抄袭OpenClaw？Claude 泄露未发布产品「KAIROS」

昨天，Claude Code 的 51.2 万行源码遭到了泄露。

Anthropic的工程师在打包的时候漏了一个配置，调试用的 source map 文件跟着发布包一起推到了 npm。安全研究员 Chaofan Shou 凌晨四点半发现了这个问题，几小时后代码已经被镜像到了 GitHub 和去中心化平台，收不回来了。

开发者们翻了个底朝天。44 个功能开关、内部模型代号、没发布的产品功能，全暴露了。其中被讨论最多的是一个叫 KAIROS 的东西，代码里出现了 150 多次。

KAIROS是什么

KAIROS 是一个常驻后台的守护进程。启动之后，它每隔几秒接收一个心跳信号，代码里叫 tick。每次心跳它做一个判断：当前环境里有没有值得做的事。有就动手，没有就安静待着。代码里写了 15 秒的阻塞预算，意思是单次操作不能超过 15 秒，防止卡住你的工作流。

它能干的事跟现在的 Claude Code 没区别：修 bug、编辑文件、跑任务、回消息。区别在于不需要你开口。

KAIROS 有三个专属工具，普通 Claude Code 用不了。

第一个是推送通知。你不在终端前面，KAIROS 能通过手机或桌面推送找到你。普通 Claude Code 只能在你主动打开对话的时候说话，KAIROS 能主动拍你肩膀。

第二个是文件传输。它做完了一个东西，直接发给你，不用等你问"搞定了吗"。

第三个是 PR 订阅。它能挂在你的 GitHub 仓库上，有人提了 PR 它自己去看，自己做判断。

autoDream：下班之后它还在干活

KAIROS 有一个子系统叫 autoDream，直译就是"自动做梦"。

白天 KAIROS 工作的时候，会持续写日志。它观察到了什么、判断了什么、执行了什么，全部记下来。日志是只追加的，KAIROS 自己不能删，你随时可以翻。

到了你下班或者睡觉的时段，autoDream 启动。它干三件事：把白天零散的观察合并成连贯的认知，找出记忆里互相矛盾的地方消除掉，把反复验证过的推断升级成确认的事实。

这就是一个离线的记忆整理流程。长时间积累的上下文太多太杂，autoDream 做蒸馏，扔掉噪声留信号。

还有一个细节。KAIROS 的记忆跨会话持久。你周五关掉电脑，周一打开，它记得上周的事。

泄露里的其他东西

KAIROS 是主角，但代码里还有几个有意思的发现。

Undercover Mode 是其中最搞笑的。代码里有一段系统提示，大意是"你正在公开仓库执行秘密行动，commit 信息不能包含任何 Anthropic 内部信息，不要暴露身份"。Anthropic 用 Claude Code 给公开的开源项目提交代码，这套机制负责自动擦掉 AI 痕迹。一个专门防泄露的系统，连同它保护的所有秘密，被泄露本身暴露了。

代码里还有反蒸馏陷阱。启用之后，Claude Code 会在 API 请求里混入虚假的工具定义。如果有人录 API 流量拿去训练竞品模型，这些假数据会污染训练集。思路很直接：你抄我，我给你下毒。

最离谱的是 Buddy 系统。代码里藏了一个完整的电子宠物。18 个物种，稀有度分普通到传奇，1% 概率出闪光款，属性栏包括调试力、毒舌值、混乱度和智慧。这个是4月1日的愚人节彩蛋，通过 /buddy 命令触发。

Capybara 的痕迹也在代码里出现了。五天前 Anthropic 的 CMS 配置错误泄露了一份关于新模型 Mythos 的博客草稿，Capybara 就是 Mythos 的产品代号，定位是比 Opus 4.6 更强的新层级。

这次源码泄露进一步确认了它的存在。代码注释显示 Capybara 已经迭代到 v8，但虚假声明率从 v4 的 16.7% 涨到了 29-30%。模型能力在进步，可靠性反而在退步。

泄露是如何发生的

Claude Code 跑在 Bun 上面，这是 Anthropic 2025年底收购的 JavaScript 运行时。Bun 的打包工具有一个特性：默认生成 source map 文件。source map 是调试用的，能把压缩后的代码还原成可读的源码。发布产品的时候必须手动排除这些文件，否则你的源码就跟着包一起出去了。

这次就是没排除。

3月11日，有人在 Bun 的 GitHub 仓库报了一个 bug：Bun 在生产模式下仍然生成 source map，跟文档写的不一样。到3月31日泄露发生的时候，这个 bug 还开着没修。Anthropic 收购了 Bun，Claude Code 构建在 Bun 上，Bun 自己的 bug 把 Anthropic 的源码送上了公网。

这已经是五天内第二次。

3月26日，Anthropic 的内容管理系统因为配置错误，把 3000 份未发布的内部文件暴露在了公网上，里面包括新模型 Mythos 的详细信息。

两次事故的官方解释都是"人为失误"。

Anthropic 说没有客户数据泄露，没有人被开除。

一家把"安全优先"写在品牌里的 AI 公司，五天出了两次配置事故。代码里专门有一个叫 Undercover Mode 的防泄露系统，这次连它一起泄了。