Leak

2026 年 3 月 31 日，安全研究員 Chaofan Shou 發(fā)現(xiàn) Anthropic 的 Claude Code 全部源碼通過 npm 包里的一個(gè) source map 文件暴露在了公網(wǎng)上

Chaofan Shou 在 X 上公布了泄露發(fā)現(xiàn)

1,900 個(gè) TypeScript 源文件，512,000 行代碼，從工具系統(tǒng)到權(quán)限模型到未發(fā)布功能，全部以未混淆的原始形態(tài)公開可下載。泄露的具體版本是 @anthropic-ai/claude-code v2.1.88

幾個(gè)小時(shí)之內(nèi)，源碼被多人備份到 GitHub。其中最大的一個(gè)備份倉(cāng)庫(kù) instructkr/claude-code，一個(gè)小時(shí)內(nèi)漲到 11,300 star 和 17,300 fork，568 個(gè) issue

一個(gè)小時(shí)，一萬 star。fork 數(shù)比 star 數(shù)還多，大家的第一反應(yīng)是先存一份

instructkr/claude-code 的 star 增長(zhǎng)曲線，一小時(shí)內(nèi)突破萬星

GitHub 倉(cāng)庫(kù)，一小時(shí) 11.3k star, 17.3k fork, 568 issues

npm 的 3 月 31 日：兩件事，不是一件

這一天 npm 生態(tài)同時(shí)出了兩件事。很多人看到「npm 投毒」「Claude Code 泄露」混在一起討論，容易搞混。這里先理清楚

第一件事是 axios 被供應(yīng)鏈攻擊。axios 是 JavaScript 生態(tài)里最常用的 HTTP 客戶端庫(kù)之一，每周下載量超過 1 億 次。攻擊者劫持了 axios 主要維護(hù)者 jasonsaayman 的 npm 賬號(hào)，把賬號(hào)郵箱改成了一個(gè) ProtonMail 地址，然后發(fā)布了兩個(gè)帶毒版本：1.14.1 和 0.30.4

這兩個(gè)版本本身沒有惡意代碼。它們做的事情是在依賴?yán)锛恿艘粋€(gè)叫 plain-crypto-js 的包，這個(gè)包會(huì)在安裝時(shí)自動(dòng)執(zhí)行一個(gè)腳本，往你的機(jī)器上投放一個(gè)遠(yuǎn)程訪問木馬（RAT），支持 macOS、Windows、Linux 三個(gè)平臺(tái)。執(zhí)行完之后自動(dòng)刪除自身，替換成干凈的 package.json

這次攻擊的時(shí)間線很精密：3 月 30 日先發(fā)布了一個(gè)干凈的 plain-crypto-js@4.2.0 建立可信度，18 小時(shí)后發(fā)布帶毒的 4.2.1 版本，再過 20 分鐘發(fā)布帶毒的 axios@1.14.1，又過 39 分鐘發(fā)布 axios@0.30.4。安全公司 StepSecurity 稱這是針對(duì) npm Top 10 包的「最具操作精密度的供應(yīng)鏈攻擊之一」

帶毒版本在 npm 上存活了大約兩到三個(gè)小時(shí)后被移除

第二件事是 Claude Code 源碼泄露。這跟 axios 投毒沒有關(guān)系，是兩個(gè)完全獨(dú)立的事件。只不過恰好發(fā)生在同一天、同一個(gè)包管理器上

同一天，同一個(gè)包管理器，一個(gè)被攻擊，一個(gè)自己漏了

怎么泄露的

泄露的原因很簡(jiǎn)單

當(dāng)你用 JavaScript/TypeScript 開發(fā)一個(gè) npm 包時(shí)，構(gòu)建工具通常會(huì)生成 source map 文件（.map 文件）。這個(gè)文件的用途是把打包壓縮后的代碼映射回原始源碼，方便調(diào)試時(shí)定位問題。source map 文件里有一個(gè) sourcesContent 字段，直接包含了每一個(gè)原始源文件的完整內(nèi)容

正常情況下，.map 文件不應(yīng)該出現(xiàn)在發(fā)布到 npm 的生產(chǎn)包里。你需要在 .npmignore 里排除它們，或者在構(gòu)建配置里關(guān)閉 source map 生成

Claude Code 使用 Bun 作為打包工具。Bun 的打包器默認(rèn)生成 source map，除非你顯式關(guān)掉。這次泄露的直接原因，據(jù)社區(qū)分析，大概率是構(gòu)建流水線里沒有做好 .map 文件的清理，發(fā)布時(shí)把一個(gè) 59.8 MB 的 source map 文件一起發(fā)到了 npm registry

Claude Code npm 包中暴露的源文件列表

源碼里面有什么

從外面看，Claude Code 是一個(gè)終端里的 AI 編程助手，你在命令行里輸入自然語(yǔ)言，它幫你改代碼、跑命令、管理 Git 工作流

從源碼看，這個(gè)工具的工程復(fù)雜度遠(yuǎn)超一個(gè) CLI 包裝器。入口文件 main.tsx 有 785KB，整個(gè)代碼庫(kù)包含 40 多 個(gè)獨(dú)立的工具模塊、一個(gè) 46,000 行的查詢引擎、多 Agent 編排系統(tǒng)，以及多個(gè)尚未公開發(fā)布的功能

工具系統(tǒng)：40 多個(gè)權(quán)限控制的工具

Claude Code 的每一項(xiàng)能力都被封裝成一個(gè)獨(dú)立的工具模塊，放在 tools/ 目錄下。每個(gè)工具定義了自己的輸入格式、權(quán)限模型和執(zhí)行邏輯

已公開的核心工具包括：文件讀寫和編輯、Shell 執(zhí)行（支持沙箱）、文件搜索、網(wǎng)頁(yè)訪問、Jupyter 筆記本編輯、子 Agent 調(diào)度、LSP 通信、MCP 資源訪問等

工具的權(quán)限系統(tǒng)分為四個(gè)模式：default（交互式逐次詢問用戶）、auto（通過 ML 分類器自動(dòng)決策）、bypass（跳過檢查）、yolo（拒絕所有）。每個(gè)工具動(dòng)作被分為低、中、高三個(gè)風(fēng)險(xiǎn)等級(jí)

查詢引擎：46,000 行

query/ 目錄是整個(gè)代碼庫(kù)里最大的單一模塊，負(fù)責(zé)所有 LLM API 調(diào)用、流式傳輸、緩存和編排

系統(tǒng)提示詞采用模塊化設(shè)計(jì)，把提示詞分成靜態(tài)段（可跨用戶緩存）和動(dòng)態(tài)段（每次會(huì)話獨(dú)立生成）。有一個(gè)函數(shù)叫 DANGEROUS_uncachedSystemPromptSection()，從命名就能看出來有人在這上面踩過坑

Dream 記憶系統(tǒng)：Claude 的「做夢(mèng)」

services/autoDream/ 下有一個(gè)叫 autoDream 的后臺(tái)記憶整合引擎

它的工作方式是這樣的：當(dāng)三個(gè)條件同時(shí)滿足的時(shí)候（距上次執(zhí)行超過 24 小時(shí)、至少經(jīng)歷了 5 次會(huì)話、成功獲取了整合鎖），系統(tǒng)會(huì)啟動(dòng)一個(gè)后臺(tái)子 Agent，對(duì)記憶文件做一次整理。這個(gè)子 Agent 只有只讀權(quán)限，不能修改項(xiàng)目文件

整理分四步：先讀取記憶目錄和現(xiàn)有記憶文件，然后從最近的日志和會(huì)話中提取新信息，接著更新或合并記憶文件（把相對(duì)日期轉(zhuǎn)成絕對(duì)日期、刪除過時(shí)信息），最后做裁剪，保持在 200 行以內(nèi)

源碼里的提示詞：「你正在做一次夢(mèng)，對(duì)記憶文件做一次反思性的回顧。把你最近學(xué)到的東西整合成持久的、組織良好的記憶，方便未來的會(huì)話快速定位」

KAIROS 模式：常駐后臺(tái)的 Claude

assistant/ 目錄下有一個(gè)叫 KAIROS 的模式，外部版本里完全不存在

從代碼看，KAIROS 是一個(gè)持續(xù)運(yùn)行的后臺(tái)助手。它不需要你主動(dòng)輸入，會(huì)通過定時(shí)的 信號(hào)自主決定是否采取行動(dòng)。它維護(hù)著一個(gè)只追加的每日日志文件，記錄觀察、決策和操作

這個(gè)模式有一個(gè) 15 秒 的阻塞預(yù)算限制：任何可能打斷用戶工作流的主動(dòng)操作，如果執(zhí)行時(shí)間超過 15 秒，會(huì)被延后

KAIROS 有三個(gè)普通 Claude Code 沒有的專屬工具：SendUserFile（給用戶推送文件）、PushNotification（發(fā)推送通知）、SubscribePR（訂閱 Pull Request 動(dòng)態(tài)）

Coordinator 模式：多 Agent 編排

coordinator/ 目錄實(shí)現(xiàn)了一個(gè)完整的多 Agent 編排系統(tǒng)。開啟后，Claude Code 會(huì)從單個(gè) Agent 變成一個(gè)調(diào)度器，同時(shí)管理多個(gè)工作 Agent 并行執(zhí)行任務(wù)

工作流程分四個(gè)階段：Research（多個(gè) Agent 并行調(diào)查代碼庫(kù)）、Synthesis（調(diào)度器匯總發(fā)現(xiàn)、制定方案）、Implementation（Agent 按方案執(zhí)行修改并提交）、Verification（驗(yàn)證修改是否生效）

調(diào)度器提示詞里有一條規(guī)則：「不要說"根據(jù)你的發(fā)現(xiàn)"，去讀實(shí)際的發(fā)現(xiàn)，然后精確地說明該做什么」

ULTRAPLAN：遠(yuǎn)程規(guī)劃

一個(gè)把復(fù)雜規(guī)劃任務(wù)卸載到遠(yuǎn)程云容器的模式。它會(huì)啟動(dòng)一個(gè)運(yùn)行 Opus 4.6 的遠(yuǎn)程會(huì)話，給它最多 30 分鐘 思考時(shí)間。本地終端每 3 秒輪詢一次結(jié)果，同時(shí)有一個(gè)瀏覽器界面讓你實(shí)時(shí)查看和審批規(guī)劃方案

Buddy：終端里的電子寵物

buddy/ 目錄下有一個(gè)完整的電子寵物系統(tǒng)

它使用 Mulberry32 偽隨機(jī)數(shù)生成器，用你的 userId 哈希值作為種子，確定性地生成一個(gè)寵物。18 個(gè)物種分為 5 個(gè)稀有度等級(jí)：普通（60%）、不常見（25%）、稀有（10%）、史詩(shī)（4%）、傳說（1%）。在此之外還有獨(dú)立的 1% 閃光概率

每個(gè)寵物有 5 項(xiàng)屬性（DEBUGGING、PATIENCE、CHAOS、WISDOM、SNARK），以 5 行高、12 字符寬的 ASCII 動(dòng)畫渲染在你的輸入框旁邊

從代碼里的時(shí)間引用來看，計(jì)劃在 2026 年 5 月正式上線

Undercover Mode：內(nèi)部員工的偽裝模式

utils/undercover.ts 里有一個(gè)功能，用來防止 Anthropic 內(nèi)部員工在公共倉(cāng)庫(kù)工作時(shí)暴露內(nèi)部信息

開啟后，系統(tǒng)提示詞里會(huì)注入一段指令，要求 Claude 在 commit message 和 PR 描述中不要出現(xiàn)：內(nèi)部模型代號(hào)（比如 Capybara、Tengu 等動(dòng)物名）、未發(fā)布的版本號(hào)、內(nèi)部項(xiàng)目名稱，以及「Claude Code」這個(gè)名字本身

代碼注釋寫著：「如果我們不確定是不是在內(nèi)部倉(cāng)庫(kù)里，就保持 undercover」

其他發(fā)現(xiàn)

→內(nèi)部代號(hào)：Claude Code 的內(nèi)部項(xiàng)目代號(hào)是 Tengu（天狗），大量特性開關(guān)以 tengu_ 為前綴。migrations 目錄還暴露了其他模型代號(hào)：Fennec（耳廓狐，某個(gè) Opus 版本的代號(hào)）

→Fast Mode 的內(nèi)部名稱是 Penguin Mode：API 端點(diǎn)字面寫著 claude_code_penguin_mode

→Computer Use 的內(nèi)部代號(hào)是 Chicago：基于 @ant/computer-use-mcp 實(shí)現(xiàn)，限 Max/Pro 訂閱用戶使用

→ 未發(fā)布的 Beta 頭信息：包括 redact-thinking（隱藏思考過程）、afk-mode（離開模式）、advisor-tool（顧問工具）等

→ 客戶端認(rèn)證：每個(gè) API 請(qǐng)求都帶有 x-anthropic-billing-header，用于驗(yàn)證請(qǐng)求來自正版 Claude Code 安裝

五天，兩次泄露

這已經(jīng)是 Anthropic 五天內(nèi)的第二次安全事故了

3 月 26 日，F(xiàn)ortune 報(bào)道稱 Anthropic 的 CMS（內(nèi)容管理系統(tǒng)）發(fā)生配置錯(cuò)誤，導(dǎo)致將近 3,000 個(gè)未發(fā)布的資產(chǎn)可以被公開訪問。這些資產(chǎn)里包含了一篇關(guān)于未發(fā)布模型 Claude Mythos（內(nèi)部代號(hào) Capybara）的草稿博客文章，以及一個(gè)面向歐洲 CEO 的閉門活動(dòng)細(xì)節(jié)

Anthropic 確認(rèn)了 Mythos 模型的存在，稱它是「能力上的階躍變化」和「我們迄今為止最強(qiáng)的模型」。據(jù)泄露的草稿，Mythos 定位在 Opus 之上，作為一個(gè)新的模型層級(jí)

Anthropic 將 CMS 事件歸因于「外部 CMS 工具的人為操作失誤」

5 天后，npm source map 泄露了全部源碼

兩次事故的共同點(diǎn)：都是配置層面的錯(cuò)誤，都沒有涉及黑客攻擊或惡意行為

代碼結(jié)構(gòu)一覽

claude-code/

├── assistant/ # KAIROS 常駐助手模式

├── bridge/ # IDE 橋接（VS Code / JetBrains）

├── buddy/ # 電子寵物系統(tǒng)

├── commands/ # Slash 命令（約 50 個(gè)）

├── components/ # React 終端渲染組件（約 140 個(gè)）

├── coordinator/ # 多 Agent 編排

├── memdir/ # 持久化記憶目錄

├── plugins/ # 插件系統(tǒng)

├── query/ # 查詢引擎（46K 行，最大模塊）

├── services/ # 服務(wù)層（含 autoDream 記憶整合）

├── skills/ # 用戶自定義技能

├── tools/ # 40+ 工具模塊

├── utils/ # 工具函數(shù)（含 undercover.ts）

├── voice/ # 語(yǔ)音輸入

├── main.tsx # 入口（785KB）

├── QueryEngine.ts # 查詢引擎核心

└── Tool.ts # 工具基類（29K 行）

事件時(shí)間軸

3 月 26 日

Anthropic CMS 配置錯(cuò)誤，約 3,000 個(gè)未發(fā)布資產(chǎn)（包括 Mythos 模型草稿）被公開訪問。Fortune 報(bào)道后 Anthropic 修復(fù)

3 月 30 日 05:57 UTC

攻擊者發(fā)布干凈版本 plain-crypto-js@4.2.0

3 月 30 日 23:59 UTC

攻擊者發(fā)布帶毒版本 plain-crypto-js@4.2.1

3 月 31 日 00:21 UTC

使用被劫持的 npm 賬號(hào)發(fā)布帶毒的 axios@1.14.1

3 月 31 日 01:00 UTC

發(fā)布帶毒的 axios@0.30.4

3 月 31 日 約 03:15 UTC

帶毒的 axios 版本從 npm 移除

3 月 31 日

Chaofan Shou 發(fā)現(xiàn) @anthropic-ai/claude-code v2.1.88 包含 source map 文件，指向完整源碼

3 月 31 日（1 小時(shí)內(nèi)）

備份倉(cāng)庫(kù) instructkr/claude-code 突破 11,000 star，17,000 fork

截至發(fā)稿，Anthropic 尚未就源碼泄露事件發(fā)表公開回應(yīng)

撰文：賽博禪心