来看，这是一个可在后台持续运行的自主守护进程，具备会话保持和记忆整合能力。它拥有普通Claude Code不具备的专属工具集，并设置了15秒的阻塞预算——任何可能阻断用户工作流超过15秒的操作都会被延迟执行。另一个名为ULTRAPLAN的模式则更为激进：它可以将复杂规划任务卸载到远程云容器中，由Opus 4.6模型用最长30分钟进行思考，用户可通过浏览器审批结果后将其“传送”回本地终端。

此外，代码中还包含一个名为Undercover Mode的子系统，当Anthropic员工在公共代码仓库操作时自动激活，用于清除提交记录中的AI使用痕迹。这一功能的存在本身就颇具讽刺意味，一个专门用于防止内部信息泄露的系统，最终没能防住整个源码库的裸奔。

代码中甚至嵌入了一套完整的电子宠物系统“Buddy System”，包含18个物种、稀有度等级和闪光变体，宠物物种由基于用户ID的伪随机数生成器确定，闪光概率为1%。这显然是工程团队的自娱之作。

一周内第二次，Anthropic的安全困境

这次源码泄露发生在一个微妙的时间节点。就在五天前的3月26日，外媒率先报道了另一起Anthropic安全事故：由于内容管理系统配置错误，约3000份未发布的内部资产被公开访问，其中包含尚未发布的Claude Mythos模型的草案文档、一场面向CEO级别客户的闭门活动细节，以及关于该模型网络安全能力的敏感评估。

Anthropic当时回应称，问题源于“外部CMS工具的人为配置失误”，泄露的内容是“早期草稿”，不涉及核心基础设施、AI系统、客户数据或安全架构。但不到一周，更大规模的源码泄露接踵而至，只是这次出问题的是npm构建流水线。

两次事件的性质不同，但对于一家估值3500亿美元、正在讨论2026年四季度IPO的AI公司来说，基础的工程发布流程和内容管理系统中反复出现低级配置错误，暴露出的是工程运维管理的系统性薄弱。

Anthropic在模型能力和安全研究上投入了大量资源，但在基础设施的日常运维层面，显然存在与其行业地位不匹配的漏洞。

归根结底，这次事件是一个构建流水线的低级错误，但它偶然地完成了一件AI行业从未有过的事，让一款头部闭源AI产品的完整工程实现，以非经授权的方式暴露在所有人面前。