记者 | 岳楚鹏 宋欣悦  

编辑 | 何小桃 易启江   校对 | 高涵

因员工一不小心把 51.2 万行 Claude Code 源代码泄露，让全行业窥见了人工智能（AI）新锐巨头 Anthropic 的产品内部架构，并且提前曝光了其电子宠物和持久化 AI 助手的产品布局。

当地时间 3 月 31 日，因 npm 包打包失误，Claude Code 源代码被泄露。数小时内，泄露代码便在 GitHub 形成星标破万、备份超 2 万次的扩散态势。

对此，Anthropic 向《每日经济新闻》记者（以下简称每经记者）回复称，这是由于人为错误（human error）导致的发布打包问题，而非安全漏洞。

专家指出，此次泄露为中小开发者提供了提升其产品能力的 " 抄作业 " 机会，但相关代码的商业化使用则面临法律风险。

被泄露的 Claude Code 代码库 图片来源：X

51 万行 Claude Code 源代码 " 被开源 "

当地时间 3 月 31 日，Web3 安全公司 FuzzLand 的实习研究员 Chaofan Shou 在社交平台 X 上披露，Anthropic 旗下 AI 编程工具 Claude Code 的源代码被意外泄露。

据其描述，他在检查 Claude Code 的 npm 包时发现，一个体积达 57MB 的 cli.js.map 文件指向了一个存储桶链接，其中包含了 1900 个 TypeScript 文件，共计超过 51.2 万行未经混淆和反编译的完整源代码。这意味着，开发者可以轻松一窥甚至还原 Claude Code 的内部构造。

问题根源并不复杂：本应在生产构建中被排除的 source map 文件，因 .npmignore 配置疏漏或构建流程设置不当，被一同发布至 npm registry 这一公开平台。数小时内，相关代码即被上传至 GitHub 并广泛传播，甚至已有开发者基于泄露内容完整重建了 Claude Code。

事件发酵后，Anthropic 紧急更新 npm 包并移除相关文件，同时删除早期版本。但为时已晚。

每经记者就此事向 Anthropic 求证，该公司回应称：" 今日早些时候，Claude Code 的一次发布中包含了部分内部源代码。此次事件未涉及或暴露任何敏感的客户数据或凭证。这是由于人为错误导致的发布打包问题，而非安全漏洞。我们正在推出措施，以防止类似情况再次发生。"

这已经是 Anthropic 一周内发生的第二次重大泄露事件。3 月 26 日，该公司刚刚因 CMS（内容管理系统）配置错误，泄露了名为 Claude Mythos 的模型信息和约 3000 份未公开的资产。更早之前，Claude Code 在 2025 年 2 月和 2024 年 12 月也分别出现过源码和系统提示词泄露问题。频繁发生的 " 人为失误 "，正持续侵蚀市场对其安全能力的信任。

" 生产级泄露 "：未发布的电子宠物

与持久化 AI 助手提前曝光

随着开发者对泄露代码的深入分析，一个远超外界预期的 Claude Code 内部体系逐渐清晰。这并非一个简单的 API 封装工具，而是一个完整的生产级开发环境。

根据 GitHub 仓库的分析，泄露的代码库包含 40 多个权限控制工具、一个拥有 4.6 万行代码的查询引擎、多智能体协调系统、IDE 桥接功能以及持久化记忆机制等。代码中还发现了 35 个编译时功能标志和超过 120 个未公开的环境变量，通过 USER_TYPE=ant 这个环境变量，Anthropic 的员工可以解锁全部内部功能。

有程序员指出，Claude 泄露内容显示它不是一个 AI 编程助手，更像是一个操作系统。

更引人关注的是多项尚未发布的实验性功能。

第一，是名为 BUDDY 的终端电子宠物系统。

代码显示，BUDDY 是一个类似上世纪 90 年代风靡全球的电子宠物 " 拓麻歌子 "（Tamagotchi）的 AI 伴侣系统。其核心机制结合用户 ID 与伪随机算法生成唯一角色，包括物种、稀有度、外观与属性等。系统还支持 " 抽卡 "、闪光变种等设定，并由模型自动生成 " 灵魂描述 "。值得一提的是，宠物的关键属性并非存储，而是基于用户 ID 动态计算生成，使其具有稳定且不可篡改的唯一性。

第二，是名为 KAIROS 的持久化 AI 助手。

KAIROS 被隐藏在编译标志之后，在公开版本中并不可见。一旦激活，该系统可持续监控用户行为、记录信息并主动执行任务，同时维护详细的操作日志。配合名为 autoDream 的后台机制，系统还能在低活跃期自动整理记忆，将短期对话内容转化为长期结构化知识。这一设计被认为高度类似人类在睡眠中的记忆巩固过程。

某字节 AI Agent 研究员表示，最让人惊艳的就是 KAIROS 模式—— GitHub Webhook + Cron + MCP Channel + 后台 Dream 记忆整理，本质上是把 Agent 从工具推向数字员工。

此外，为防止内部信息泄露，Anthropic 还设计了 " 卧底模式 "（Undercover Mode），限制员工在开源贡献中提及内部模型代号或工具名称。同时，其 API 中还嵌入 " 数据投毒 " 机制：通过注入虚假工具定义（fake_tools），干扰潜在的数据抓取与模型蒸馏行为，从而降低竞品模型性能。

这些设计显示，Anthropic 在技术防护与竞争策略上已投入大量精力，但此次 " 人为错误 " 却暴露出流程执行层面的短板。

开发者狂欢背后：

" 抄作业 " 恐面临法律风险

作为对标 OpenAI 的重要产品，Claude Code 长期与 GitHub Copilot 等工具竞争。此次意外泄露虽然并非官方开源，却被不少开发者视为一次难得的学习机会。

上海财经大学特聘教授胡延平向每经记者表示，这次泄露对 AI 生态的首要影响，是能够帮助其他 Agent 团队提升产品水准，帮助开发者把握技术路线图。他透露，一些技术人员的确在连夜分析、还原、修改、测试，乃至尝试部署和复现，对泄露出来的文件进行系统研究。"对于原本在 AI Agent 方面能力一般的开发者而言，这毫无疑问是一次‘抄作业’的机会，产品水平快速拉齐。甚至在抄作业过程中改作业，局部优化以后可能比 Claude Code 的框架某些方面更好。"

在胡延平看来，代码泄露对于中小开发者来讲的确有较大帮助，但对大厂来说未必。" 因为大厂要么已经在进行逆向工程，要么在形成更系统的产品框架过程中，类似 Claude Code 这类产品要成功，除了单点产品力，还取决于整个应用生态构建，包括 Skills 技能生态、开发者与合作伙伴生态，以及如何以全栈 AI 服务，去对应数亿设备与数亿用户构成的大生态。"

胡延平认为，Claude Code 源代码泄露引发大范围关注和讨论，是因为 Anthropic 是全球范围内，尤其在 To B、代码能力方面，唯二的全栈能力最强的 AI 公司之一，另一家是 OpenAI。而且 Anthropic 在这类产品上比 OpenAI 走得更远，产品力也更强。"从泄露出来的代码看，Claude Code 系统实践和有机融合了时下业界热切讨论的 Prompt Engineering、Context Engineering 和 Harness Engineering，尤其是 Harness Engineering 和升级后可以操作电脑的功能，让业界透过 Claude Code 看到了下一个阶段的发展方向，接管型 Agent 作为应用操作系统和行动智能体，正在变得全能，未来成为不同于具身通用智能的数字通用智能 "。

不过，在接受每经记者采访时，国浩律师事务所吴俊伶律师提醒道，此次事件更适合界定为 source map 误披露导致部分源代码可被还原，而非权利人主动授权公开源代码，因此源代码可被外界获取，并不当然意味着任何人都获得了合法复制、改写、集成或商用的授权。

她分析称，对企业和开发者而言，如果下载相关代码后将其用于复制、改写、嵌入自有产品，或据此优化、训练同类竞争性产品，通常可能触发著作权、商业秘密、乃至不正当竞争层面的复合风险。虽然在相关源码已经被大范围传播的情况下，权利人事后再对源代码整体主张商业秘密，难度会明显上升，但这并不当然排除其就尚未公开的细节内容，或就早期不当获取、传播、使用行为继续主张权利。对于 Anthropic 现有用户而言，其官方条款还明确限制利用其服务开发竞品、训练竞品 AI，以及反编译、逆向或复制服务，因此相关使用还可能叠加违约风险。

她也表示，相较之下，单纯出于研究或安全分析目的 " 查看 " 相关代码，风险通常低于实际复用；但一旦进入开发、商用等环节，法律风险会显著上升。

目前，多个托管泄露源码的 GitHub 仓库已陆续收到基于《数字千年版权法》的删除通知并被下架。这也进一步表明，围绕该事件的法律博弈正在展开。

｜每日经济新闻   nbdnews   原创文章｜

未经许可禁止转载、摘编、复制及镜像等使用

每日经济新闻