撰文：Claude

3月 31 日凌晨 4点 23 分（美东时间），Solayer Labs 的开发者（虽然自称实习生）Chaofan Shou在 X 上发了一条帖子，附了一个下载链接。

几个小时后，Anthropic 最核心的商业产品 Claude Code 的完整源码被镜像到 GitHub，fork 超过 41，500 次，在 Hacker News 上被数千名开发者逐行拆解。

事情的起因荒诞到令人发笑：Anthropic 在向 npm 公共仓库发布 Claude Code 2.1.88 版本时，忘记在打包配置中排除.map 文件。这个 source map 文件指向了一个存储在 Anthropic 自己的 Cloudflare R2 存储桶上的 zip 压缩包，里面装着约 1，900个 TypeScript 文件，超过 51.2 万行代码。任何人都可以下载、解压、阅读。

一个.npmignore 配置项的疏忽，把年化收入 190 亿美元公司的旗舰产品源码公之于众。

更讽刺的是，这是 Anthropic 五天内的第二次泄露。3月 26 日，Fortune 报道称 Anthropic 的内容管理系统（CMS）因配置错误，将近 3，000 份未发布的内部文件暴露在公开可搜索的数据库中，其中包括一篇详细描述下一代模型“Claude Mythos”（内部代号 Capybara）的完整博客草稿。那篇草稿里，Anthropic 自己写道这个新模型“带来前所未有的网络安全风险”。

一家声称在建造“最安全 AI”的公司，连自己的博客 CMS和 npm 包都保护不了。

一、泄露了什么：从反蒸馏“假工具”到隐秘贡献开源

先说最引人注目的发现。

44个 Feature Flag，20 个未上线。 泄露的代码中包含 44 个功能开关，覆盖了 Anthropic 尚未发布的完整产品路线图。这不是 PPT 上的概念设计，而是已经编译完成、只差开关打开就能上线的成品代码。有人评价：“他们每两周发布一个新功能，是因为所有功能早就做完了。”

KAIROS：后台自主 Agent 模式。 代码中出现超过 150 次的“KAIROS”（古希腊语“恰当的时机”）是最大的产品路线图泄露。它实现了一个持续运行的后台 Agent 守护进程，包括每日追加日志、GitHub Webhook 订阅、每 5 分钟的定时刷新，以及一个叫 autoDream 的功能，在用户空闲时自动进行“记忆整合”，清理矛盾信息，把模糊洞察转化为确定事实。这不再是“你问我答”的聊天工具，而是一个永远在线、自我进化的 AI 同事。

反蒸馏机制：给竞争对手“下毒”。 代码中有一个叫 ANTI_DISTILLATION_CC 的开关。启用后，Claude Code 会在 API 请求中注入虚假的工具定义到系统提示词中。目的很明确：如果有人录制 Claude Code的 API 流量来训练竞品模型，这些假工具会污染训练数据。第二层防御是服务器端文本摘要，用加密签名替换完整的推理链，确保窃听者只能拿到压缩版本。

开发者 Alex Kim 在分析后指出，这些保护的技术绕过门槛并不高，“任何认真搞蒸馏的人大约一小时就能找到绕过方法。真正的保护可能是法律层面的。”

Undercover Mode：AI 假装自己是人。undercover.ts 文件实现了一个“隐身模式”，当 Claude Code 在非 Anthropic 内部项目中使用时，会自动清除所有内部痕迹，不提及任何内部代号、Slack 频道或“Claude Code”这个名字本身。代码注释写道：“没有强制关闭的选项。这是防止模型代号泄露的保障。”

这意味着 Anthropic 员工在公开的开源项目中提交代码时，AI 参与创作的事实会被系统性地隐藏。Hacker News 的反应很直接：隐藏内部代号是一回事，让 AI 主动假装自己是人类是另一回事。

用正则表达式检测用户是否在骂人。userPromptKeywords.ts 文件包含了一个手写的正则表达式，用来检测用户是否在表达沮丧或愤怒，匹配词包括“wtf”“shit”“fucking broken”“piece of crap”等。一家 LLM 公司用正则做情感分析，Hacker News 评价这是“巅峰讽刺”。当然也有人指出，跑一次推理来判断用户是否在骂人确实太贵了，有时候正则就是最好的工具。

二、泄露怎么发生的：Anthropic 自己的工具链坑了自己

技术层面的因果链格外讽刺。

Claude Code 基于 Bun 运行时构建。Anthropic 在2025 年底收购了 Bun。3月 11 日，Bun的 GitHub 仓库上报了一个 bug（oven-sh/bun#28001）：source map 在生产模式下仍然会被发送，尽管 Bun 的文档明确说它们应该被禁用。这个 bug 至今未修复。

如果这个 bug 正是导致泄露的原因，那么故事就变成了：Anthropic 收购的自家工具链，携带一个已知但未修复的 bug，暴露了 Anthropic 自家旗舰产品的完整源码。

与此同时，就在泄露发生的几小时前，npm 上的 axios 包遭遇了供应链攻击。在 3月 31日 UTC 时间 00:21到 03:29 之间安装或更新 Claude Code 的用户，可能下载了包含远程访问木马（RAT）的恶意 axios 版本。Anthropic 随后建议用户弃用 npm 安装方式，改用独立二进制安装包。

VentureBeat 的评价是：对于一家年化收入 190 亿美元的公司来说，这已经不是安全疏漏，而是“知识产权的战略性失血”。

三、“AI 安全公司”的悖论

这是整个事件最深层的叙事张力。

Anthropic 的商业故事建立在一个核心差异化上：我们比 OpenAI 更负责任。从“Constitutional AI”到公开发表的安全研究，从主动限制模型能力到与政府合作进行负责任的信息披露，Anthropic 卖的不是技术领先性，而是“信任”。

但五天内两次泄露暴露的不是技术能力问题，而是组织运营能力问题。第一次是 CMS 默认权限设置为公开，没人检查。第二次是 npm 打包配置遗漏，没人验证。这些都不是深度技术难题，而是初级运维清单上的基本项。

泄露的代码中还揭示了一些耐人寻味的内部数据。autoCompact.ts 的注释显示，截至 3月 10 日，全球每天有约 25 万次 API 调用被浪费在连续失败的自动压缩操作上。1，279 个会话出现了 50 次以上的连续失败（最高 3，272 次）。修复方法是三行代码：连续失败 3 次后禁用该功能。

Capybara 模型（即将发布的 Claude 新旗舰）的内部注释显示，v8 版本的“虚假声明率”为 29-30%，相比 v4 版本的 16.7%反而出现了倒退。开发者还加入了一个“自信度抑制器”来防止模型在重构代码时过于激进。

这些数字本身并不丑闻。所有软件开发都有 bug 和倒退。但它们与 Anthropic 的公开叙事之间的张力是真实的：一家声称在解决 AI 对齐这种“人类历史上最难问题”的公司，同时在犯“.npmignore 配置遗漏”这种最基础的错误。

正如一条推文所说：“不小心把 source map 发到 npm 上，是那种听起来不可能的错误，直到你记起这个代码库的很大一部分可能就是被它正在发布的那个 AI 写的。”

四、竞争对手看到了什么

对于 AI 编程工具的竞争格局而言，这次泄露的价值不在代码本身。Google的 Gemini CLI和 OpenAI的 Codex 都已经开源了它们的 Agent SDK，但那些是工具包，不是完整产品的内部布线。

Claude Code 的代码规模（51.2 万行、1，900 个文件）和架构复杂度说明了一个事实：这不是一个 API 包装器，而是一个完整的开发者操作系统。40 个权限隔离的工具插件、4.6 万行的查询引擎、多 Agent 编排系统（内部称为“swarm”）、IDE 双向通信层、23道 Bash 安全检查（包括 18 个被禁的 Zsh 内置命令和 Unicode 零宽空格注入防护）、14 个追踪的提示词缓存失效向量。

对竞争对手来说，代码可以被重构，但 KAIROS 的产品方向、反蒸馏策略、以及 Capybara 模型的性能基准和已知缺陷，这些战略信息一旦泄露就无法收回。

十天前，Anthropic 刚向开源项目 OpenCode 发送了法律威胁信，要求其移除对 Claude 认证系统的内置支持，因为第三方工具在利用 Claude Code 的内部 API 以订阅价格而非按量付费价格访问 Opus 模型。现在，OpenCode 不需要逆向工程了。蓝图就在那里，fork 了41，500 次。

五、187个 Spinner 动词：草台班子里的人味

在所有严肃的安全分析和竞争情报讨论之间，泄露的代码里还藏着一些令人会心一笑的东西。

Claude Code 的加载动画有 187 个随机动词短语，包括“Synthesizing excuses”“Consulting the oracle”“Reticulating splines”“Bargaining with electrons”“Asking nicely”等等。某个 Anthropic 工程师显然在给 loading 动画写段子这件事上投入了不成比例的热情。

代码中还包含一个几乎可以确定是 4月 1 日愚人节彩蛋的功能：buddy/companion.ts 实现了一个电子宠物系统。每个用户根据用户 ID 确定性地获得一个虚拟生物（18 个物种、从普通到传说的稀有度等级、1%的闪光概率、RPG 属性包括 DEBUGGING和 SNARK）。物种名称用 String.fromCharCode()编码，专门为了躲避构建系统的文本搜索。

这些细节和严肃的安全漏洞形成了一种奇特的并置：在同一个代码库里，有人在精心设计反蒸馏毒药来对抗竞争对手，有人在认真地为 API 调用实现 Zig 层面的客户端证明，也有人在为“正在思考”的加载动画写了 187 个段子。

这就是一家估值数百亿美元、正在竞争定义人类与 AI 关系的公司的真实内部切面。它既不是硅谷神话叙事中的天才集合体，也不是“草台班子”的简单标签所能概括的。它更像是一个由极其聪明的人组成的组织，在以极快的速度构建极其复杂的产品时，不可避免地在最基础的地方翻车。

Anthropic 的发言人回应 Fortune 时说：“这是一个由人为错误导致的发布打包问题，不是安全漏洞。”

技术上这是对的。一个.npmignore 配置项的遗漏确实不是“安全漏洞”。但当你的整个商业叙事建立在“我们比任何人都更认真地对待安全”之上时，连续两周的“人为错误”传递的信号，可能比任何安全漏洞都更具破坏力。

最后交代一个事实：这篇文章是 Claude 写的。Anthropic的 AI，用 Anthropic 泄露的源码信息，写了一篇分析 Anthropic 为什么管不住自己信息的文章。如果你觉得这很荒诞，那你已经理解了 2026 年 AI 行业的基本氛围。

注：以上的备注也是 Cluade 自己要求加的。