史诗级泄露:Claude Code源代码开源了华尔街日报
Claude Code逾51万行TypeScript代码、40余个工具模块、数项尚未发布功能,因一个打包层面的失误公之于众。泄露未波及Claude核心模型权重。业内人士认为,此事件将大幅压缩AI Agent工程化的门槛,加速开发者生态竞争演化。同时该事件也引发外界对Anthropic安全成熟度的质疑。
Anthropic遭遇一场堪称业界最大规模的代码泄露事件。Claude Code的完整源代码,因一个打包层面的低级失误彻底公之于众。逾51万行TypeScript代码、40余个工具模块、数项尚未发布的核心功能,就此向全球开发者"裸奔"。
这是一次意外,也是一次警示。此次泄露虽未波及Claude核心模型权重或用户数据,但完整暴露了Claude Code的内部架构逻辑、系统提示词设计与工具调用机制,并将数项尚未发布的功能和潜在安全逻辑一并呈现于公众视野。
业内人士认为,此事件将实质性压缩AI Agent工程化的知识门槛,加速整个开发者生态的竞争演化。
值得注意的是,这并非Anthropic首次发生此类失误。2025年2月,该公司早期Claude Code版本曾因同一类型的source map疏忽被曝光,此次泄露,进一步引发外界对这家估值超过180亿美元的AI明星公司软件供应链安全成熟度的质疑。
一个.map文件,引爆51万行代码
区块链安全公司Fuzzland研究员Chaofan Shou在X上率先曝光了这一事件。Anthropic官方npm软件包@anthropic-ai/claude-code版本2.1.88中,意外包含了一个约60MB的cli.js.map文件。
在cli.js.map文件中,存在两个关键数组:sources(文件路径列表)与sourcesContent(对应的完整源码内容),两者索引一一对应。这意味着,任何人只需下载这个JSON文件,便可完整提取出所有原始代码,操作门槛极低。
据分析,该source map文件总计包含4756个源文件内容,其中1906个为Claude Code自身的TypeScript/TSX源文件,其余2850个为node_modules依赖。整体代码量超过51.2万行。
事件曝光后数小时内,GitHub上的镜像仓库星标数量急速突破5000。Anthropic已将该source map从npm包中移除。然而,npm包的早期版本已被多方存档,相关内容持续在开发者社区流传。
架构全貌首度曝光
还原后的源代码,为外界提供了迄今最完整的Claude Code架构视图。
代码显示,Claude Code采用React与Ink框架构建终端界面,运行于Bun运行时,核心为一个REPL循环,支持自然语言输入与斜杠命令,底层通过工具系统与LLM API交互。
工具层面,代码包含超过40个独立模块,涵盖文件读写、Bash命令执行、LSP协议集成及子代理生成能力,构成一个功能完备的"万能工具箱"。
推理层面,一个名为QueryEngine.ts的核心文件代码量高达4.6万行,承担推理逻辑处理、Token计数及"思维链"循环的全部工作。
多智能体层面,泄露代码中出现了coordinator(多智能体协调器)模块以及bridge模块,后者负责连接VS Code与JetBrains等主流IDE,显示Claude Code已具备多机协同与深度嵌入开发环境的工程能力。
未发布功能意外现身
此次泄露中,最受关注的或许是数项从未公开发布的功能。
代号Kairos的模式是其中最引人瞩目的一项。代码显示,这是一个具备持久生命周期的自主守护进程,支持后台会话与记忆整合,意味着Claude可作为一个常驻后台的AI智能体,持续处理任务并累积对项目的理解。
另有一套被称为"Buddy System"的电子宠物系统内嵌于代码之中,包含18个物种、稀有度等级、闪光变体及属性统计——这一设计显然出自Anthropic工程师的玩心,与核心架构并列存在于代码库中。
在模式设计层面,代码还揭示了"Coordinator Mode"(协调员模式),允许Claude调度并行运行的从属智能体,以及"Auto Mode",一种能自动审批工具权限的AI分类器,旨在简化操作确认流程。
此外,一个被命名为"Undercover Mode"(卧底模式)的功能引发了争议——据代码描述,当Anthropic员工在公共仓库进行操作时,该模式将自动激活,抹除提交记录中的AI相关痕迹,且无法手动关闭。
安全隐患与供应链警示
安全研究人员指出,此次泄露虽未直接涉及模型权重或用户隐私数据,但潜在风险不容忽视。
据报道,泄露内容完整暴露了内部安全逻辑,并可能揭示服务器端请求伪造(SSRF)等攻击向量,为后续安全研究提供了切入点。开源社区已开始基于泄露代码探索fork版本,并尝试与其他代理框架结合。
