一條Claude Code 源代碼的社會性死亡

出品｜虎嗅科技組

作者｜余楊

編輯｜苗正卿

頭圖｜視覺中國

3月31日消息，Claude Code 源代碼發生泄露。

這個 59.8 MB 的 JavaScript 源映射文件，原本應用于內部調試，卻被無意中包含在今天早上早些時候推送到公共 npm 注冊表的軟件包版本 2.1.88 中。

美國東部時間凌晨 4 點 23 分， Solayer Labs 的實習生在 X上分享了這一發現。這條包含著直接下載鏈接的帖子迅速傳播開來，短短幾個小時，約 51.2 萬行的 TypeScript 代碼庫就被鏡像到 GitHub 上，并被成千上萬的開發者分析。

Anthropic公司通過發言人向VentureBeat發送的電子郵件聲明證實了泄密事件，聲明內容如下：

“今天早些時候，Claude Code 的一個版本中包含了一些內部源代碼。沒有涉及或泄露任何敏感的客戶數據或憑證。這是人為錯誤導致的版本打包問題，并非安全漏洞。我們正在采取措施防止此類事件再次發生。”

對目前正處于高速發展期的Anthropic公司而言，此次泄露事件不僅僅是一次安全漏洞，更是一次戰略性的知識產權流失。泄露事件為競爭對手提供了一個構建高自主性、可靠且具有商業可行性的 AI 代理的實際藍圖。從商業角度看，這次泄露的時機十分關鍵。

近一年來, Claude 產品的商業化速度非常之快，市場數據顯示，僅 Claude Code 就實現了25 億美元的年度經常性收入 (ARR)，并且這個數字自年初以來已經翻了一番多。截至2026年3月，公司的年化營收預計將達到190億美元。

與此同時，源代碼所暴露的Anthropic技術邏輯引發了熱議。

一個具有懷疑精神的記憶系統

對競爭對手來說，最重要的啟示在于 Anthropic 一定程度上解決了“上下文熵”的問題。AI 技術一直面臨著一個難題，隨著會話的長時間運行，會話內容也變得越來越復雜，AI Agent 很容易變得困惑或產生幻覺。

泄露的源代碼揭示了一種復雜的三層內存架構，這種架構摒棄了傳統的“存儲一切”的檢索方式，采用了“自愈內存”系統。

其核心是一個輕量級的指針索引，MEMORY.md。它每行約 150 個字符，會持續加載到上下文中。它的思路是不存儲數據，而是存儲位置信息。

也就是說，實際的項目知識分布在按需獲取的“主題文件”中，這樣一來，原始轉錄文本永遠不會被完全讀回上下文，而只是被“grep”查找特定的標識符。

這種“嚴格的寫入規則”可以防止模型用失敗的嘗試污染其上下文，因為Agent只有在成功寫入文件后才能更新索引。

可以理解為，Anthropic構建了一個具有懷疑精神的記憶系統。這條無意中泄露的代碼證實，Anthropic 的智能體被指示將自身的記憶視為“提示”，原理上要求模型在繼續執行之前，必須先根據實際代碼庫驗證事實，從而保證了索引的有效性。

“ KAIROS ”：一種自主守護進程模式

此次泄露還揭開了“ KAIROS ”的神秘面紗，這個源自古希臘語、意為“在恰當的時機”的功能標志在源代碼中被提及超過150次。

目前的 AI 工具大多是被動的，但 KAIROS 允許 Claude Code 作為始終在線的后臺代理運行。它處理后臺會話并采用名為“autoDream”的模式。

在這種模式下，智能體會在用戶空閑時執行“記憶整合”。其“autoDream”邏輯會將分散的觀察結果合并，消除邏輯矛盾，并將模糊的洞察轉化為絕對的事實。這種后臺維護確保當用戶返回時，代理的上下文是干凈且高度相關的。

通過實現一個分叉的子代理來運行這些任務，可以防止主代理的“思路”被其自身的維護例程所破壞，這是一種成熟的工程方法。

KAIROS自主守護進程模式代表著用戶體驗的根本性轉變：它實現了Agent的自我反省和“push”。

探索中的內部模型和性能

當然，源代碼也暴露了自身的技術難題，讓人洞悉 Anthropic 的內部模型路線圖的同時，也看到前沿開發所面臨的挑戰。

泄露的信息顯示，Anthropic公司已經在對Capybara v8進行迭代開發，但該模型仍然面臨諸多挑戰。代碼顯示，v8版本的虛假申報率高達29-30%，相比v4版本的16.7%，實際上出現了倒退。

開發人員還注意到，為了防止模型在重構過程中變得過于激進，Anthropic 設計了一種“斷言平衡機制”。

對競爭對手而言，這些指標都非常有價值；它們為當前代理性能的“上限”提供了基準，并突出了 Anthropic 仍在努力解決的具體弱點，比如過度評論、虛假聲明等等。

除此之外，目前討論最多的技術細節是“隱蔽模式”。它揭示了 Anthropic 使用 Claude Code 對公共開源代碼庫進行“隱蔽”貢獻。

泄露文件中有一條系統提示，它警告模型：“您正在執行秘密任務……您的提交信息……不得包含任何 Anthropic 內部信息。不要暴露您的身份。”

簡單來說，這種模式為希望在不披露的情況下使用 AI 代理進行面向公眾的工作的組織提供了一個技術框架。其工作邏輯確保不會有任何模型名稱或 AI 歸屬信息泄露到公共 git 日志中。那么，在 AI 輔助開發中，就可以實現企業客戶的匿名性，這對重視隱私的企業格外重要。

Anthropic 同時正在嘗試將“個性”融入終端產品以提高用戶粘性，網友發現，Chaos功能正在醞釀中，這是一個類似電子寵物的小精靈，它會“坐在你的輸入框旁邊，并對你的代碼做出反應”。

對整個人工智能市場而言，Claude Code 源代碼的泄露為智能體編排創造了“公平的競爭環境”。競爭對手現在可以研究 Anthropic 的 2500 多行 bash 驗證邏輯及其分層內存結構，從而以極少的研發預算構建“類似 Claude”的代理。

下一代自主智能體的研發競賽意外地獲得了 Anthropic 25 億美元的“天使投喂”。

Claude Code 用戶如何止損

源代碼泄露本身對 Anthropic 的知識產權造成了重大打擊，同時也給用戶帶來了一定的安全風險。

Anthropic 源代碼的泄露為不法分子提供了一份路線圖，他們可以更加方便地繞過安全防護措施和權限提示的方法。由于Hooks 和 MCP 服務器的確切編排邏輯的泄露，攻擊者現在可以設計專門針對“誘騙”Claude Code 運行后臺命令或竊取數據而量身定制的惡意存儲庫。

最直接的危險是，在泄露事件發生前幾個小時，npm 包還遭受了一次獨立的供應鏈攻擊。

也就是說，如果用戶在 2026 年 3 月 31 日 凌晨 UTC 期間通過 npm 安裝或更新了 Claude Code，那么很有可能也無意中引入了包含遠程訪問木馬 (RAT) 的惡意 axios 版本（1.14.1 或 0.30.4）。為了補救，Anthropic 已將 Native Installer指定為推薦方法，使用獨立的二進制文件，不依賴于不穩定的 npm 依賴鏈。

近期，在不熟悉的環境中使用 Claude Code 時，用戶最好提高警惕，在手動檢查所有自定義鉤子之前，不要在剛剛克隆或不受信任的存儲庫中運行代理。

云端存儲的數據雖然安全，但由于代理的內部防御機制已公開，本地環境的脆弱性有所增加，這都是未來使用中需要注意的。

本內容由作者授權發布，觀點僅代表作者本人，不代表虎嗅立場。如對本稿件有異議或投訴，請聯系 tougao@huxiu.com。

本文來自虎嗅，原文鏈接：https://www.huxiu.com/article/4847344.html?f=wyxwapp