Anthropic 源代码泄露 2026：Claude Code CLI 通过 npm 源映射错误暴露

安特罗普（Anthropic）意外地将其 Claude Code CLI 的全部源代码打包进了一个公开的 npm 包中，向任何留意到的人暴露了大约 512,000 行的 TypeScript。

Claude Code 的 npm 泄露揭示包含 KAIROS、BUDDY 和代理群（Agent Swarms）的未发布功能

公司在 2026 年 3 月 31 日向 Venture Beat 证实了这一事件，称这是发布打包流程中的人为失误。@anthropic-ai/claude-code 的 2.1.88 版本随附了一个 59.8 MB 的 Javascript 源映射文件。基本上这是一个调试产物，它把被压缩（minified）的生产代码映射回最初的 TypeScript，进而直接指向安特罗普（Anthropic）自身 Cloudflare R2 存储桶中一个公开可访问的 zip 归档。

没有人需要去黑什么。文件就那样公开地摆在那里。

区块链安全公司 Fuzzland 的实习生、安全研究员 Chaofan Shou 发现了这个问题，并在 X 上发布了该存储桶的直链。几小时内，镜像仓库便出现在 Github 上，有些在安特罗普的 DMCA 下架打击到来之前累积了数以万计的星标。社区成员已经开始清理遥测（telemetry）、切换隐藏功能标志（hidden feature flags），并着手用 Python 和 Rust 进行无痕（clean-room）重实现，以绕开版权方面的担忧。

根本原因很简单：Bun 的打包器默认会生成源映射（source maps），在发布之前并没有构建步骤去排除或禁用这个调试产物。只要在 .npmignore 中缺失了对应条目，或在 package.json 的 files 字段中未包含它，就能避免整个问题。

开发者们在里面发现的内容非常具体。约 1,900 个 TypeScript 文件覆盖了工具执行逻辑、权限架构（permission schemas）、内存系统（memory systems）、遥测、系统提示（system prompts）以及功能标志——展示了安特罗普（Anthropic）如何构建一个达到生产级别的“代理化（agentic）”编码工具的完整工程视图。遥测会扫描提示词中的脏话，以此作为挫败信号（frustration signal），但不会记录完整的用户对话或代码。 “卧底模式（undercover mode）”会指示 AI 在 git 提交和拉取请求中移除对内部代号（internal codenames）以及项目细节的引用。

一些未发布的功能被置于开关之后。KAIROS 被描述为一个常驻运行的后台守护进程（always-on background daemon），它会监视文件、记录事件，并在空闲时运行一种“梦境（dreaming）”的记忆整合（memory-consolidation）流程。BUDDY 是一只终端宠物（terminal pet），共有 18 个物种——包括豚鼠（capybara）——携带诸如 DEBUGGING、PATIENCE 和 CHAOS 之类的属性（stats）。COORDINATOR MODE 允许单个代理生成并管理多个并行的工作代理。ULTRAPLAN 会安排 10 到 30 分钟的远程多代理（multi-agent）规划会话。

安特罗普（Anthropic）告诉 Venture Beat，这次事件涉及的没有敏感客户数据、没有凭据（credentials），也没有对模型权重或推理基础设施造成任何影响。“这是一起由人为错误导致的发布打包问题，”公司表示，并补充称它正在推出措施以防止再次发生。

这些措施可能需要迅速推进。这是同样错误发生的第二次。2025 年 2 月，早期 Claude Code 版本也发生过几乎相同的源映射泄露。

3 月 31 日的事件还与一次针对 axios 包的独立 npm 供应链攻击同时落地，该攻击在 00:21 到 03:29 UTC 期间处于活动状态。在这段窗口期内通过 npm 安装或更新了 Claude Code 的开发者被建议审计其依赖项并轮换凭据（rotate credentials）。安特罗普（Anthropic）建议今后优先使用其原生安装器（native installer），而不是 npm。

这里需要考虑背景。在 3 月 26 日，也就是事件发生前五天，安特罗普（Anthropic）的一次 CMS 配置错误暴露了大约 3,000 个内部文件，内容涵盖与未发布的 “Claude Mythos” 模型相关的细节，同样被归因于人为失误。不到一周内发生两次重大意外披露，使人们对该公司的发布卫生（release hygiene）提出疑问——因为该公司的工具正被用于大规模编写并交付代码。

尽管正在执行下架（takedown）措施，泄露的源代码仍以归档和镜像形式保持可获得。除其对 Venture Beat 的评论之外，安特罗普（Anthropic）尚未发布更广泛的复盘（post-mortem）或公开声明。

没有暴露任何用户数据。核心 Claude 模型不受影响。然而，构建一个针对 Claude Code 的竞争对手的蓝图，现在却已经容易得多了。

FAQ 🔎

• 问：Claude Code 的源代码泄露是一次黑客攻击吗？ 否——安特罗普确认该暴露是一个打包错误，而不是安全漏洞或未经授权的访问。
• 问：安特罗普的 npm 泄露中究竟暴露了什么？ 大约 512,000 行 TypeScript，涵盖 Claude Code CLI，包括遥测、功能标志、隐藏功能以及代理架构——而不是模型权重或客户数据。
• 问：Claude Code 的 npm 事件会让我数据有风险吗？ 安特罗普表示没有暴露任何用户数据或凭据；在与并发 axios 供应链攻击窗口期同时通过 npm 安装了 Claude Code 的开发者应审计依赖项并轮换凭据。
• 问：安特罗普以前泄露过源代码吗？ 是的——2025 年 2 月发生过一次几乎相同的源映射泄露，涉及更早的 Claude Code 版本；因此这是大约 13 个月内的第二次此类事件。