因员工一不小心把51.2万行Claude Code源代码泄露,让全行业窥见了人工智能(AI)新锐巨头Anthropic的产品内部架构,并且提前曝光了其电子宠物和持久化AI助手的产品布局。
当地时间3月31日,因npm包打包失误,Claude Code源代码被泄露。数小时内,泄露代码便在GitHub形成星标破万、备份超2万次的扩散态势。
对此,Anthropic向《每日经济新闻》记者(以下简称每经记者)回复称,这是由于人为错误(human error)导致的发布打包问题,而非安全漏洞。
专家指出,此次泄露为中小开发者提供了提升其产品能力的“抄作业”机会,但相关代码的商业化使用则面临法律风险。
被泄露的Claude Code代码库 图片来源:X
51万行Claude Code源代码“被开源”
当地时间3月31日,Web3安全公司FuzzLand的实习研究员Chaofan Shou在社交平台X上披露,Anthropic旗下AI编程工具Claude Code的源代码被意外泄露。
图片来源:X
据其描述,他在检查Claude Code的npm包时发现,一个体积达57MB的cli.js.map文件指向了一个存储桶链接,其中包含了1900个TypeScript文件,共计超过51.2万行未经混淆和反编译的完整源代码。这意味着,开发者可以轻松一窥甚至还原Claude Code的内部构造。
开发者还原的Claude Code 图片来源:GitHub
问题根源并不复杂:本应在生产构建中被排除的source map文件,因.npmignore配置疏漏或构建流程设置不当,被一同发布至npm registry这一公开平台。数小时内,相关代码即被上传至GitHub并广泛传播,甚至已有开发者基于泄露内容完整重建了Claude Code。
事件发酵后,Anthropic紧急更新npm包并移除相关文件,同时删除早期版本。但为时已晚。
每经记者就此事向Anthropic求证,该公司回应称:“今日早些时候,Claude Code的一次发布中包含了部分内部源代码。此次事件未涉及或暴露任何敏感的客户数据或凭证。这是由于人为错误导致的发布打包问题,而非安全漏洞。我们正在推出措施,以防止类似情况再次发生。”
这已经是Anthropic一周内发生的第二次重大泄露事件。3月26日,该公司刚刚因CMS(内容管理系统)配置错误,泄露了名为Claude Mythos的模型信息和约3000份未公开的资产。更早之前,Claude Code在2025年2月和2024年12月也分别出现过源码和系统提示词泄露问题。频繁发生的“人为失误”,正持续侵蚀市场对其安全能力的信任。
“生产级泄露”:未发布的电子宠物与持久化AI助手提前曝光
随着开发者对泄露代码的深入分析,一个远超外界预期的Claude Code内部体系逐渐清晰。这并非一个简单的API封装工具,而是一个完整的生产级开发环境。
根据GitHub仓库的分析,泄露的代码库包含40多个权限控制工具、一个拥有4.6万行代码的查询引擎、多智能体协调系统、IDE桥接功能以及持久化记忆机制等。代码中还发现了35个编译时功能标志和超过120个未公开的环境变量,通过USER_TYPE=ant这个环境变量,Anthropic的员工可以解锁全部内部功能。
有程序员指出,Claude泄露内容显示它不是一个AI编程助手,更像是一个操作系统。
更引人关注的是多项尚未发布的实验性功能。
Anthropic未发布的实验性功能 图片来源:GitHub
第一,是名为BUDDY的终端电子宠物系统。
代码显示,BUDDY是一个类似上世纪90年代风靡全球的电子宠物“拓麻歌子”(Tamagotchi)的AI伴侣系统。其核心机制结合用户ID与伪随机算法生成唯一角色,包括物种、稀有度、外观与属性等。系统还支持“抽卡”、闪光变种等设定,并由模型自动生成“灵魂描述”。值得一提的是,宠物的关键属性并非存储,而是基于用户ID动态计算生成,使其具有稳定且不可篡改的唯一性。
网友分享的BUDDY介绍 图片来源:GitHub
第二,是名为KAIROS的持久化AI助手。
KAIROS被隐藏在编译标志之后,在公开版本中并不可见。一旦激活,该系统可持续监控用户行为、记录信息并主动执行任务,同时维护详细的操作日志。配合名为autoDream的后台机制,系统还能在低活跃期自动整理记忆,将短期对话内容转化为长期结构化知识。这一设计被认为高度类似人类在睡眠中的记忆巩固过程。
某字节AI Agent研究员表示,最让人惊艳的就是KAIROS模式——GitHub Webhook + Cron + MCP Channel + 后台Dream记忆整理,本质上是把Agent从工具推向数字员工。
此外,为防止内部信息泄露,Anthropic还设计了“卧底模式”(Undercover Mode),限制员工在开源贡献中提及内部模型代号或工具名称。同时,其API中还嵌入“数据投毒”机制:通过注入虚假工具定义(fake_tools),干扰潜在的数据抓取与模型蒸馏行为,从而降低竞品模型性能。
这些设计显示,Anthropic在技术防护与竞争策略上已投入大量精力,但此次“人为错误”却暴露出流程执行层面的短板。
开发者狂欢背后:“抄作业”恐面临法律风险
作为对标OpenAI的重要产品,Claude Code长期与GitHub Copilot等工具竞争。此次意外泄露虽然并非官方开源,却被不少开发者视为一次难得的学习机会。
上海财经大学特聘教授胡延平向每经记者表示,这次泄露对AI生态的首要影响,是能够帮助其他Agent团队提升产品水准,帮助开发者把握技术路线图。他透露,一些技术人员的确在连夜分析、还原、修改、测试,乃至尝试部署和复现,对泄露出来的文件进行系统研究。“对于原本在AI Agent方面能力一般的开发者而言,这毫无疑问是一次‘抄作业’的机会,产品水平快速拉齐。甚至在抄作业过程中改作业,局部优化以后可能比Claude Code的框架某些方面更好。”
在胡延平看来,代码泄露对于中小开发者来讲的确有较大帮助,但对大厂来说未必。“因为大厂要么已经在进行逆向工程,要么在形成更系统的产品框架过程中,类似 Claude Code 这类产品要成功,除了单点产品力,还取决于整个应用生态构建,包括Skills技能生态、开发者与合作伙伴生态,以及如何以全栈AI服务,去对应数亿设备与数亿用户构成的大生态。”
胡延平认为,Claude Code源代码泄露引发大范围关注和讨论,是因为Anthropic是全球范围内,尤其在To B、代码能力方面,唯二的全栈能力最强的AI公司之一,另一家是OpenAI。而且Anthropic在这类产品上比OpenAI走得更远,产品力也更强。“从泄露出来的代码看,Claude Code系统实践和有机融合了时下业界热切讨论的Prompt Engineering、Context Engineering和Harness Engineering,尤其是Harness Engineering和升级后可以操作电脑的功能,让业界透过Claude Code看到了下一个阶段的发展方向,接管型Agent作为应用操作系统和行动智能体,正在变得全能,未来成为不同于具身通用智能的数字通用智能”。
不过,在接受每经记者采访时,国浩律师事务所吴俊伶律师提醒道,此次事件更适合界定为source map误披露导致部分源代码可被还原,而非权利人主动授权公开源代码,因此源代码可被外界获取,并不当然意味着任何人都获得了合法复制、改写、集成或商用的授权。
她分析称,对企业和开发者而言,如果下载相关代码后将其用于复制、改写、嵌入自有产品,或据此优化、训练同类竞争性产品,通常可能触发著作权、商业秘密、乃至不正当竞争层面的复合风险。虽然在相关源码已经被大范围传播的情况下,权利人事后再对源代码整体主张商业秘密,难度会明显上升,但这并不当然排除其就尚未公开的细节内容,或就早期不当获取、传播、使用行为继续主张权利。对于Anthropic现有用户而言,其官方条款还明确限制利用其服务开发竞品、训练竞品AI,以及反编译、逆向或复制服务,因此相关使用还可能叠加违约风险。
她也表示,相较之下,单纯出于研究或安全分析目的“查看”相关代码,风险通常低于实际复用;但一旦进入开发、商用等环节,法律风险会显著上升。
目前,多个托管泄露源码的GitHub仓库已陆续收到基于《数字千年版权法》的删除通知并被下架。这也进一步表明,围绕该事件的法律博弈正在展开。