返回
Anthropic 泄露了 512K 行 Claude Code 代码
March 31, 2026
7 分钟阅读
分享这篇文章

Anthropic 泄露了 512K 行 Claude Code 代码

一份泄露的 source map 暴露了 Anthropic 的 R2 存储桶和 51.2 万行 Claude Code,其中浮现出四项未发布功能,包括 KAIROS 监控系统和 Dream 引擎。

摘要

一个意外打包进 Claude Code npm 包的 source map 文件,让任何拥有正确 URL 的开发者都能直接访问 Anthropic 的私有 R2 存储桶——以及其中完整的、未混淆的 TypeScript 源码树。此次泄露涉及:1,900 个文件、超过 512,000 行代码。更深层的故事:四项从未公开宣布的内部功能,包括一个持续活动监控模式,以及 Anthropic 内部称为 Dream 引擎的后台记忆整合系统。

事件经过

开发者在为生产环境构建 JavaScript 或 TypeScript 时,Bun 等打包工具会生成 source map 文件(.map)以辅助调试。这些文件引用了原始的、未压缩的源代码。除非在发布包时明确将其排除,否则这些引用在包发布时就会随之公开。

Anthropic 的工程团队使用 Bun 构建 Claude Code,生产构建中包含了一个 .map 文件,该文件指向 Anthropic R2 云存储上的一个 URL。该 URL 没有设置访问控制。Web3 公司 FuzzLand 的安全研究员 Chaofan Shou(@shoucccc)于 2026 年 3 月 31 日发现了这一引用,获取了该 URL,并检索到了完整的源码树。

防止此问题所需的修复:在 .npmignore 中添加一行,或在打包前禁用 source map 生成。两者均未完成。

数据一览

详情数字
泄露的 TypeScript 行数512,000+
泄露的源文件数1,900
此前未公布的功能4
Anthropic 的公开声明0

代码中发现的四项未发布功能

KAIROS 模式

内部版本——未向用户发布

一种始终开启的后台模式,持续监控并记录用户活动。代码显示它可以发送推送通知并订阅 pull request 事件,这表明其设计目的是在 Claude 检测到合适时机时主动打断用户。该名称源自希腊语概念"kairos"——最佳时机。此前无任何公告,也无公开文档。

ULTRAPLAN

未发布——代码中可见云运行时基础设施

一个远程规划系统,将复杂的多步骤推理任务路由至运行 Anthropic Opus 4.6 模型的云容器运行时(CCR)。会话可异步运行长达 30 分钟——远超标准上下文窗口的限制。代码注释中明确说明了其用途:对于单次交互式会话无法完成的任务,将被卸载至后台异步完成。

The Buddy System(伙伴系统)

代码已完成——未公开宣布

一个围绕宠物伴侣构建的应用内游戏化系统,包含 18 个物种(其中包括名为"Cosmoshale"和"Nebulynx"的生物)。该系统包含确定性的抽卡机制,以及程序化生成的个性属性——其中包括"SNARK"(毒舌值)和"WISDOM"(智慧值)。仅凭代码本身,无法判断这究竟是一个用户留存功能、开发者内部工具,还是未来的产品方向。

The Dream System(梦境系统)

架构可见——发布时间表未知

一个在会话间隙离线运行的记忆整合引擎。其架构与人类记忆在睡眠期间进行整合的理论模型相似——该系统在用户未主动交互时处理并组织记忆。这代表着与无状态 AI 的重大背离:即使处于空闲状态,智能体的知识库也会持续演化。

其他发现

发现含义
脏话遥测当用户对 Claude 使用粗口时,专用事件会触发——这是一个此前未披露的挫败感度量信号
"继续"触发器系统追踪用户输入"continue"或"keep going"的频率——用于衡量响应中途截断的情况
Capybara / Mythos 引用内部代码注释证实了 3 月 27 日 CMS 文件泄露事件中关于 Anthropic 下一个模型层级的细节
中国 APT 文档一份内部报告,记录了一个利用 Claude Code 入侵约 30 个组织的国家支持黑客组织
未记录的斜杠命令/commit、/review、/doctor 均可见——内部工具集比公开文档所涵盖的更为完整

背景:Anthropic 2026 年 3 月的第三次事件

日期事件
3 月初拒绝五角大楼合同的内部细节在公告发布前泄露给媒体
3 月 27 日CMS 配置错误暴露约 3,000 份内部文件,包括模型路线图草稿
3 月 31 日npm source map 泄露——即本次事件

npm 泄露事件与前两起有本质区别。它不是政策决定、主动披露或 AI 错误,而是任何使用 Bun 且未明确设置 .npmignore 规则的团队都可能犯的常规打包疏失。其重要性在于代码所揭示的内容,而非疏失本身。

后续进展

Anthropic 将发布一个禁用或过滤了 source map 生成的修补版 npm。R2 存储桶或许已被限制访问。GitHub 镜像——包括 instructkr/claude-codeKuberwastaken/claude-code——在撰写本文时仍可公开访问,但很可能会收到 DMCA 通知。

KAIROS 和 Dream 功能将引发最持久的讨论。尤其是 KAIROS——一个始终开启的用户监控模式——将引发外界对 Claude Code 在未主动响应提示时究竟观察和记录了什么的质疑。它存在于功能开关之后这一事实,并不能改变其架构意图。

对于当前用户而言:本次事件泄露了 Anthropic 的源代码,并未泄露用户数据、对话内容或凭证信息。

常见问题

源代码是如何泄露的? Claude Code 的 npm 包中发布了一个 source map 文件。该文件包含一个指向 Anthropic R2 存储桶的直接 URL,而原始 TypeScript 源码树存放于此,且未设置访问控制。任何人获取该 URL 即可得到完整代码库。根本原因是未将 .map 文件从发布包中排除。

这会影响我作为 Claude Code 用户的数据吗? 不会。本次泄露暴露的是 Anthropic 的专有源代码——而非用户对话、文件或 API 凭证。没有迹象表明用户数据受到牵连。

泄露代码中的 KAIROS 模式是什么? KAIROS 是一个未发布的"始终开启"监控模式,记录用户活动并可推送通知或订阅代码库事件。它受内部功能开关控制,尚未公开发布。其在代码中的存在,引发了关于 Anthropic 在 Claude Code 架构中内置了哪些用户活动监控能力的公开疑问。

泄露代码的 GitHub 镜像在哪里? 截至 2026 年 3 月 31 日:github.com/instructkr/claude-codegithub.com/Kuberwastaken/claude-code。两者均预计将收到 DMCA 下架请求。

来源

  • DEV Community——《Claude Code's Source Code Leaked via npm Source Maps》(dev.to,2026 年 3 月 31 日)
  • ByteIota——《Claude Code Source Leaked via npm: 512K Lines Exposed》(2026 年 3 月 31 日)
  • Reddit r/ClaudeAI——源码泄露讨论帖(2026 年 3 月 31 日)
  • GitHub 镜像:instructkr/claude-code,Kuberwastaken/claude-code
发布于 March 31, 2026
更多文章