撰文：刘红林

一、愚人节献礼

愚人节的早上，全球 AI 圈喜迎 Claude Code"开源"。

3 月 31 日，安全研究者发现 Anthropic 发布到 npm 的 Claude Code 包里，意外带出了 source map 文件，进而暴露了大量原始 TypeScript 源码。公开报道普遍提到，这次外泄大约涉及近 1900 个文件、超过 51 万行代码，而且很快就被镜像到 GitHub 等平台。Anthropic 对外也承认，这不是黑客入侵，而是打包错误，没有客户数据或凭证泄露，但代码本身已经被大量开发者下载和研究。

事情一出来，网友们调侃：是不是全球做大模型，做 agent，做 coding tool 的团队，昨天晚上都在加班拆代码，做研究。

听着像段子，但全球 AI 同行们仔细观摩和研究，也是大概率。

因为这次泄露最有价值的，从来不只是某几个彩蛋功能，而是它把一个已经跑进生产环境、已经在开发者圈形成影响力的 AI 编程产品，几乎整套工程蓝图都摊开了。公开报道提到，这份泄露代码不只包含 Claude Code 本身，还带出了不少未发布功能，比如带有赛博宠物色彩的 BUDDY，以及更接近"常驻记忆助手"的 KAIROS。外界第一次这么近地看到，一个头部 AI coding agent 到底是怎么被搭出来的。

这件事对 AI 行业带来的第一个影响，非常直接：它会显著加快全行业对 agent 产品形态的理解速度。

过去这一年，AI 行业表面上在卷模型，底下其实越来越在卷产品级工程：工具怎么调、权限怎么控，长链路任务怎么拆、多代理怎么协同、状态怎么保存，和 IDE、终端，云端环境怎么打通。论文会告诉你方向，Benchmark 会告诉你分数，但一个真正能用的产品怎么做，很多时候只能靠团队自己摸。

过去很多团队对"agent 到底该怎么做"停留在概念层、demo 层，甚至 PPT 层；现在它突然多了一份来自头部厂商的"实物拆解图"。

Anthropic 用一种最尴尬的方式，把自己的一部分"解题过程"公开了。对很多同行来说，这种价值不是"抄一段代码"这么简单，而是第一次看到了一个成熟产品的结构样板。

这个冲击，可能比模型参数泄露还大。

所以网友调侃"昨晚全球大模型团队都在加班研究"，并不夸张。

这件事真正微妙的地方在于，它不是一场正式发布，却起到了比正式发布更强的行业示范效应。发布会能告诉你方向，源码会告诉你解法；论文能告诉你理念，工程结构会告诉你产品到底是怎么跑起来的。AI 行业接下来几个月，尤其是 coding agent、terminal agent、多代理协作这几个方向，很可能都会受到这次事件的间接推动。

二、来都来了，是不是能随便用？

但这里马上就会引出第二个问题，也是很多开发者会关心的：既然来都来了，是不是就意味着可以肆无忌惮地用？

答：不是。

因为这次事件严格说根本不是一次"正式开源"，而是一次"被动泄露"。Anthropic 事后不仅承认是打包失误，还在推进下架和补救措施，它的态度很明确，不是"欢迎大家 fork 使用"，而是"这本来就不该公开"。

真正的开源，前提是原始权利人明确授予许可，告诉你可以用、可以改、可以分发，甚至可以商用；而这次 Claude Code 的情况，更接近"受版权保护的代码因为工程错误流到了公网"。能看到，不等于有权利随便用；被人备份，不等于它自动进入了公共领域。

这一点，其实可以参考特斯拉的案例。

2014 年，特斯拉曾高调宣布，对那些"善意使用"其电动车相关专利的人，不会主动发起专利诉讼。这件事后来经常被当作"科技公司开放生态"的经典案例来讲，很多人也因此形成了一种印象：特斯拉对外是很开放的。

但问题在后面。特斯拉随后在官方法律说明里把边界写得很清楚：这个承诺，更接近一种"在特定条件下暂不主张专利权"的安排，并不是正式授权，不是许可证，也不是放弃权利。更重要的是，这个"不起诉"本身带着前提条件，包括对方必须属于"善意使用"，不能反过来主张针对特斯拉的知识产权，不能挑战特斯拉的专利，也不能做简单模仿和替代性的竞品。也就是说，特斯拉确实表现出了开放姿态，但这种开放从来不是没有条件的。

后面和小鹏相关的纠纷，其实就把这个问题放到了更现实的位置。2019 年，特斯拉起诉前自动驾驶团队员工曹光植，指控其离职前把与自动驾驶相关的大量源代码和文件上传到个人云端账户，随后加入小鹏汽车。财新当年的报道提到，特斯拉指控其上传了超过 30 万个文件和目录。这个案子后来虽然走向和解，但它已经足够说明一件事：专利层面可以讲开放，到了源代码，工程实现和商业秘密这些真正影响竞争力的地方，公司通常不会那么大方。

这个道理放到 Claude Code 这次事件里也一样。代码流出来了，不等于授权也流出来了。你能看到，不等于你能拿来商业化地复制、修改和分发。技术开放和权利放弃，不是一个概念；公开姿态和具体授权，也不是一个概念。特斯拉这个案例，正好把这件事说明白了。

今天 AI 行业最危险的，不是大家都想学，而是很多人会在一种集体兴奋中，误把"公开可见"理解成"默认可用"。而这种误解，一旦落到真实产品开发里，后面通常都不会太轻松。

三、真拿来开发产品，有什么风险？

如果别的厂商或者创业团队，真的用这次泄露出来的 Claude Code 源码来开发产品，会有什么潜在风险？

我觉得大致三个方面。

第一层，是最直接的版权和许可风险。如果原始代码没有明确授权，你直接复制、修改，商用、分发，本身就可能踩到知识产权红线。你拿它研究思路、看架构、理解产品形态，这是一回事；你把具体代码、文件结构、实现方式大规模挪进自己的商业产品里，这是另一回事。尤其 AI 行业现在节奏快，很多创业者最容易犯的错误就是"先做出来再说"。可这种东西一旦真的落进产品，后面如果被认定存在侵权或未授权使用问题，补救成本会非常高。

第二层，是商业秘密和不正当竞争风险。很多团队会有一个很天真的想法：既然它已经泄露了，既然网上都能下，那我再利用一下，也没什么吧。现实里事情没这么简单。一个东西因为对方失误而暴露出来，如果你明知道代码来源有问题，还把它作为商业产品的加速器，争议很容易从"版权"进一步走向"明知有问题仍然利用""借他人失误进行商业性搭便车"这类更复杂的风险。特斯拉和小鹏相关纠纷，已经把这个边界感演示得很清楚了。别人可以讲生态开放，不代表你就可以把真正影响竞争力的东西直接搬走。

第三层，是安全和责任风险。这次泄露出来的，不只是一些好玩的小功能，还有权限系统、工具链、多代理协调等更接近"生产级 agent 系统骨架"的东西。而就在泄露前后，Anthropic 还在持续对外强调 Claude Code 的自动模式和安全使用边界，提醒开发者即便有新的自动能力，也依然建议在安全、隔离环境里使用，因为系统不能完全消除风险。一个成熟大厂自己都还在一边做 agent 自主执行，一边反复补安全护栏。你如果直接拿一套未经正式交付、未经完整许可、甚至可能带有隐藏问题的泄露代码去做商业化，最后一旦出了安全事故、权限失控、错误执行或者造成用户损失，责任不会因为"这是网上流出来的代码"就自动变轻。

所以，这件事对创业者真正的提醒，不是"又多了一个抄作业的机会"，而是"技术上的捷径，未必是商业上的捷径"。你拿它研究，可以；拿它理解方向，也可以；但你真把它当成自己的底座往商业化上走，后面的版权、竞争和安全责任，很可能会一起找上门来。很多时候，省下来的研发时间，最后会以另一种更贵的方式还回去。

四、AI 时代，安全不只是模型

这次 Claude Code 事件最有讽刺意味的地方，还是安全。

Anthropic 过去几年一直在强调安全、审慎、边界、对齐。结果这次真正把自己送上热搜的，不是一次更安全的发布，而是一个很"初级"的打包失误。

短期看，这是一次公关灾难；中期看，它几乎等于给整个 agent 行业办了一场"民间技术交流发布会"；长期看，它其实提醒了所有 AI 公司一件事：今天真正值钱的，不只是模型本身，而是你围绕模型搭起来的那整套产品和工程体系，以及更重要的，在 AI 时代，我们如何确保安全。

Anthropic 自己在 3 月底还在大力推进 Claude Code 的自动模式，强调一边增强自主执行能力，一边用分类器和安全约束去减少风险操作。结果几天之后，最让它难堪的，却不是一个前沿模型风险，而是一次发布流程里的低级失误。

这个反差，本身就很说明问题。

所以，AI 行业下一阶段真正要补的课，可能不只是"模型更强"，而是"系统更稳"。不只是让 agent 更自主、更聪明、更像数字员工，而是要让整套产品链路更可控、更可审计、更可追责。

从这个意义上说，这次事件真正暴露的，不只是 Anthropic 的一次疏忽，而是整个 AI 行业正在共同面对的一道题：当模型越来越强、agent 越来越能干，产品越来越接近真实世界执行层时，我们到底有没有与之匹配的安全能力、发布纪律和工程安全能力？

这件事，可能比 Anthropic 这次泄露本身，更值得整个 AI 行业警惕。