一条Claude Code 源代码的社会性死亡

出品｜虎嗅科技组

作者｜余杨

编辑｜苗正卿

头图｜视觉中国

3月31日消息， Claude Code 源代码发生泄露。

这个 59.8 MB 的 JavaScript 源映射文件，原本应用于内部调试，却被无意中包含在今天早上早些时候推送到公共 npm 注册表的软件包版本 2.1.88 中。

美国东部时间凌晨 4 点 23 分， Solayer Labs 的实习生在 X上分享了这一发现。这条包含着直接下载链接的帖子迅速传播开来，短短几个小时，约 51.2 万行的 TypeScript 代码库就被镜像到 GitHub 上，并被成千上万的开发者分析。

Anthropic公司通过发言人向VentureBeat发送的电子邮件声明证实了泄密事件，声明内容如下：

“今天早些时候，Claude Code 的一个版本中包含了一些内部源代码。没有涉及或泄露任何敏感的客户数据或凭证。这是人为错误导致的版本打包问题，并非安全漏洞。我们正在采取措施防止此类事件再次发生。”

对目前正处于高速发展期的Anthropic公司而言，此次泄露事件不仅仅是一次安全漏洞，更是一次战略性的知识产权流失。泄露事件为竞争对手提供了一个构建高自主性、可靠且具有商业可行性的 AI 代理的实际蓝图。从商业角度看，这次泄露的时机十分关键。

近一年来, Claude 产品的商业化速度非常之快，市场数据显示，仅 Claude Code 就实现了25 亿美元的年度经常性收入 (ARR)，并且这个数字自年初以来已经翻了一番多。截至2026年3月，公司的年化营收预计将达到190亿美元。

与此同时，源代码所暴露的Anthropic技术逻辑引发了热议。

一个具有怀疑精神的记忆系统

对竞争对手来说，最重要的启示在于 Anthropic 一定程度上解决了“上下文熵”的问题。AI 技术一直面临着一个难题，随着会话的长时间运行，会话内容也变得越来越复杂，AI Agent 很容易变得困惑或产生幻觉。

泄露的源代码揭示了一种复杂的三层内存架构，这种架构摒弃了传统的“存储一切”的检索方式，采用了“自愈内存”系统。

其核心是一个轻量级的指针索引，MEMORY.md。它每行约 150 个字符，会持续加载到上下文中。它的思路是不存储数据，而是存储位置信息。

也就是说，实际的项目知识分布在按需获取的“主题文件”中，这样一来，原始转录文本永远不会被完全读回上下文，而只是被“grep”查找特定的标识符。

这种“严格的写入规则”可以防止模型用失败的尝试污染其上下文，因为Agent只有在成功写入文件后才能更新索引。

可以理解为，Anthropic构建了一个具有怀疑精神的记忆系统。这条无意中泄露的代码证实，Anthropic 的智能体被指示将自身的记忆视为“提示”，原理上要求模型在继续执行之前，必须先根据实际代码库验证事实，从而保证了索引的有效性。

“ KAIROS ”：一种自主守护进程模式

此次泄露还揭开了“ KAIROS ”的神秘面纱，这个源自古希腊语、意为“在恰当的时机”的功能标志在源代码中被提及超过150次。

目前的 AI 工具大多是被动的，但 KAIROS 允许 Claude Code 作为始终在线的后台代理运行。它处理后台会话并采用名为“autoDream”的模式。

在这种模式下，智能体会在用户空闲时执行“记忆整合”。其“autoDream”逻辑会将分散的观察结果合并，消除逻辑矛盾，并将模糊的洞察转化为绝对的事实。这种后台维护确保当用户返回时，代理的上下文是干净且高度相关的。

通过实现一个分叉的子代理来运行这些任务，可以防止主代理的“思路”被其自身的维护例程所破坏，这是一种成熟的工程方法。

KAIROS自主守护进程模式代表着用户体验的根本性转变：它实现了Agent的自我反省和“push”。

探索中的内部模型和性能

当然，源代码也暴露了自身的技术难题，让人洞悉 Anthropic 的内部模型路线图的同时，也看到前沿开发所面临的挑战。

泄露的信息显示，Anthropic公司已经在对Capybara v8进行迭代开发，但该模型仍然面临诸多挑战。代码显示，v8版本的虚假申报率高达29-30%，相比v4版本的16.7%，实际上出现了倒退。

开发人员还注意到，为了防止模型在重构过程中变得过于激进，Anthropic 设计了一种“断言平衡机制”。

对竞争对手而言，这些指标都非常有价值；它们为当前代理性能的“上限”提供了基准，并突出了 Anthropic 仍在努力解决的具体弱点，比如过度评论、虚假声明等等。

除此之外，目前讨论最多的技术细节是“隐蔽模式”。它揭示了 Anthropic 使用 Claude Code 对公共开源代码库进行“隐蔽”贡献。

泄露文件中有一条系统提示，它警告模型：“您正在执行秘密任务……您的提交信息……不得包含任何 Anthropic 内部信息。不要暴露您的身份。” 

简单来说，这种模式为希望在不披露的情况下使用 AI 代理进行面向公众的工作的组织提供了一个技术框架。其工作逻辑确保不会有任何模型名称或 AI 归属信息泄露到公共 git 日志中。那么，在 AI 辅助开发中，就可以实现企业客户的匿名性，这对重视隐私的企业格外重要。

Anthropic 同时正在尝试将“个性”融入终端产品以提高用户粘性，网友发现，Chaos功能正在酝酿中，这是一个类似电子宠物的小精灵，它会“坐在你的输入框旁边，并对你的代码做出反应”。

对整个人工智能市场而言，Claude Code 源代码的泄露为智能体编排创造了“公平的竞争环境”。竞争对手现在可以研究 Anthropic 的 2500 多行 bash 验证逻辑及其分层内存结构，从而以极少的研发预算构建“类似 Claude”的代理。

下一代自主智能体的研发竞赛意外地获得了 Anthropic 25 亿美元的“天使投喂”。

Claude Code 用户如何止损

源代码泄露本身对 Anthropic 的知识产权造成了重大打击，同时也给用户带来了一定的安全风险。

Anthropic 源代码的泄露为不法分子提供了一份路线图，他们可以更加方便地绕过安全防护措施和权限提示的方法。由于Hooks 和 MCP 服务器的确切编排逻辑的泄露，攻击者现在可以设计专门针对“诱骗”Claude Code 运行后台命令或窃取数据而量身定制的恶意存储库。

最直接的危险是，在泄露事件发生前几个小时，npm 包还遭受了一次独立的供应链攻击。

也就是说，如果用户在 2026 年 3 月 31 日 凌晨 UTC 期间通过 npm 安装或更新了 Claude Code，那么很有可能也无意中引入了包含远程访问木马 (RAT) 的恶意 axios 版本（1.14.1 或 0.30.4）。为了补救，Anthropic 已将 Native Installer指定为推荐方法，使用独立的二进制文件，不依赖于不稳定的 npm 依赖链。

近期，在不熟悉的环境中使用 Claude Code 时，用户最好提高警惕，在手动检查所有自定义钩子之前，不要在刚刚克隆或不受信任的存储库中运行代理。

云端存储的数据虽然安全，但由于代理的内部防御机制已公开，本地环境的脆弱性有所增加，这都是未来使用中需要注意的。