文章总结： 2026年3月31日，Anthropic因打包配置失误，在npm公共仓库中意外泄露了其旗舰产品ClaudeCode的59.8MBsourcemap文件，导致51.2万行TypeScript源代码被公开。泄露代码揭示了包括Kairos持久守护进程、Ultraplan远程规划、电子宠物系统及员工专用的卧底模式等未公开功能。此次事件虽非安全入侵，但暴露了其工程运维的系统性薄弱，为竞争对手提供了核心架构蓝图，并可能被用于安全漏洞研究，对估值3500亿美元的Anthropic构成重大声誉与竞争优势冲击。 综合评分： 78 文章分类： 数据泄露,安全建设,解决方案,应用安全,供应链安全

一个60MB的.map文件，让Anthropic的51万行代码裸奔了

CyberOk

2026年4月1日 09:25 北京

2026年3月31日，硅谷炸了。

不是因为什么新模型的发布，也不是因为哪家巨头又融了多少钱。而是一个59.8MB的文件——它让Anthropic的旗舰产品Claude Code，整整51.2万行TypeScript代码，就这么摊在了公共互联网上。

开发者们奔走相告：快去下载！

短短几个小时，GitHub上的备份仓库星标冲破5000，Hacker News和Reddit同时冲上热榜。有人调侃说：“Claude觉醒了，决定开源自己。”

这大概是AI行业最戏剧性的一次“开源”——不是发布会上的战略决策，而是一个构建流水线的配置失误。

一个.map文件引发的惨案

事情得从npm注册表说起。

3月31日，安全研究者Chaofan Shou在npm上发现了@anthropic-ai/claude-code的一个版本包。版本号2.1.88，看起来平平无奇。但包里藏着一个60MB的cli.js.map文件。

Source map是什么？简单说，它是开发者用来调试的工具——能把生产环境里压缩混淆过的代码，映射回可读的原始TypeScript源码。这本该是内部用的东西，却跟着正式包一起上传到了公共仓库。

结果就是：任何人下载这个map文件，就能还原出完整的源代码库。1900多个文件，51.2万行代码，全部裸奔。

这不是黑客攻击，不是数据库泄露，就是一个低级到令人难以置信的打包配置错误。Anthropic事后回应称，“这是人为失误导致的发布打包问题，并非安全入侵事件”。

但问题是，这已经是Anthropic一周内第二次出事了。五天前，由于内容管理系统配置错误，约3000份未发布的内部资产被公开访问，包括尚未发布的Claude Mythos模型草案。

藏不住的秘密：Kairos、电子宠物和“卧底模式”

代码泄露后，开发者们像拆盲盒一样开始分析这份“意外开源”的礼物。

结果发现，Claude Code远不止是一个套在大模型API外面的命令行壳子。

它的核心架构相当复杂：工具系统包含约40个独立模块，涵盖文件读写、Bash命令执行、LSP协议集成等能力；QueryEngine.ts一个文件就长达4.6万行，负责处理所有与大模型的API交互、推理逻辑和Token计数。

但真正让全网沸腾的，是那些从未公开过的隐藏功能。

Kairos模式——一个具备“持久生命”的自主守护进程。它可以在后台持续运行，支持会话保持和记忆整合。你睡觉的时候，它还在默默理解你的项目，整理思路。代码中还有一个叫“autoDream”的逻辑，当用户空闲时，它会自动进行“记忆整合”，把零散的观察变成确定的结论。

ULTRAPLAN模式则更为激进。它可以把复杂的规划任务卸载到远程云容器中，由Opus 4.6模型用最长30分钟进行思考。用户可以在浏览器中审批结果，然后“传送”回本地终端。

还有一个叫Buddy System的东西——代码里竟然嵌入了一套完整的电子宠物系统！18个物种、稀有度等级、闪光变体（概率1%），还有DEBUGGING、PATIENCE、CHAOS等属性。工程师们显然在工作之余，给自己塞了一套“拓麻歌子”。

最讽刺的当属Undercover Mode（卧底模式）。这个功能专为Anthropic员工设计：当他们在公共代码仓库操作时，系统会自动激活，强行抹除提交记录中的所有AI痕迹，且无法手动关闭。

一个专门用于防止内部信息泄露的系统，最终没能防住整个源码库的裸奔。评论区有人调侃：“这算不算AI公司的大型社死现场？”

对手的“免费蓝图”与Anthropic的安全困境

这次泄露虽然不涉及模型权重和用户数据，但影响远不止是让网友看个热闹。

对竞争对手来说，这是一份价值数十亿美元的免费蓝图。

Claude Code是Anthropic增长最快的产品之一，截至2026年2月，其年化营收已飙升至25亿美元以上。它的成功吸引了OpenAI、谷歌、xAI等公司纷纷投入同类产品的研发。而现在，对手们可以直接看到Anthropic是如何解决“AI代理”工程化问题的——从工具调用逻辑到权限管理，从多智能体协调到后台守护进程设计。

对安全研究者来说，这是一个研究AI系统漏洞的入口。泄露的代码暴露了内部安全逻辑，可能揭示SSRF等攻击向量。恶意行为者现在有了一张“地图”，可以研究如何绕过Claude Code的防护机制。

对Anthropic自身来说，这是工程运维管理的系统性薄弱。一家估值3500亿美元、正在讨论2026年四季度IPO的AI公司，在基础的工程发布流程和内容管理系统中反复出现低级配置错误，这与其行业地位严重不匹配。

一位AI工程师评论说：“这次泄露的是半编译过的Claude Code源码，不是模型本身，所以冲击有限。真正有价值的信息是其中可能包含的系统提示词和内部架构逻辑。”

但问题在于：当你的“底层逻辑”成了公共知识，差异化优势还剩多少？

“开源”之后的涟漪

这次事件还有一个值得玩味的背景——就在几天前，Anthropic刚刚发布了Claude Mythos模型草案的相关信息。有人在X上调侃：“比OpenAI更开放”这句玩笑话，Anthropic用最尴尬的方式实现了。

开发者社区已经开始基于泄露代码探索fork版本，并尝试与其他代理框架结合。GitHub上的备份仓库被不断克隆和传播，Anthropic虽然已经移除了npm包中的map文件，但覆水难收。

对于普通用户，这次事件也敲响了警钟。有安全专家指出，在泄露发生前的几个小时，npm上还出现了一起针对axios包的供应链攻击。如果在那段时间安装或更新了Claude Code，可能会拉取到包含远程访问木马的恶意依赖版本。

Anthropic建议用户迁移到官方原生安装方式，避免继续依赖npm这条“脆弱”的供应链。

结语

这不是一次黑客攻击，甚至不是一次复杂的漏洞利用。它只是一个构建流水线的低级错误，但它偶然地完成了一件AI行业从未有过的事——让一款头部闭源AI产品的完整工程实现，以非经授权的方式暴露在所有人面前。

51万行代码、40多个工具模块、数项尚未发布的核心功能，因为一个60MB的.map文件，全部摊在了阳光下。

而对于Anthropic来说，最大的讽刺或许在于：那个专门用来防止内部信息泄露的“Undercover Mode”，最终还是没能帮它守住秘密。

作者提示：部分素材来自网络媒体及AI搜索

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CyberOk 《一个60MB的.map文件，让Anthropic的51万行代码裸奔了》