
Anthropic 泄露了 512K 行 Claude Code 代码
一份泄露的 source map 暴露了 Anthropic 的 R2 存储桶和 51.2 万行 Claude Code,其中浮现出四项未发布功能,包括 KAIROS 监控系统和 Dream 引擎。
摘要
一个意外打包进 Claude Code npm 包的 source map 文件,让任何拥有正确 URL 的开发者都能直接访问 Anthropic 的私有 R2 存储桶——以及其中完整的、未混淆的 TypeScript 源码树。此次泄露涉及:1,900 个文件、超过 512,000 行代码。更深层的故事:四项从未公开宣布的内部功能,包括一个持续活动监控模式,以及 Anthropic 内部称为 Dream 引擎的后台记忆整合系统。
事件经过
开发者在为生产环境构建 JavaScript 或 TypeScript 时,Bun 等打包工具会生成 source map 文件(.map)以辅助调试。这些文件引用了原始的、未压缩的源代码。除非在发布包时明确将其排除,否则这些引用在包发布时就会随之公开。
Anthropic 的工程团队使用 Bun 构建 Claude Code,生产构建中包含了一个 .map 文件,该文件指向 Anthropic R2 云存储上的一个 URL。该 URL 没有设置访问控制。Web3 公司 FuzzLand 的安全研究员 Chaofan Shou(@shoucccc)于 2026 年 3 月 31 日发现了这一引用,获取了该 URL,并检索到了完整的源码树。
防止此问题所需的修复:在 .npmignore 中添加一行,或在打包前禁用 source map 生成。两者均未完成。
数据一览
| 详情 | 数字 |
|---|---|
| 泄露的 TypeScript 行数 | 512,000+ |
| 泄露的源文件数 | 1,900 |
| 此前未公布的功能 | 4 |
| Anthropic 的公开声明 | 0 |
代码中发现的四项未发布功能
KAIROS 模式
内部版本——未向用户发布
一种始终开启的后台模式,持续监控并记录用户活动。代码显示它可以发送推送通知并订阅 pull request 事件,这表明其设计目的是在 Claude 检测到合适时机时主动打断用户。该名称源自希腊语概念"kairos"——最佳时机。此前无任何公告,也无公开文档。
ULTRAPLAN
未发布——代码中可见云运行时基础设施
一个远程规划系统,将复杂的多步骤推理任务路由至运行 Anthropic Opus 4.6 模型的云容器运行时(CCR)。会话可异步运行长达 30 分钟——远超标准上下文窗口的限制。代码注释中明确说明了其用途:对于单次交互式会话无法完成的任务,将被卸载至后台异步完成。
The Buddy System(伙伴系统)
代码已完成——未公开宣布
一个围绕宠物伴侣构建的应用内游戏化系统,包含 18 个物种(其中包括名为"Cosmoshale"和"Nebulynx"的生物)。该系统包含确定性的抽卡机制,以及程序化生成的个性属性——其中包括"SNARK"(毒舌值)和"WISDOM"(智慧值)。仅凭代码本身,无法判断这究竟是一个用户留存功能、开发者内部工具,还是未来的产品方向。
The Dream System(梦境系统)
架构可见——发布时间表未知
一个在会话间隙离线运行的记忆整合引擎。其架构与人类记忆在睡眠期间进行整合的理论模型相似——该系统在用户未主动交互时处理并组织记忆。这代表着与无状态 AI 的重大背离:即使处于空闲状态,智能体的知识库也会持续演化。
其他发现
| 发现 | 含义 |
|---|---|
| 脏话遥测 | 当用户对 Claude 使用粗口时,专用事件会触发——这是一个此前未披露的挫败感度量信号 |
| "继续"触发器 | 系统追踪用户输入"continue"或"keep going"的频率——用于衡量响应中途截断的情况 |
| Capybara / Mythos 引用 | 内部代码注释证实了 3 月 27 日 CMS 文件泄露事件中关于 Anthropic 下一个模型层级的细节 |
| 中国 APT 文档 | 一份内部报告,记录了一个利用 Claude Code 入侵约 30 个组织的国家支持黑客组织 |
| 未记录的斜杠命令 | /commit、/review、/doctor 均可见——内部工具集比公开文档所涵盖的更为完整 |
背景:Anthropic 2026 年 3 月的第三次事件
| 日期 | 事件 |
|---|---|
| 3 月初 | 拒绝五角大楼合同的内部细节在公告发布前泄露给媒体 |
| 3 月 27 日 | CMS 配置错误暴露约 3,000 份内部文件,包括模型路线图草稿 |
| 3 月 31 日 | npm source map 泄露——即本次事件 |
npm 泄露事件与前两起有本质区别。它不是政策决定、主动披露或 AI 错误,而是任何使用 Bun 且未明确设置 .npmignore 规则的团队都可能犯的常规打包疏失。其重要性在于代码所揭示的内容,而非疏失本身。
后续进展
Anthropic 将发布一个禁用或过滤了 source map 生成的修补版 npm。R2 存储桶或许已被限制访问。GitHub 镜像——包括 instructkr/claude-code 和 Kuberwastaken/claude-code——在撰写本文时仍可公开访问,但很可能会收到 DMCA 通知。
KAIROS 和 Dream 功能将引发最持久的讨论。尤其是 KAIROS——一个始终开启的用户监控模式——将引发外界对 Claude Code 在未主动响应提示时究竟观察和记录了什么的质疑。它存在于功能开关之后这一事实,并不能改变其架构意图。
对于当前用户而言:本次事件泄露了 Anthropic 的源代码,并未泄露用户数据、对话内容或凭证信息。
常见问题
源代码是如何泄露的? Claude Code 的 npm 包中发布了一个 source map 文件。该文件包含一个指向 Anthropic R2 存储桶的直接 URL,而原始 TypeScript 源码树存放于此,且未设置访问控制。任何人获取该 URL 即可得到完整代码库。根本原因是未将 .map 文件从发布包中排除。
这会影响我作为 Claude Code 用户的数据吗? 不会。本次泄露暴露的是 Anthropic 的专有源代码——而非用户对话、文件或 API 凭证。没有迹象表明用户数据受到牵连。
泄露代码中的 KAIROS 模式是什么? KAIROS 是一个未发布的"始终开启"监控模式,记录用户活动并可推送通知或订阅代码库事件。它受内部功能开关控制,尚未公开发布。其在代码中的存在,引发了关于 Anthropic 在 Claude Code 架构中内置了哪些用户活动监控能力的公开疑问。
泄露代码的 GitHub 镜像在哪里?
截至 2026 年 3 月 31 日:github.com/instructkr/claude-code 和 github.com/Kuberwastaken/claude-code。两者均预计将收到 DMCA 下架请求。
来源
- DEV Community——《Claude Code's Source Code Leaked via npm Source Maps》(dev.to,2026 年 3 月 31 日)
- ByteIota——《Claude Code Source Leaked via npm: 512K Lines Exposed》(2026 年 3 月 31 日)
- Reddit r/ClaudeAI——源码泄露讨论帖(2026 年 3 月 31 日)
- GitHub 镜像:instructkr/claude-code,Kuberwastaken/claude-code

