Claude Code 的源码泄露了。消息一出,开发者们的第一反应是立刻执行 git clone。
备份仓库 instructkr/claude-code 瞬间获得了超过 2 万颗星。
事件的起因颇具戏剧性:在 Claude Code 发布新版本 v2.1.88 时,一个 60MB 的 source map 文件被意外打包进了 npm 发布包中。
后果是严重的:1906 个源文件完整暴露,总计 51 万行代码变得完全可读。甚至出现了让 Claude Code 自己解读自己代码的奇景。
Claude 团队这下被迫变得比 OpenAI 更加“Open”了。
那么,source map 究竟是什么?为何会导致如此彻底的泄露?它本是用于开发调试的映射文件,能将压缩后的代码还原成原始源码。关键在于:它绝对不应该出现在面向用户的发布包里。
如果这只是一个普通的 Web 项目,在 npm 上泄露前端代码,他人或许只能借鉴其设计和交互逻辑,核心业务逻辑仍安全地保留在后端。
但问题在于,Claude Code 是一个编码 CLI 工具,其最受关注的功能恰恰运行在用户本地的客户端里。这意味着,任何有心人获得这套代码,理论上都能复制出一个功能相近的产品。有评论称“6个月内就能复制出来”,甚至被认为过于保守了。
泄露的代码被眼疾手快的社区迅速备份到多个 GitHub 仓库,并展开了全网范围的深度研究。
短短 7 小时内,代码被扒了个底朝天,大量未公开信息浮出水面:8 项新功能、26 个以上的新指令、6 级安全架构,甚至还有一个愚人节彩蛋。项目整体架构优秀,但代码中也存在一些“屎山”般的复杂片段。
新功能:电子宠物、长期记忆助手与30分钟深度规划
代码中不仅包含已上线的功能,社区还迅速发现了大量被功能开关(feature flag)关闭的隐藏模块。有人专门搭建了 ccleaks.com 网站来展示所有隐藏内容。从代码中,人们提取出了 35 个编译时特性标志、120 多个隐藏环境变量以及 200 多个远程控制开关。
最出人意料的发现之一,是 Claude Code 中隐藏的一个电子宠物系统。其代号为 Buddy,一个类似拓麻歌子(Tamagotchi)风格的 ASCII 虚拟宠物,会出现在用户的终端里。
该系统包含 18 种物种——鸭子、章鱼、水豚、蘑菇等,并设置了 6 种稀有度。普通款占 60%,传奇款仅占 1%,甚至还有“闪光款”的设定。
每个用户的宠物由其账户 ID 唯一生成,相当于“上号抽卡”,你得到的那只宠物在全世界独一无二。不过,从代码中的时间戳判断,Buddy 计划于 4 月 1 日首次亮相,大概率是一个愚人节彩蛋。
接下来是更“正经”的功能。代号为 Kairos 的持久化助手模式,旨在让 Claude 拥有跨会话的长期记忆。
当用户不使用 Claude Code 时,Kairos 会自动执行四阶段记忆整合流程:定向、收集、整合、修剪。换言之,AI 会在你休息时,自动将之前零散的对话信息整理成结构化的笔记。
此外,代码中还发现了一系列未公布的隐藏功能:* Ultraplan:使用 Opus 4.6 模型支持最长 30 分钟的深度任务规划,适合复杂项目的全流程设计。* 多 Agent 协调模式:支持同时启动多个独立的 Agent 实例进行分工协作,处理并行任务的效率据称可提升 3 倍以上。* 跨会话进程通信:如果用户的机器上运行着多个 Claude 会话,它们可以互相发送消息。* 守护进程模式:会话管理器,可让 Claude 会话像系统服务一样在后台运行。
代码中还发现了 26 个未在帮助文档中列出的隐藏斜杠指令,其中包含已部分曝光的 /btw 等。
另一个引发争议的隐藏功能是 卧底模式(Undercover mode)。该功能旨在向开源代码库提交 PR 时,自动移除所有 Anthropic 的相关信息。代码中明确写道要让 AI “伪装成人类”,这让许多开发者感到不适。
需要注意的是,这些隐藏功能在发布包中大多只有接口实现,完整代码并未泄露。然而,除了未发布的新功能,这 51 万行代码本身,还有更多值得探讨的内容。
51万行代码中的惊喜与惊吓
Claude Code 的架构设计水平远超社区预期,但其代码质量却被发现参差不齐。
在这海量代码中,最先引起开发者注意的是其安全设计。每一次工具调用,无论是执行 Shell 命令还是读写文件,都必须先通过一个六级权限验证系统。
验证通过后,还需经过一个四层决策管道,逐层进行权限检查和执行分析,最终才能实际执行操作。所有外部命令和插件都在独立的沙箱环境中运行。
系统还采用了独立的非阻塞缓冲区来处理输入输出,使其能够边回复用户,边在后台继续处理任务,实现“一心多用”。当对话的 token 数量超过阈值时,系统会自动启动上下文压缩,智能地保留最关键的逻辑链条。
至此,社区的评价基本是正面的:架构扎实,安全机制严谨。
但是,当翻到 src/cli/print.ts 这个文件时,画风突变。其中一个函数长达 3000 多行,嵌套层级深达 12 层,圈复杂度爆表。
此外,社区还发现了一个有趣的细节:Claude Code 检测用户负面情绪的方式。它并非使用 AI 模型进行情感分析,而是采用了最原始的正则表达式,去匹配 ffs(for fuck‘s sake)、shitty 之类的关键词。
所有这些发现,不禁让人想问:一向以“AI 安全”为标榜的 Anthropic,为何自身的安全防线却漏洞频出?
Anthropic “安全人设”的连续翻车
Claude Code 源码泄露并非孤立事件。就在几天前,Anthropic 刚刚经历了另一场大规模泄露。
3 月 26 日,由于第三方 CMS 系统配置错误,Anthropic 近 3000 项内部资产被公开访问。这批资产中曝光了一个代号为 Capybara 的未发布模型 Claude Mythos。内部文件称其为 AI 能力的“阶跃式提升”。
泄露材料中关于 Mythos 能“以远超人类防御者的速度利用漏洞”的描述,甚至直接导致了几家网络安全公司的股价下跌。
短短两周内,一次 CMS 配置错误泄露了未发布模型,一次 source map 打包失误泄露了完整源码。若将视角拉远,Claude Code 早在 2025 年 2 月首发时就曾泄露过一次 source map。同样的错误,竟犯了两次。
事件本身的损害或许有限。有人认为,AI 公司的护城河在于模型本身,而非 CLI 工具。核心的模型权重、训练数据、用户数据并未泄露,CLI 只是一个客户端包装。
然而,产品的完整架构和未发布的功能路线图已然暴露。竞争对手等于获得了一份免费的技术蓝图。对于一家将“AI 安全”写入公司使命的企业而言,运营安全方面的反复失控所传递的信号,可能比技术漏洞本身更为致命。
这是“氛围编程”(vibe coding)时代自动化构建流程带来的新型风险?还是高速迭代下质量控制的系统性缺失?又或者,在一个 AI Agent 已经能够自主写代码、提交 commit、管理发布流程的时代,谁能百分百确定这仅仅是人为失误呢?
