Claude Code 原始碼洩露:512,000 行 TypeScript 全曝光
Mythos 洩露五天後,Anthropic 又因 npm 打包錯誤意外曝光了 Claude Code 的全部原始碼——1,900 個檔案,512,000 行程式碼。
一句話概括: 2026 年 3 月 31 日,安全研究員 Chaofan Shou 發現 @anthropic-ai/claude-code npm 套件的 2.1.88 版本附帶了一個 59.8 MB 的 JavaScript source map 檔案,指向 Anthropic 在 Cloudflare R2 上的一個公開儲存桶。桶裡是約 1,900 個 TypeScript 檔案,超過 512,000 行程式碼,還有 44 個未發佈功能的 feature flag。GitHub 上的備份倉庫被 fork 了 41,500 多次,Anthropic 根本來不及反應。官方說法是「發佈打包問題,人為失誤,不是安全漏洞」。Fortune 說這是「五天內的第二次重大安全事故」。
Mythos 洩露五天後:Anthropic 又出事了
3 月 26 日,CMS 設定錯誤暴露了大約 3,000 份 Anthropic 未發佈的內部檔案,其中包括描述 Claude Mythos 的部落格草稿。那次事件引發了約 4,000 億美元的網安股拋售。
五天後的 3 月 31 日,又來了。
這次的載體不是 CMS,是 npm——全球數百萬 JavaScript 開發者每天在用的套件管理器。Fortune 把這次 Claude Code 曝光定性為 Anthropic 在「不到一週內的第二次重大安全事故」。Anthropic 不同意用「事故」這個詞。從法律角度看,「事故」和「打包錯誤」確實有區別。但就最終暴露在公網上的東西而言,實際差別可以忽略不計。
Claude Code 原始碼是怎麼洩露的
@anthropic-ai/claude-code npm 套件的 2.1.88 版本在發佈時附帶了一個 JavaScript source map 檔案,體積 59.8 MB——對生產套件來說大得異常。Source map 是一種開發工具,用來把打包壓縮後的 JavaScript 對應回原始碼。正常情況下會在生產建置中被排除掉。
這個 source map 本身不直接包含完整原始碼,但它引用了 Anthropic 的 Cloudflare R2 儲存桶上的 zip 壓縮檔。這個桶沒有設存取控制,誰都能下載。只要檢查一下 source map 的引用位址,就能順藤摸瓜找到原始碼。
zip 裡裝著大約 1,900 個 TypeScript 檔案,總計超過 512,000 行程式碼——這是 Claude Code(Anthropic 的命令列 AI 程式設計助手)的完整原始碼樹。包括應用邏輯、內部工具、設定架構、agent 編排程式碼和未發佈的功能定義。
曝光鏈路很直白:建置管線沒有從發佈套件裡剔除 source map,而被引用的儲存桶沒有設權限。任何一個問題單獨存在都不會導致全部原始碼曝光。但兩個疊在一起,就出事了。
誰發現了 Claude Code 洩露
安全研究員 Chaofan Shou 在 3 月 31 日(週二)上午發現了這個問題。他公開披露了這個發現,指出了 source map 檔案異常的大小和可存取的 R2 儲存桶位址。
幾個小時內,就有人開始鏡像原始碼。一個 GitHub 備份倉庫出現後被 fork 了超過 41,500 次,Anthropic 來不及發出下架請求。傳播速度之快讓完全刪除變得不可能——快取副本、fork 和二次鏡像確保了程式碼會一直留在公網上。
Claude Code 原始碼裡有什麼
被曝光的程式碼庫揭示了 Claude Code 的架構和產品路線圖。最引人注目的是研究人員梳理出了 44 個 feature flag,指向尚未公開宣佈或文件化的功能。
四個 flag 引起了最大關注:
KAIROS 在程式碼庫中被引用了 150 多次。這個 flag 指向一個自主守護模式——一個持久執行的背景程序,讓 Claude Code 可以在沒有使用者直接操控的情況下持續運行。詳細分析見 KAIROS 守護模式深度拆解。
BUDDY 描述了一個終端寵物系統,有 18 種不同的物種。這個功能似乎是一種增強使用者黏性的工具,在程式設計過程中在終端裡渲染動畫夥伴。
COORDINATOR MODE 允許從一個 Claude Code 工作階段中產生多個並行工作的 worker agent。實作邏輯顯示這是一個多 agent 架構,主 agent 可以把子任務分配給併發執行的副 agent。
ULTRAPLAN 描述了一個遠端多 agent 規劃系統,用於處理預估需要 10 到 30 分鐘執行時間的複雜任務。
44 個 feature flag 的完整梳理見 Claude Code 洩露的 Feature Flag 全盤點。
Anthropic 的回應
Anthropic 的官方聲明把這次事件定性為「發佈打包問題,人為失誤,不是安全漏洞」。公司強調,曝光的原始碼中不包含任何客戶資料、API 金鑰或憑證,洩露僅限於 Anthropic 自己的專有應用程式碼。
Anthropic 沒有披露 source map 是從哪個版本開始被包含在發佈套件中的、2.1.88 之前的版本是否也受影響、以及建置管線的具體什麼變動導致了這個檔案被包含進去。
關於內部覆盤或事後分析的時間表,也沒有給出。
Claude Code 洩露對開發者意味著什麼
開源社群的反應很複雜。一些開發者對一家主要 AI 公司連自家 npm 發佈管線都沒審好表示擔憂。另一些人則把這次曝光視為一個意外的機會——終於能了解 Anthropic 是怎麼建構 AI 開發工具的了。
洩露的原始碼提供了關於 Claude Code 如何編排大型語言模型與本地開發環境互動的首次詳細視角。agent 架構、工具呼叫模式和嵌入在程式碼庫中的 prompt 工程策略,立刻成了開發者和研究人員的分析對象。
這次事件也重新點燃了 AI 工具領域一個持續存在的張力:封閉原始碼的商業 AI 產品與依賴它們的開發者社群之間的鴻溝。Claude Code 不是開源的。使用者只能把它當黑箱用。這次意外曝光讓使用者看到了直接影響他們工作流程的決策。
延伸閱讀
- KAIROS 守護模式深度拆解 — 洩露原始碼中發現的自主背景 agent 功能
- Claude Code Feature Flag 全盤點 — 44 個未發佈功能的完整梳理和分析
- 五天兩次洩露:Anthropic 的安全危機 — 兩次洩露的對比分析
- 洩露時間線 — 兩次事件的逐小時還原