Claude Code源代码泄露：512K行代码曝光，内含大量未发布功能

就在几个小时前，一个名为 Chaofan Shou 的用户在 X 平台上披露，Anthropic 旗下 AI 编程工具 Claude Code 的完整源代码通过 npm 包中的 source map 文件意外暴露。

（来源：X）

Chaofan Shou 是 Web3 安全公司 FuzzLand 的实习研究员。他在检查 Claude Code 的 npm 包时发现，包内的一个体积为 57MB 的 cli.js.map 文件指向了一个 R2 存储桶链接，其中包含 1,900 个 TypeScript 文件，共计 512,000 余行未经混淆的完整源代码。不需要反编译、反混淆，便可轻松还原。

(来源：X)

数小时内，泄露代码已被“热心网友”归档至 GitHub，获得超过 13,000 颗星和 20,000 次 fork。

(来源：GitHub）

泄露的原因相当基础：source map 文件本应在生产构建时被排除，但由于.npmignore 配置疏漏或构建工具设置不当，导致这些包含完整原始代码的文件被一同发布到了 npm registry。

Anthropic 随后紧急推送 npm 更新移除了 source map 文件，并删除了早期版本。但为时已晚，GitHub 上的归档已经永久保存，开发者们已开始分析代码。

具体泄露了什么？

根据 GitHub 仓库的分析，泄露的代码库远比外界想象的复杂。这不是一个简单的 API 封装，而是一个包含 40 多个权限控制工具、46,000 行查询引擎代码、多智能体协调系统、IDE 桥接功能和持久化记忆机制的完整生产级开发工具。

代码中还发现了 35 个编译时功能标志、120 多个未公开的环境变量，以及 26 个内部斜杠命令（如/teleport、/dream、/good-claude 等）。其中 USER_TYPE=ant 环境变量可以为 Anthropic 员工解锁全部功能。泄露代码中最引人注目的是大量尚未公开的实验性功能：

BUDDY：终端里的电子宠物

代码中包含一个完整的类似 Tamagotchi 的 AI 伴侣系统，拥有确定性抽卡机制、物种稀有度等级、闪光变种、程序化生成的属性，以及由 Claude 在首次孵化时撰写的“灵魂描述”。

KAIROS：永不下线的 AI 助手

KAIROS 是一个持久化的常驻助手模式。它会持续监视、记录，并主动对观察到的事物采取行动。这一功能隐藏在 PROACTIVE/KAIROS 编译标志之后，在外部构建版本中完全不存在。KAIROS 会维护每日的追加日志文件，记录观察、决策和操作。

autoDream：让 Claude 学会“做梦”

代码库中存在一个名为 autoDream 的后台记忆整合引擎，作为分叉子代理运行。这是一个反思性的记忆文件处理过程，用于将近期学习到的内容整合为持久化、组织良好的记忆，以便后续会话能够快速定位上下文。该系统通过“三重门控触发”：距上次做梦 24 小时、至少 5 次会话、获取整合锁。

ULTRAPLAN：30 分钟的远程规划会话

ULTRAPLAN 模式可以将复杂规划任务交给运行 Opus 4.6 的远程云容器运行时会话，给予最多 30 分钟的思考时间，用户可以在浏览器中批准结果，然后通过特殊的__ULTRAPLAN_TELEPORT_LOCAL__标记将结果“传送”回本地终端。

此外泄露代码还揭示了一些特殊模式：

·Coordinator Mode：多智能体协调模式，可并行生成和管理多个工作代理

·Bridge 模式：通过 claude.ai 或手机远程控制本地 CLI

·Daemon 模式：完整的后台会话管理器，支持 claude ps、attach、kill 等命令

·UDS Inbox：通过 Unix 域套接字让多个 Claude 会话互相通信

此外，代码中存在一个“Undercover Mode”（卧底模式），专门用于防止 Anthropic 员工（通过 USER_TYPE === 'ant'识别）在公开/开源仓库贡献代码时意外泄露内部信息。

该模式在激活时会注入系统提示，明确禁止在 commit 消息或 PR 描述中包含：内部模型代号（如 Capybara 卡皮巴拉、Tengu 天狗等动物名）、未发布的模型版本号、内部工具名、Slack 频道、“Claude Code”字样，甚至禁止提及自己是 AI。

代码还透露，Anthropic 内部代号使用动物命名，“Tengu”（天狗）作为前缀出现了数百次，几乎可以确定是 Claude Code 的内部项目代号。

这是愚人节玩笑吗？

值得玩味的是，泄露发生在 3 月 31 日，愚人节前一天。而代码中多处细节暗示这可能是精心策划的彩蛋：

BUDDY 系统使用的随机数种子盐值是'friend-2026-401'，其中 401 可能指代 4 月 1 日。代码还标注了 4 月 1-7 日为“预告窗口”，完整发布则定于 2026 年 5 月。

不过，考虑到泄露的代码规模之大、工程细节之完整，加之这是 Anthropic 五天内的第二次重大泄露事件（3 月 26 日刚因 CMS 配置错误泄露了 Claude Mythos 模型信息和约 3,000 份未公开资产），将整起事件解释为愚人节玩笑似乎有些牵强。

值得一提的是，就在同一天，Axios npm 包也发生了被入侵事件。后者导致一个每周下载量达 8,300 万次的包被植入跨平台远程访问木马。Claude Code 的泄露虽非恶意，但同样说明 npm 包发布流程中一个配置疏漏就可能暴露完整代码库。

而这也并非 Claude Code 首次出现安全问题。2025 年 2 月，Claude Code 早期版本就因同样的问题曝光过，Anthropic 当时删除了旧版本并修复了 source map 配置；去年 12 月，其系统提示词也曾被完整泄露。加上几天前的 CMS 配置错误导致 Claude Mythos 模型信息外泄（也在这次的泄露代码中），Anthropic 近期的运维安全表现令人担忧。

不过这次的泄露对普通用户来说并没有风险，泄露的主要是 CLI 的客户端实现代码，不涉及用户数据。

而且，尽管这并非一次官方的“开源”行动，被公开的代码已被开发者社区视为宝藏。其中展示的 40+ 工具系统、多智能体协调、持久化记忆等生产级架构，为 Agent 开发者提供了宝贵的参考蓝本。这次泄露某种程度上可能推动 Agent 赛道的又一轮技术迭代。

1. https://x.com/Fried_rice/status/2038894956459290963

2. https://github.com/instructkr/claude-cn