Claude Code被开源事件持续发酵，黑客钓鱼传播窃密软件

事件发生于Anthropic在npm注册表发布Claude Code 2.1.88版本时，误将source map文件（.map）包含在内。这一文件大小约为57MB，内含约1900个TypeScript源文件及超过51.2万行代码。由于source map文件本应用于调试，不应出现在生产环境，此次疏漏使黑客得以通过简单的JSON解析工具提取原始代码。

源码泄露迅速传播，GitHub爆发克隆热潮

• 一位韩国开发者Sigrid Jin在凌晨被消息惊醒后，迅速采用“clean-room”方式重写了Claude Code核心功能，并命名为claw-code发布在GitHub。
• 项目在两小时内便获得5万星标，创下GitHub史上最快增长纪录。
• Anthropic迅速启动法律手段，3月31日当天便向GitHub提交DMCA投诉，要求下架所有泄露代码的仓库。
• 尽管GitHub配合封杀超过8100个相关仓库，但代码已镜像至去中心化平台Gitlawb，无法彻底清除。

泄露代码暴露Anthropic多项未公开功能

• KAIROS：一个被Feature Flag隐藏的后台守护进程，旨在让Claude Code具备后台持续运行能力，并可自动响应GitHub的Webhook事件。
• Undercover Mode（卧底模式）：当系统识别为Anthropic内部员工操作公开仓库时，该模式自动激活，抹除AI生成代码的归属信息，并指示模型“不要暴露你的身份”。
• Capybara模型：代码中多次提及的神秘模型，也被称为Claude Mythos，定位高于Opus，且包含调试记录。
• 情绪监控系统：底层遥测系统追踪用户是否在终端中爆粗口或频繁输入“continue”，以评估使用挫败感。

黑客利用泄露发起钓鱼攻击

• 在代码泄露的同时，黑客开始利用这一事件进行恶意攻击。
• 分析显示，在UTC时间3月31日00:21至03:29之间，若开发者通过npm安装或更新Claude Code，可能无意中拉取了植入远程访问木马（RAT）的恶意axios版本（1.14.1或0.30.4）。
• 该恶意包名为plain-crypto-js，伪装成合法依赖，一旦运行可允许攻击者远程控制设备。
• 开发者被提醒立即检查package-lock.json，确认是否包含该依赖，并尽快改用官方建议的原生安装方式。

Anthropic面临信任危机

• 此次泄露并非首次，2025年2月曾发生过source map泄露事件，仅一年后又重蹈覆辙。
• 3月27日，Anthropic模型规范文件再次意外公开，5天内连续两次重大事故严重动摇其“AI安全”品牌定位。
• 公司年收入已达190亿美元，Claude Code年收入为25亿美元，此次事件暴露其未发布产品路线图中的44个功能开关。
• 黑客社区对代码进行深入分析，甚至尝试将其集成到其他AI系统中，进一步加剧技术流失风险。

事件后续与开发者反思

• 负责人Boris Cherny承认此次事故是由于“本应自动化的部署步骤却手动完成”。
• 团队正在全面审查并加强自动化部署流程，以防止类似事件再次发生。
• 然而，社区对Anthropic的“安全承诺”已产生广泛质疑。
• 这次事件也被讽刺为Anthropic送给开源社区的“愚人节大礼”。

随着代码的广泛传播与去中心化存储，Anthropic难以完全收回已泄露的知识产权。此次事件不仅揭示了其内部技术架构与安全缺陷，也凸显了供应链攻击的新威胁。