一个中国00后，把AI巨头Anthropic的底裤扒个精光

事情是这样的。

2026年3月31号，一个叫Chaofan Shou的小伙子在X上发了条帖子，轻描淡写地说自己从Claude Code的npm包里扒出来了51万行源码。

就这一条帖子，炸了。

全球科技圈，从硅谷到深圳，从Hacker News到V2EX，所有跟AI沾边的人都在讨论这件事。因为这个被扒出来的不是什么边角料，是Anthropic旗下最核心的AI编程工具Claude Code的完整源代码，一字不落。

而且扒出来之后，Chaofan的态度是，太没意思了。

他说Claude的代码乱七八糟的，远不如看OpenCode和Codex有意思。

我当时看到这个态度就笑了。

这人不是什么普通的技术宅，这人是个狠角色。

Claude Code，你如果没用过的话，我简单说一下。它是Anthropic做的AI编程助手，用命令行操作的那种，很多开发者天天离不了它，可以说是目前市面上最好的AI写代码工具之一。你让它帮你写个函数、修个bug、重构个项目，它干得比大多数初级程序员还好。

所以这51万行源码的泄露，基本就等于Anthropic把自家的核心配方给公布到了大街上。

而干这事的人，是个中国00后。

Chaofan Shou，中文名寿超璠，今年25岁。

这哥们的人生履历你听完可能会有点懵。

上海人，小时候读的是上海平和双语学校。然后去了美国加州大学圣塔芭芭拉分校读计算机，三年毕业，GPA 4.0满分。接着去了加州大学伯克利分校读博士，读了两三年，辍学了。

你没看错，UC Berkeley的CS博士，读了两年多，不读了。

为啥呢，因为他发现了更重要的事。

在伯克利读书期间，他顺手做了点副业，挖安全漏洞。就是那种帮大公司找系统安全问题的白帽黑客，找到了公司给你钱的那种。

Twitter，他挖过。Google Chrome，他挖过。上海市政府的系统，他也挖过。

2020年到2022年，两年多的时间，光靠挖漏洞拿到的赏金，累计大约190万美元。

190万美元。纯靠一个人，一台电脑，找漏洞。

很多朋友可能对漏洞赏金没什么概念。这不是你提交一个bug就能拿钱的，你得找到别人找不到的、足够严重的安全漏洞，而且是在Facebook、Twitter、Google这种全球最顶尖的安全团队眼皮底下找到的。

能做到这个水平的白帽黑客，全世界也没几个。

但Chaofan的故事不止于此。

他后来创办了一家叫Fuzzland的公司，做Web3安全，帮客户追回了超过3000万美元的被盗资产。这家公司后来被Solayer Labs收购了。他还去过Salesforce做安全工程师，也创过业做智能合约自动化测试工具。

你注意到没有，这哥们从头到尾就没在一家公司老老实实上过班，全是搞自己的事，搞安全、搞区块链、搞创业。

直到2026年3月31号，他做了一件让整个AI行业都记住了他的名字的事。

那天，他发现Anthropic发布了一个新版本的Claude Code，版本号v2.1.88。

这个版本有个问题。

Anthropic用了他们收购的一家公司开发的打包工具叫Bun，这个工具在打包的时候犯了个低级错误，把一个大约60MB的source map文件一起打包发布到了npm上。

source map是什么东西呢，我简单解释一下。前端开发的时候，代码经过压缩和编译之后会变得面目全非，变量名全变成了a、b、c，根本看不懂。source map就是一张「对照表」，能把压缩后的代码和原始代码一一对应起来。

Anthropic不小心把这个对照表给放出去了。

60MB的对照表里，包含了Claude Code近2000个源码文件、超过51万行TypeScript代码。

完整的。一字不落的。

任何人都可以从npm上下载这个包，然后通过source map还原出全部源代码。

Chaofan看到了，觉得这事儿挺有意思的，就在X上发了条帖子。

然后，全球的AI安全研究员、开发者、好奇宝宝们，全部涌入npm下载这个包。

紧接着，有人把还原出来的源代码传到了GitHub上，好几个仓库的Star数在几小时内就冲到了几万。

Anthropic慌了。

他们赶紧发了一个官方声明，确认泄露属实。然后火速发布了一个新版本v2.1.90，删掉了source map文件。

但源代码已经传遍全网了，删npm包根本没用。

所以Anthropic做了一个后来被证明更加愚蠢的决定。

他们启动了DMCA投诉，向GitHub发起了大规模的下架请求。

DMCA，数字千年版权法，是美国用来保护知识产权的。简单说就是，你觉得有人侵犯了你的版权，可以向平台投诉，平台会把内容下架。

听起来很正常对吧。

但Anthropic的操作是，用自动化脚本批量投诉，只要检测到仓库里有关键词匹配就直接投诉。

结果呢。

8100个GitHub仓库被波及。

8100个。

其中绝大多数根本不是泄露代码的镜像，而是普通开发者的合法项目。有些是基于Claude Code官方API做的开源工具，有些甚至只是Anthropic自己公开仓库的合法fork。

一个做AI编程工具的公司，用自动化脚本把自己用户的项目给删了。

这种操作，你敢信？？？

开发者们在Twitter上炸了锅，愤怒到不行。很多人打开GitHub发现自己的项目直接404了，连个预警都没有。有些人在上面做了几个月的项目，一夜之间就没了。

Anthropic后来不得不承认这是个「意外」，撤回了大部分DMCA通知，只保留了最初那个泄露仓库和它的96个直接fork。

Claude Code的负责人Boris Cherny出来回应说，这个误删是因为通知指定的仓库是他们自己公开仓库的分支网络的一部分，所以影响范围超出了预期。

但说实话，这个解释我听完就觉得有点苍白。

你在做AI编程工具，你自己的维权工具却智障到连目标仓库都选不准，这就很讽刺了。

而且这事发生在一家据说正在筹备IPO的公司身上。这种级别的合规失误，在上市公司里是要吃官司的。

不过这都不是最精彩的部分。

最精彩的是源代码泄露之后，大家扒出来的那些Anthropic藏起来的秘密功能。

第一个，叫Kairos。

这是一个后台守护进程，就算你把Claude Code的终端窗口关了，它也能在后台持续运行。它有一个周期性的心跳检查机制，会自己判断有没有新操作需要执行。还有一个叫AutoDream的记忆系统，在你不用的时候，它会「做梦」，对当天的对话记录进行反思，提取有价值的信息，整理成持久记忆，为下一次会话做准备。

你品品这个设计。Claude Code不光在帮你写代码的时候在「思考」，你不在的时候它也在「思考」，在整理关于你的记忆。

这玩意有个专门的名字叫PROACTIVE标志，意思就是它可以主动给你推送「你没问但它觉得你应该看看」的内容。

第二个，叫Undercover Mode。

卧底模式。

这个功能的设定是，允许Anthropic的员工或者Claude Code这个AI，在开源社区里提交代码的时候，隐藏自己是AI的身份。不准在提交里提到Claude Code，不准使用「Co-Authored-By: AI」这种标签，不准暴露任何跟Anthropic相关的信息。

我就不说是谁了，但开源社区对这种事的容忍度是零。

你想想看，你在GitHub上一个开源项目里认真做代码review，对面有个看起来跟你一样的人类开发者，但其实是AI在模拟人类提交代码，而且还不告诉你。

这种事一旦坐实，整个开源社区的信任体系都会动摇。

第三个叫Buddy。

是个虚拟宠物小助手，类似微软Office里那个经典的回形针Clippy，但用ASCII艺术做的小动物形象，有18种不同的造型，戴个小帽子，在你写代码的时候偶尔蹦出来冒个泡。

这个倒没什么争议，就是挺可爱的。

除了这些，代码里还暴露了一个让开发者集体暴怒的bug。

Claude Code在恢复会话的时候，会错误地出现「缓存未命中」。听起来是个技术细节对吧，但这个bug的后果很严重。

缓存命中和全量推理之间的Token价格差10倍。

10倍。

也就是说，你本来可以用1块钱解决的问题，因为这个bug变成了10块钱。你充了100块想着能用10天的额度，可能1天就烧完了。

更关键的是，开发者回溯之后发现，这个bug从v2.1.69版本就已经存在了。直到源码泄露被公开指出来之后，Anthropic才在v2.1.90版本里修了。

更耐人寻味的是，有人发现Claude Code会在系统提示词的隐藏块里插入一个x-anthropic-billing-header字符串，这个字符串会让每一个新对话的系统提示词前缀都变得不一样。

不一样就代表缓存永远命中不了。

这是不是故意的，我不知道。但很多开发者看完之后都在问同一个问题。

所以你看，这一串事情连起来就很有意思了。

一个25岁的中国小伙子，因为对Anthropic早有不满，去年就公开指责他们借着安全审查的幌子窃取用户代码，然后今年3月底偶然发现了Claude Code的源码泄露，一发帖子就引爆了全球。

然后Anthropic在慌乱中用自动化脚本乱删了一堆合法仓库，引发了更大的信任危机。

然后大家在源码里发现了卧底模式、发现了Token计费的疑点、发现了Anthropic一直在藏着的未来计划。

如果Chaofan去年没有公开怼Anthropic，今年他又偶然发现了源码泄露，但只是默默报告给了Anthropic，你觉得会发生什么。

Anthropic会悄悄发布一个新版修复，然后感谢他的报告，给他发一封邮件，也许给他一笔漏洞赏金。

51万行源码的秘密功能，Undercover模式，Kairos守护进程，Token计费的bug，这些全部会被永远埋在Anthropic的内部。

没有一个人会知道。

但是Chaofan不是那种人会做的事。

他去年就在公开场合指责Anthropic窃取用户代码，说明他早就对这家公司「有话说」了。今年发现源码泄露，他选择公开，而不是私下报告。

我个人觉得，这两种选择各有各的道理。私下报告是白帽黑客的传统做法，公开披露则是想让所有人都知道发生了什么。

不管你支持哪种做法，有一点是确定的。

Chaofan Shou这个人，用一种最直接的方式，给了AI行业一记响亮的耳光。

他在告诉我们，这些市值几百亿美元的AI公司，他们的安全措施可能还不如一个25岁的中国小伙子的检查仔细。他们口口声声说要保护用户数据、要推动AI安全，结果自己的源码因为打包工具的低级错误就泄露了，事后还用自动化脚本误删了8100个无辜开发者的仓库。

而Anthropic，一家被广泛认为是对AI安全最「认真」的公司，在这次事件中暴露出来的问题，远不止源码泄露本身。

从安全审查功能被指窃取用户代码，到Undercover卧底模式，到Token计费的疑点，到DMCA维权的无差别轰炸。

这一连串的事情，让我想起一句话。

黑暗森林里，你以为你是猎人，其实你一直是猎物。

只不过这次，猎物自己把自己暴露了。