Claude Code源码首爆高危漏洞，偷拍毫无察觉，8100个库连夜封杀

背景

此次事件的起因可追溯到Anthropic公司发布的Claude Code CLI工具版本v2.1.88。在打包过程中，由于默认生成的Source Map调试文件未被禁用或排除，导致约51.2万行TypeScript源码暴露在公众面前。更令人震惊的是，这一错误并非首次出现，早在2025年2月，Claude Code就因相同的Source Map泄露问题而引发争议，Anthropic随后在同年4月采取了首次DMCA投诉行动。

此次泄露的核心问题在于，Bun打包工具生成的Source Map文件直接指向了Anthropic自有Cloudflare R2存储桶中的公开ZIP压缩包。任何人只需访问该链接，即可完整下载所有代码，而无需任何黑客手段。这一疏忽不仅暴露了现有功能，还揭示了多项尚未发布的功能细节。

泄露内容

此次泄露事件涉及约1900个源文件，共计51.2万行代码。其中不仅包含了Claude Code的核心逻辑，还首次揭露了KAIROS等关键技术模块：

• KAIROS：一个始终运行的后台守护进程，具备文件监控、事件记录功能，并在空闲时执行名为「做夢（Dreaming）」的记忆體整合流程
• ULTRAPLAN：云端深度规划模块，用于优化代码生成和任务调度
• COORDINATOR MODE：多Agent协调机制，允许多个AI系统协同工作

这些技术细节和功能开关（共44个）的泄露，相当于将Anthropic未来的产品路线图完整公开，为其竞争对手提供了难得的技术参考。尽管公司强调核心Claude模型未受影响，也未涉及用户数据、凭证或模型权重的外泄，但技术蓝图的公开已经大幅降低了仿制门槛。

社区反应与代码扩散

代码泄露后，开发者社区迅速作出反应，韩国开发者Sigrid Jin成为此次事件的焦点人物。他不仅第一时间存档了泄露的源码，还在数小时内用Python重写了一套功能类似系统，命名为claw-code，并推上GitHub。由于采用了“clean-room”（净室）重写策略，该仓库在法律上不构成侵权，因此无法被DMCA机制下架。

• claw-code项目：
  • 采用Python重写
  • 未直接复制任何TypeScript代码
  • 在GitHub上迅速获得超过3万Star

与此同时，代码也被镜像至去中心化Git平台Gitlawb，其公开声明“永远不会被下架”挑战了传统版权保护机制。尽管Anthropic通过DMCA下架了8100个GitHub仓库，但代码已通过多种方式广泛传播，包括存档、镜像和重写版本，彻底清除几乎不可能实现。

Anthropic的应对措施与安全隐患

在确认泄露后，Anthropic迅速向GitHub提交了DMCA投诉，要求下架所有涉及泄露代码的仓库。然而，由于代码传播速度极快，8100个仓库中约有8000个被误判为克隆或衍生项目。尽管如此，这种法律手段仍无法阻止代码的进一步扩散。

此外，泄露事件发生的同时，npm平台还遭遇了一次供应链攻击，涉及知名库axios。该攻击发生在UTC 00:21至03:29之间，与Claude Code泄露时间重合。Anthropic因此建议在此时间段内安装或更新Claude Code的开发者审查依赖项并轮换凭证，同时建议未来优先使用官方原生安装程序，以减少对npm的依赖。

公司内部负责人鲍里斯·切尔尼（Boris Cherny）随后在X上承认，此次事故源于一个本应自动化的部署步骤被手动完成，团队正在加强自动化流程以避免类似问题再次发生。然而，这已经是13个月内第二次发生相同类型的错误，开发者社区对Anthropic的技术管理能力提出了广泛质疑。

公司形象与安全承诺受质疑

就在此次事件发生前五天，Anthropic曾因模型规范文件意外公开而引发担忧。接连两次的安全失误，对一家以“AI安全”为核心品牌承诺的公司而言，无疑是沉重打击。更讽刺的是，Anthropic曾专门开发“Undercover Mode”系统来防止AI泄露内部机密，却因自身配置错误导致源码完全暴露。

此次泄露还揭示了Anthropic内部技术架构的多个未公开功能，包括三层记忆系统和多项AI编程增强机制。开发者社区对此反响热烈，将其视为学习和复现顶级AI工具的难得机会。而Anthropic的封杀行动虽然暂时限制了代码传播，却无法阻止代码在开源社区的持续发酵。

讽刺的是，这起事件发生在愚人节前夕，反而成为一场意外的“开源盛宴”。尽管Anthropic试图通过法律手段控制局势，但代码的扩散已超出了他们的掌控，也暴露了中心化平台与去中心化存储之间的制度性矛盾。