听说Claude Code源码泄露了,我起手就是一个git clone!
备份库instructkr/claude-code瞬间就获得了2w+星。
事情很魔幻,Claude Code发新版本v2.1.88的时候,一个60MB的source map文件被意外打包进了npm发布包里。
后果很严重,1906个源文件完整暴露,51万行代码,全部可读。
甚至可以做到让Claude Code自己解读自己:
好嘛,Claude团队这下被迫比OpenAI更加Open了。
那么问题来了,source map是个啥?为啥就全泄露了?
它本来是开发调试用的映射文件,能把压缩后的代码还原成原始源码,划重点了,它 绝 对 不 该 出 现 在 发 布 包 里。
这要是个一般的Web项目也就罢了,在npm里泄露个前端,别人也就抄抄设计和交互逻辑,核心业务流程都在后端。
但坏就坏在他是个Coding CLI工具,大家最馋的功能都在都跑在用户本地的客户端里。
换句话说,任何有心人拿到这套代码,都能复制一个出来。
评论区有人说在6个月内复制,只能说他还是太保守了。
这下可好,泄露代码被眼尖手快的群众迅速备份到多个GitHub仓库,全网使劲研究。
7个小时过去了,大家给代码扒了个底朝天,发现:
8大新功能,26+新指令,6级安全架构,还有愚人节彩蛋。
整个项目架构很优秀,但架不住代码里也有屎山~
新功能:电子宠物、长期记忆助手、30分钟深度规划
代码里不只有已上线的功能。社区很快发现了大量被feature flag关闭的隐藏模块。
有人专门搭建了ccleaks.com来展示所有隐藏内容。
从代码中提取出35个编译时特性标志、120多个隐藏环境变量、200多个远程控制开关。
最出人意料的发现之一:Claude Code里藏了一个电子宠物系统。
代号Buddy。一个Tamagotchi风格的ASCII虚拟宠物,会出现在你的终端。
18种物种——鸭子、章鱼、水豚、蘑菇……6种稀有度,普通款占60%,传奇款仅1%,甚至还有闪光款的设定。
每个用户的宠物由账户ID唯一生成。上号抽卡,你的那只,全世界独一份。
不过嘛,从代码中的时间戳来看,Buddy计划4月1日首次亮相。大概率是个愚人节彩蛋。
接下来,要上正经的了。
代号Kairos,一个持久化助手模式,让Claude拥有跨会话的长期记忆。
当你不使用Claude Code的时候,Kairos会自动执行四阶段记忆整合:定向、收集、整合、修剪。
换句话说,AI在你睡觉的时候,自动把你之前聊的零散信息整理成结构化笔记。
此外,代码中还发现了一系列未公布的隐藏功能:
- Ultraplan:使用Opus 4.6模型支持最长30分钟的深度任务规划,适合复杂项目的全流程设计
- 多Agent协调模式:支持同时启动多个独立Agent实例分工协作,处理并行任务效率提升3倍以上
- 跨会话进程通信:如果你的机器上运行多个Claude会话,它们可以互相发送消息
- 守护进程模式:会话管理器,像系统服务一样在后台运行 Claude 会话。
还有26个隐藏(不在help里)的斜杠指令,其中有已经公布的如btw。
还有一个隐藏功能引起很多争议:
卧底模式(Undercover mode),向开源代码的提交PR时,移除所有Anthropic的信息。
代码中明确写到,要让AI伪装成人类,让很多开发者感到不舒服。
不过隐藏功能在发布包里大多只有接口实现,完整代码还没泄露。
但除了未发布的新功能之外,整整51万行代码,还有更多值得一说的地方。
51万行代码里的惊喜和惊吓
Claude Code的架构设计水平远超预期,但代码质量却被发现参差不齐。
在这堆代码里,最先引起开发者注意的是它的安全设计。
每一次工具调用,无论是执行Shell命令还是读写文件,都要先通过六级权限验证系统。
验证通过后还没完。还要经过四层决策管道,逐层检查权限和执行分析,最后才能真正执行。
所有外部命令和插件都在独立沙箱环境中运行。
系统还用独立的非阻塞缓冲区处理输入输出,边给你回复,边在后台继续处理,一心多用。
当对话token超过阈值时,自动启动上下文压缩,智能保留最关键的逻辑链条。
到这里,社区的评价基本是正面的,架构扎实,安全机制认真。
但是!翻到src/cli/print.ts这个文件时,画风突变了。
一个函数,3000多行,12层嵌套,圈复杂度爆表。
最后,社区还发现了一个有趣的细节:Claude Code检测用户负面情绪的方式。
不是用AI模型做情感分析,而是用最原始的正则表达式,匹配ffs(for fuck’s sake)、shitty之类的关键词。
所有这些发现,让人忍不住想问一个问题:一向标榜AI安全的Anthropic,怎么自己漏成筛子了?
Anthropic“安全人设”连续翻车
Claude Code源码泄露不是一个孤立事件。就在几天前,Anthropic刚刚经历了另一场大型泄露。
3月26日,由于第三方CMS系统配置错误,Anthropic近3000个内部资产被公开访问。
这批资产中曝光了一个代号Capybara的未发布模型Claude Mythos。内部文件称其为AI能力的“阶跃式提升”。
泄露材料中关于Mythos能“以远超人类防御者速度利用漏洞”的描述,直接导致几家网络安全公司股价下跌。
两周内,一次CMS配置错误泄露了未发布模型,一次source map打包失误泄露了完整源码。
把视角拉远的话,Claude Code在2025年2月首发时就泄露过一次source map。
同款错误,犯了两次。
事件本身的损害也许有限。有人说,护城河是模型,不是CLI。
核心模型权重、训练数据、用户数据都没有泄露,CLI只是一个客户端包装。
但产品架构和完整的未发布功能路线图已经暴露。竞争对手等于拿到了一份免费的技术蓝图。
对于一家把“AI安全”写进公司使命的企业来说,运营安全的反复失控传递的信号,可能比技术漏洞本身更致命。
是vibe coding时代自动化构建流程带来的新型风险?还是高速迭代下质量控制的系统性缺失?
又或者,在一个AI Agent已经能自主写代码、提交commit、管理发布流程的时代,谁能百分百确定这是人为失误呢?
One More Thing
我们让Claude Code整理了一份对自己代码库的分析报告。
后台私信“claude code”获取。
(它不会数字数,并没有3.5万字)
GitHub备份https://github.com/instructkr/claude-code
参考链接:
[1]https://x.com/Fried_rice/status/2038894956459290963?s=20
[2]https://news.ycombinator.com/item?id=47584540
本文来自微信公众号“量子位”,作者:梦晨。