Claude Code 被开源事件持续发酵，黑客钓鱼传播窃密软件

泄露事件背景与细节

Anthropic公司旗下AI编程工具Claude Code在2026年3月31日发布2.1.88版本时，由于人为失误将source map文件（.map）错误打包进npm包中，导致超过51.2万行的TypeScript源码被公开。该source map文件包含指向内部Cloudflare存储空间的链接，允许开发者直接下载完整代码。

• 事件起因：
  • npm包中误包含用于调试的source map文件
  • 文件指向内部存储，允许下载原始代码zip包
• 传播速度惊人：
  • 数小时内GitHub上出现星标破万、备份超2万次
  • 韩国开发者Sigrid Jin在两小时内完成“clean-room”重写并上线claw-code项目

黑客钓鱼与恶意软件传播

随着源码泄露的扩散，安全研究人员发现部分黑客利用此次事件进行供应链攻击。特别是在UTC时间3月31日00:21–03:29期间，一些开发者可能通过npm安装或更新Claude Code时，无意中拉取了含远程访问木马（RAT）的恶意axios版本（1.14.1或0.30.4）。

• 受影响的依赖：
  • package-lock.json中出现plain-crypto-js依赖项
• 建议的安全措施：
  • 检查本地依赖树中是否存在可疑版本
  • 改用官方推荐的“原生安装方式”以避免npm供应链污染

源码泄露的技术与产品影响

泄露的代码不仅暴露了Claude Code的前端架构，还揭示了其多项未发布功能与系统设计细节：

• 系统架构亮点：
  • 三层记忆架构（工作记忆、长期记忆、结构化知识）
  • KAIROS：后台自动整理记忆、消除矛盾的“常驻助理”
  • 多智能体协调系统（multi-agent swarms）
  • JWT桥接器实现本地IDE与云端代理的安全连接

• 未发布功能曝光：
  • BUDDY系统：结合用户ID生成唯一AI宠物，支持“抽卡”与属性生成
  • 环境变量如USER_TYPE=ant可解锁内部功能
  • 35个编译时功能标志与120+未公开环境变量

这些技术细节的泄露为竞争对手提供了产品路线图，也使开发者能够研究和复现Anthropic在AI代理领域的核心设计思路。

公司安全声誉受损与反复失误

这不是Anthropic第一次发生类似事件：

• 重复性失误：

  • 2025年2月曾发生source map泄露事件
  • 2024年12月泄露系统提示词
  • 2025年4月尝试使用DMCA封杀逆向工程项目
  • 2026年3月26日CMS配置错误导致Claude Mythos信息泄露

• 应对措施与反思：

  • 负责人鲍里斯·切尔尼承认人为错误并承诺改进自动化流程
  • 推出“Undercover Mode”防止员工误泄露内部信息
  • 提交DMCA下架请求封杀GitHub上的8100个相关仓库

尽管公司迅速采取法律手段试图控制事态，但代码已通过去中心化平台Gitlawb实现“永不下架”，凸显了开源社区与法律机制之间的张力。

法律与合规风险提示

根据法律专家分析，此次泄露仅是代码“被还原”，并未构成合法授权公开：

• 潜在法律风险：
  • 复用、改写或集成泄露代码可能涉及著作权、商业秘密及不正当竞争
  • 若用于训练竞品AI或开发类似工具，可能违反用户协议与服务条款
• 合规建议：
  • 避免将泄露代码用于商业化产品或改写发布
  • 仅限研究或安全分析目的进行查看与研究
  • 注意GitHub等平台可能因版权方投诉再次清理衍生项目

此次事件对中小开发者而言是一次“抄作业”的机会，但法律边界仍需谨慎把握。