2026 年 3 月 31 日凌晨 4 点(UTC),Anthropic 向 npm 公共仓库推送了 Claude Code v2.1.88 更新。在工程师们还没有察觉之前,一位安全研究员已经发现,这次更新附带了一个指向 Anthropic 云存储桶的调试文件——任何人都可以下载其中的 51.2 万行完整源代码。
数小时内,代码被镜像至 GitHub,fork 超过 4.15 万次,分析帖子席卷开发者社区。Anthropic 随即启动版权删除程序,但这场信息的扩散已经无法逆转。
事发次日,Anthropic 首席商务官 Paul Smith 在接受采访时表示,此次泄露事件”绝对不是泄露或黑客攻击”,而是”与 Claude Code 快速发布周期相关的流程错误”,并称相关失误已经得到处理。
本文由 Claude Ai中文官网 整理,还原这次事件的完整经过:技术根因如何形成、泄露了什么内容、Anthropic 如何应对,以及这对一家年化收入接近 190 亿美元的 AI 公司意味着什么。
本文信息来自 Bloomberg、Axios、VentureBeat、Fortune、The Register、CNBC 等媒体的报道,以及 Anthropic 的官方声明。事件发生于 2026 年 3 月 31 日,部分后续影响仍在持续发展中。
一、事件时间线:从推送到全球扩散
| 时间(UTC) | 事件 |
|---|---|
| 3 月 31 日 00:21 | 与此次泄露无关但时机高度巧合:恶意 axios npm 包(1.14.1 / 0.30.4)出现,内嵌远程访问木马(RAT) |
| 3 月 31 日 04:00 | Claude Code v2.1.88 推送至 npm,携带 59.8 MB 源码 Source Map 文件;指向 Anthropic R2 存储桶的完整源码压缩包公开可访问 |
| 3 月 31 日 04:23 | 安全研究员 Chaofan Shou(Solayer Labs 实习生)发现并在 X 上发帖,附带直接下载链接 |
| 3 月 31 日上午 | 源代码在 GitHub 上被快速镜像和解析,fork 数量在数小时内突破数万 |
| 3 月 31 日(UTC 当日) | Anthropic 发表官方声明,确认泄露,定性为”人为错误导致的发布打包问题,不是安全漏洞” |
| 4 月 1 日 | Anthropic 向 GitHub 发出版权删除请求,删除超过 8,000 份副本和衍生内容 |
| 4 月 1 日(稍后) | 有开发者使用 AI 工具将 Claude Code 功能用其他编程语言重写,绕过版权删除;Anthropic 将删除范围收窄至 96 份 |
| 4 月 2 日 | Anthropic CCO Paul Smith 接受 Bloomberg 采访,定性为”流程错误”,与”快速发布周期”有关 |
二、技术根因:一个调试文件怎么泄露了 50 万行代码
这次泄露的技术链条值得仔细梳理,因为它是一个每个工程团队都可能踩的坑。
Source Map 文件的本质
当 JavaScript/TypeScript 项目打包发布时,构建工具(webpack、esbuild、Bun 等)可以选择生成 .map 后缀的 Source Map 文件。这类文件的设计目的是调试:它们把压缩混淆后的生产代码和原始可读源码之间的对应关系记录下来,让错误堆栈能指向真实的源代码位置,而不是 main.js:1:284729 这样的混淆位置。
Source Map 本应只用于开发环境,绝不应该出现在公开发布的 npm 包中。
Bun 的已知 Bug 是触发点
Anthropic 在 2025 年底收购了 Bun JavaScript 运行时,Claude Code 基于 Bun 构建。Bun 存在一个已知 Bug(issue #28001,于 2026 年 3 月 11 日提交),该 Bug 会导致 Source Map 在生产构建中被包含进去,即使文档说明它们不应该被包含。这个 Bug 在事发前已经开放了 20 天,没有人发现。Anthropic 自家收购的工具链,最终泄露了 Anthropic 自家的产品。
泄露的完整链路
具体的泄露路径如下:
- 由于 Bun 的 Bug,生产构建意外包含了 Source Map 文件(
.map) - 这个 Source Map 文件不只是包含了源码对应关系,还包含了一个指向 Anthropic Cloudflare R2 存储桶的链接
- 这个 R2 存储桶中存放着 Claude Code 的完整源码压缩包,且设置为公开可访问
- 任何人只要发现了这个链接,就可以直接下载、解压、获得全部源代码
整个泄露实际上来源于 Claude Code npm 包中的 map 文件里对一个未混淆 TypeScript 源代码的引用,而这个引用又指向了 Anthropic 自己云存储桶上的一个 zip 压缩包。
正如软件工程师 Gabriel Anhaia 在对泄露代码的深度分析中所指出的:这应该提醒所有开发者检查自己的构建流水线。”一个配置错误的 .npmignore 或 package.json 中的 files 字段就能暴露一切。”
三、泄露了什么:51 万行代码里有什么
这次泄露的不是模型权重(模型权重没有暴露),而是 Claude Code 的”Agent 框架”(Agentic Harness)源代码——那层包裹在底层模型外面、赋予它使用工具、管理文件、执行命令的软件层。
基本规模
- 约 51.2 万行代码
- 约 1,906 个 TypeScript 文件
- 44 个隐藏的功能 Flag(已构建但尚未发布的功能)
泄露的架构细节
Claude Code 不是一个简单的聊天封装。它是一种插件式架构,每种能力都是一个独立的、权限门控的工具:BashTool(带安全保护的命令执行)、文件管理工具等。每个工具都有自己的权限模型、验证逻辑和输出格式。仅基础工具定义就跨越 2.9 万行。
泄露代码中最具价值的内容是 Anthropic 如何解决”上下文熵增”问题——即 AI Agent 在长时间运行过程中趋向混乱和幻觉的问题。泄露的源码揭示了一套精密的三层记忆架构:核心是 MEMORY.md,一个轻量级的指针索引(每行约 150 字符),始终保存在上下文中;实际项目知识分散在”主题文件”中按需获取;原始对话记录从不被完整读回上下文,而只是用 grep 搜索特定标识符。 这套架构是竞品公司花费大量工程资源试图自己摸索的东西,现在以源码形式完整呈现在了所有人面前。
泄露的未发布功能路线图
泄露代码中包含了数十个已构建但尚未发布的功能 Flag,包括:允许 Claude Code 在最新会话结束后回顾所做的工作、总结学习经验并跨对话迁移的能力;在用户空闲时 Claude Code 仍在后台持续工作的”持久助手”模式;允许用户从手机或其他浏览器远程控制 Claude Code 的远程能力(这一功能后来已在 Claude Code 中上线)。
开发者还从代码中挖出了更多细节:一个内部名为”做梦”(dreaming)的记忆处理机制;一些指令似乎在特定情境下引导 Claude Code 在向第三方平台发布代码时不要表明自己是 AI;以及一个嵌入代码库中名为”Buddy”的电子宠物(Tamagotchi 式互动功能)。
关于”Mythos/Capybara”的线索
据安全研究员 Roy Paz(LayerX Security 高级 AI 安全研究员)分析,泄露的代码进一步证实了 Anthropic 正在积极准备发布一个内部代号为”Capybara”的新模型,且可能同时推出”快”和”慢”两个版本。这与在同一周更早泄露的 Anthropic 草稿博文(其中提到”Mythos”和”Capybara”为同一模型的两个内部名称)相互印证。
四、Anthropic 的官方立场:人为错误,不是安全漏洞
Anthropic 对此次事件的定性非常明确,并从公司最高层给出了解释。
官方声明原文:“今日早些时候,一次 Claude Code 发布中包含了部分内部源代码。没有任何敏感的客户数据或凭证被涉及或暴露。这是一次由人为错误导致的发布打包问题,不是安全漏洞。我们正在推出措施以防止此类事件再次发生。”
高管跟进表态:Anthropic 首席商务官 Paul Smith 在接受 Bloomberg 采访时表示,此次泄露”绝对不是安全漏洞或黑客攻击”,相关错误已经被处理。”这些是与我们围绕 Claude Code 所进行的极其快速的发布周期相关的流程错误,”Smith 说。
Anthropic 同时表示,Claude Code 负责人 Boris Cherny 专门提交了几个 pull request 来改善 OpenClaw 的提示词缓存命中率, 显示技术团队在事件后仍在主动维护与开源社区的关系。
关于版权删除行动:Anthropic 最初使用版权删除请求在 GitHub 上删除了超过 8,000 份副本和衍生内容,随后将删除范围收窄至 96 份。 范围的收窄可能反映了 Anthropic 对过度删除的担忧,以及法律层面的现实考量——代码一旦被广泛 fork 和改写,彻底删除在实践中几乎不可能实现。
五、为什么这是”第二次”:Anthropic 的操作安全记录
这次泄露并非孤立事件。这不是 Anthropic 第一次意外泄露 Claude Code 工具的细节。2025 年 2 月,一个早期版本的 Claude Code 在类似的泄露中暴露了其原始代码,展示了该工具在幕后如何工作,以及它如何与 Anthropic 内部系统连接。Anthropic 后来删除了该软件并撤下了公开代码。
而且就在这次源代码泄露的同一周,Anthropic 还经历了另一次内容意外公开——公司的内容管理系统发生配置错误,导致近 3,000 份未发布文档出现在可公开搜索的数据存储中,其中包括一份描述”我们有史以来最强大 AI 模型”的草稿博文。 这份草稿迫使 Anthropic 提前确认了”Claude Mythos”模型的存在。
一周之内两次内容意外公开,在一家市值 3,800 亿美元、正准备 IPO 的 AI 公司上,这样的频率让外界对其内部操作流程的成熟度产生了合理的质疑。
六、并发风险:axios 供应链攻击
在这次源代码泄露的同一时间窗口内,还发生了一件独立但极为危险的事件,值得单独说明。
如果你在 2026 年 3 月 31 日 00:21 至 03:29(UTC)之间通过 npm 安装或更新了 Claude Code,你可能无意中拉取了包含远程访问木马(RAT)的恶意 axios 版本(1.14.1 或 0.30.4)。建议立即在项目锁文件(package-lock.json、yarn.lock 或 bun.lockb)中检查这些特定版本或依赖 plain-crypto-js 的踪迹。
这次 axios 供应链攻击与 Claude Code 源码泄露在技术上完全无关,但时间上的高度重叠制造了严重的信息混乱,导致部分报道将两者混为一谈。两者需要分别应对:
- 源码泄露:影响的是 Anthropic 的竞争信息安全,不涉及用户设备安全
- axios 恶意包:可能影响在特定时间窗口内更新 Claude Code 的用户本地环境安全,需要检查 lockfile 并轮换 Anthropic API Key
七、商业影响:竞争情报的战略价值
Claude Code 的运营收入在 2026 年 2 月已超过 25 亿美元年化,其在开发者中的病毒式采用是 Anthropic 以 3,800 亿美元估值完成新一轮融资的核心驱动力。OpenAI、谷歌和 xAI 已经投入大量资源开发竞争性产品。源代码的曝光,为这些竞争对手提供了详细的设计逻辑地图,无需反向工程就能复制 Anthropic 花费数年构建的能力。
泄露内容的商业价值集中在以下几点:
- 记忆架构:三层记忆系统(MEMORY.md 指针索引 + 按需主题文件 + grep 式历史检索)是 Claude Code 解决长时间 Agent 稳定性问题的核心工程方案,被公认为竞品最难自行摸索的部分
- 功能路线图:44 个已构建未发布的功能 Flag,相当于 Anthropic 未来一两个季度的产品规划直接公开
- 权限和安全架构:工具权限模型和验证逻辑的详细实现,让安全研究人员和潜在攻击者都能更准确地找到潜在绕过路径
在底层 AI 模型被有资金实力的竞争对手复制的市场中,如何围绕模型构建产品、以及计划构建什么,已成为竞争优势的主要来源。这次泄露因此是对 Anthropic 的重大打击。
八、安全专家的评估:影响是真实的,但有边界
安全专家对这次事件的评估普遍一致:Anthropic 的立场”不是安全漏洞”在技术层面是准确的,但这不意味着没有影响。
Anthropic 定性的合理性:没有外部攻击者侵入 Anthropic 的系统,没有客户数据被访问,没有凭证被窃取。泄露的是 Anthropic 自己意外公开了自己的内部文件,从外部威胁的角度看,这确实不构成”安全漏洞”。
但”不是安全漏洞”不等于”没有安全影响”:由于泄露揭示了 Hooks 和 MCP 服务器的精确编排逻辑,攻击者现在可以设计专门针对 Claude Code 信任模型的恶意代码库,让 Claude Code 在用户看到权限提示之前就运行后台命令或泄露数据。 这是泄露带来的安全风险的延伸——不是 Anthropic 的系统被攻破,而是 Claude Code 用户面临的攻击面变得更精确。
Anthropic 当前最强大的模型 Claude Opus 4.6 已被公司自己列为网络安全领域的”危险模型”,Anthropic 表示其当前 Opus 模型具备自主识别零日漏洞的能力。虽然这些能力本意是帮助公司检测和修复缺陷,但也可能被黑客利用,包括国家级行为者,来发现和利用漏洞。 在这个背景下,Claude Code 架构的详细公开,多了一层需要认真对待的安全含义。
九、对开发者的实际建议
如果你是 Claude Code 的用户或开发者,以下几点是这次事件后的实际操作建议:
- 检查 axios 版本:如果你在 3 月 31 日 00:21–03:29(UTC)之间更新了 Claude Code,检查 lockfile 中是否存在 axios 1.14.1、0.30.4 或 plain-crypto-js 依赖。如果存在,轮换你的 Anthropic API Key
- 切换至原生安装方式:Anthropic 已将原生安装程序指定为推荐安装方式,该安装程序使用独立的二进制文件,不依赖 npm 依赖链,降低了未来类似事件的风险。
- 更新至最新版本:确保使用的是问题修复之后的 Claude Code 版本
- 提高对 Claude Code 权限提示的注意力:在工具权限架构被公开后,针对 Claude Code 权限提示的社会工程学攻击的可能性理论上有所上升,谨慎对待不寻常的权限请求
总结
这次 Claude Code 源代码泄露是一次由技术失误引发、被快速发布节奏放大的内部事故。Anthropic 将其定性为”流程错误而非安全漏洞”在技术层面站得住脚,但这个定性回避不了商业层面的实质影响:竞争对手免费获得了一份关于如何构建生产级 AI 编程 Agent 的详细工程蓝图,以及 Anthropic 未来几个季度的产品路线图。
更值得关注的是事件的系统性背景:这是一周内的第二次内容意外公开,也是 Anthropic 在 Claude Code 上的第二次此类事件。”快速发布周期”是硅谷 AI 公司的标准话语体系,但当公司体量达到 3,800 亿美元估值、产品年化收入 25 亿美元时,发布流程的成熟度需要与商业规模相匹配。
更多关于 Claude Code 功能更新和安全最佳实践,欢迎访问 Claude Ai中文官网 查阅持续更新的中文开发者文档。
一个调试文件,51 万行代码。这不是黑客造成的,是流程造成的。在 AI 竞争最激烈的阶段,这个区别对 Anthropic 来说既是辩护,也是警示。