Claude Code源代碼泄露：512K行代碼曝光，內含大量未發布功能

就在幾個小時前，一個名為 Chaofan Shou 的用戶在 X 平臺上披露，Anthropic 旗下 AI 編程工具 Claude Code 的完整源代碼通過 npm 包中的 source map 文件意外暴露。

（來源：X）

Chaofan Shou 是 Web3 安全公司 FuzzLand 的實習研究員。他在檢查 Claude Code 的 npm 包時發現，包內的一個體積為 57MB 的 cli.js.map 文件指向了一個 R2 存儲桶鏈接，其中包含 1,900 個 TypeScript 文件，共計 512,000 余行未經混淆的完整源代碼。不需要反編譯、反混淆，便可輕松還原。

(來源：X)

數小時內，泄露代碼已被“熱心網友”歸檔至 GitHub，獲得超過 13,000 顆星和 20,000 次 fork。

(來源：GitHub）

泄露的原因相當基礎：source map 文件本應在生產構建時被排除，但由于.npmignore 配置疏漏或構建工具設置不當，導致這些包含完整原始代碼的文件被一同發布到了 npm registry。

Anthropic 隨后緊急推送 npm 更新移除了 source map 文件，并刪除了早期版本。但為時已晚，GitHub 上的歸檔已經永久保存，開發者們已開始分析代碼。

具體泄露了什么？

根據 GitHub 倉庫的分析，泄露的代碼庫遠比外界想象的復雜。這不是一個簡單的 API 封裝，而是一個包含 40 多個權限控制工具、46,000 行查詢引擎代碼、多智能體協調系統、IDE 橋接功能和持久化記憶機制的完整生產級開發工具。

代碼中還發現了 35 個編譯時功能標志、120 多個未公開的環境變量，以及 26 個內部斜杠命令（如/teleport、/dream、/good-claude 等）。其中 USER_TYPE=ant 環境變量可以為 Anthropic 員工解鎖全部功能。泄露代碼中最引人注目的是大量尚未公開的實驗性功能：

BUDDY：終端里的電子寵物

代碼中包含一個完整的類似 Tamagotchi 的 AI 伴侶系統，擁有確定性抽卡機制、物種稀有度等級、閃光變種、程序化生成的屬性，以及由 Claude 在首次孵化時撰寫的“靈魂描述”。

KAIROS：永不下線的 AI 助手

KAIROS 是一個持久化的常駐助手模式。它會持續監視、記錄，并主動對觀察到的事物采取行動。這一功能隱藏在 PROACTIVE/KAIROS 編譯標志之后，在外部構建版本中完全不存在。KAIROS 會維護每日的追加日志文件，記錄觀察、決策和操作。

autoDream：讓 Claude 學會“做夢”

代碼庫中存在一個名為 autoDream 的后臺記憶整合引擎，作為分叉子代理運行。這是一個反思性的記憶文件處理過程，用于將近期學習到的內容整合為持久化、組織良好的記憶，以便后續會話能夠快速定位上下文。該系統通過“三重門控觸發”：距上次做夢 24 小時、至少 5 次會話、獲取整合鎖。

ULTRAPLAN：30 分鐘的遠程規劃會話

ULTRAPLAN 模式可以將復雜規劃任務交給運行 Opus 4.6 的遠程云容器運行時會話，給予最多 30 分鐘的思考時間，用戶可以在瀏覽器中批準結果，然后通過特殊的__ULTRAPLAN_TELEPORT_LOCAL__標記將結果“傳送”回本地終端。

此外泄露代碼還揭示了一些特殊模式：

·Coordinator Mode：多智能體協調模式，可并行生成和管理多個工作代理

·Bridge 模式：通過 claude.ai 或手機遠程控制本地 CLI

·Daemon 模式：完整的后臺會話管理器，支持 claude ps、attach、kill 等命令

·UDS Inbox：通過 Unix 域套接字讓多個 Claude 會話互相通信

此外，代碼中存在一個“Undercover Mode”（臥底模式），專門用于防止 Anthropic 員工（通過 USER_TYPE === 'ant'識別）在公開/開源倉庫貢獻代碼時意外泄露內部信息。

該模式在激活時會注入系統提示，明確禁止在 commit 消息或 PR 描述中包含：內部模型代號（如 Capybara 卡皮巴拉、Tengu 天狗等動物名）、未發布的模型版本號、內部工具名、Slack 頻道、“Claude Code”字樣，甚至禁止提及自己是 AI。

代碼還透露，Anthropic 內部代號使用動物命名，“Tengu”（天狗）作為前綴出現了數百次，幾乎可以確定是 Claude Code 的內部項目代號。

這是愚人節玩笑嗎？

值得玩味的是，泄露發生在 3 月 31 日，愚人節前一天。而代碼中多處細節暗示這可能是精心策劃的彩蛋：

BUDDY 系統使用的隨機數種子鹽值是'friend-2026-401'，其中 401 可能指代 4 月 1 日。代碼還標注了 4 月 1-7 日為“預告窗口”，完整發布則定于 2026 年 5 月。

不過，考慮到泄露的代碼規模之大、工程細節之完整，加之這是 Anthropic 五天內的第二次重大泄露事件（3 月 26 日剛因 CMS 配置錯誤泄露了 Claude Mythos 模型信息和約 3,000 份未公開資產），將整起事件解釋為愚人節玩笑似乎有些牽強。

值得一提的是，就在同一天，Axios npm 包也發生了被入侵事件。后者導致一個每周下載量達 8,300 萬次的包被植入跨平臺遠程訪問木馬。Claude Code 的泄露雖非惡意，但同樣說明 npm 包發布流程中一個配置疏漏就可能暴露完整代碼庫。

而這也并非 Claude Code 首次出現安全問題。2025 年 2 月，Claude Code 早期版本就因同樣的問題曝光過，Anthropic 當時刪除了舊版本并修復了 source map 配置；去年 12 月，其系統提示詞也曾被完整泄露。加上幾天前的 CMS 配置錯誤導致 Claude Mythos 模型信息外泄（也在這次的泄露代碼中），Anthropic 近期的運維安全表現令人擔憂。

不過這次的泄露對普通用戶來說并沒有風險，泄露的主要是 CLI 的客戶端實現代碼，不涉及用戶數據。

而且，盡管這并非一次官方的“開源”行動，被公開的代碼已被開發者社區視為寶藏。其中展示的 40+ 工具系統、多智能體協調、持久化記憶等生產級架構，為 Agent 開發者提供了寶貴的參考藍本。這次泄露某種程度上可能推動 Agent 賽道的又一輪技術迭代。

1. https://x.com/Fried_rice/status/2038894956459290963

2. https://github.com/instructkr/claude-cn