一條Claude Code 源代碼的社會性死亡

出品｜虎嗅科技組

作者｜余楊

編輯｜苗正卿

頭圖｜視覺中國

3月31日消息，Claude Code 源代碼發(fā)生泄露。

這個 59.8 MB 的 JavaScript 源映射文件，原本應(yīng)用于內(nèi)部調(diào)試，卻被無意中包含在今天早上早些時候推送到公共 npm 注冊表的軟件包版本 2.1.88 中。

美國東部時間凌晨 4 點 23 分， Solayer Labs 的實習(xí)生在 X上分享了這一發(fā)現(xiàn)。這條包含著直接下載鏈接的帖子迅速傳播開來，短短幾個小時，約 51.2 萬行的 TypeScript 代碼庫就被鏡像到 GitHub 上，并被成千上萬的開發(fā)者分析。

Anthropic公司通過發(fā)言人向VentureBeat發(fā)送的電子郵件聲明證實了泄密事件，聲明內(nèi)容如下：

“今天早些時候，Claude Code 的一個版本中包含了一些內(nèi)部源代碼。沒有涉及或泄露任何敏感的客戶數(shù)據(jù)或憑證。這是人為錯誤導(dǎo)致的版本打包問題，并非安全漏洞。我們正在采取措施防止此類事件再次發(fā)生。”

對目前正處于高速發(fā)展期的Anthropic公司而言，此次泄露事件不僅僅是一次安全漏洞，更是一次戰(zhàn)略性的知識產(chǎn)權(quán)流失。泄露事件為競爭對手提供了一個構(gòu)建高自主性、可靠且具有商業(yè)可行性的 AI 代理的實際藍圖。從商業(yè)角度看，這次泄露的時機十分關(guān)鍵。

近一年來, Claude 產(chǎn)品的商業(yè)化速度非常之快，市場數(shù)據(jù)顯示，僅 Claude Code 就實現(xiàn)了25 億美元的年度經(jīng)常性收入 (ARR)，并且這個數(shù)字自年初以來已經(jīng)翻了一番多。截至2026年3月，公司的年化營收預(yù)計將達到190億美元。

與此同時，源代碼所暴露的Anthropic技術(shù)邏輯引發(fā)了熱議。

一個具有懷疑精神的記憶系統(tǒng)

對競爭對手來說，最重要的啟示在于 Anthropic 一定程度上解決了“上下文熵”的問題。AI 技術(shù)一直面臨著一個難題，隨著會話的長時間運行，會話內(nèi)容也變得越來越復(fù)雜，AI Agent 很容易變得困惑或產(chǎn)生幻覺。

泄露的源代碼揭示了一種復(fù)雜的三層內(nèi)存架構(gòu)，這種架構(gòu)摒棄了傳統(tǒng)的“存儲一切”的檢索方式，采用了“自愈內(nèi)存”系統(tǒng)。

其核心是一個輕量級的指針索引，MEMORY.md。它每行約 150 個字符，會持續(xù)加載到上下文中。它的思路是不存儲數(shù)據(jù)，而是存儲位置信息。

也就是說，實際的項目知識分布在按需獲取的“主題文件”中，這樣一來，原始轉(zhuǎn)錄文本永遠不會被完全讀回上下文，而只是被“grep”查找特定的標識符。

這種“嚴格的寫入規(guī)則”可以防止模型用失敗的嘗試污染其上下文，因為Agent只有在成功寫入文件后才能更新索引。

可以理解為，Anthropic構(gòu)建了一個具有懷疑精神的記憶系統(tǒng)。這條無意中泄露的代碼證實，Anthropic 的智能體被指示將自身的記憶視為“提示”，原理上要求模型在繼續(xù)執(zhí)行之前，必須先根據(jù)實際代碼庫驗證事實，從而保證了索引的有效性。

“ KAIROS ”：一種自主守護進程模式

此次泄露還揭開了“ KAIROS ”的神秘面紗，這個源自古希臘語、意為“在恰當(dāng)?shù)臅r機”的功能標志在源代碼中被提及超過150次。

目前的 AI 工具大多是被動的，但 KAIROS 允許 Claude Code 作為始終在線的后臺代理運行。它處理后臺會話并采用名為“autoDream”的模式。

在這種模式下，智能體會在用戶空閑時執(zhí)行“記憶整合”。其“autoDream”邏輯會將分散的觀察結(jié)果合并，消除邏輯矛盾，并將模糊的洞察轉(zhuǎn)化為絕對的事實。這種后臺維護確保當(dāng)用戶返回時，代理的上下文是干凈且高度相關(guān)的。

通過實現(xiàn)一個分叉的子代理來運行這些任務(wù)，可以防止主代理的“思路”被其自身的維護例程所破壞，這是一種成熟的工程方法。

KAIROS自主守護進程模式代表著用戶體驗的根本性轉(zhuǎn)變：它實現(xiàn)了Agent的自我反省和“push”。

探索中的內(nèi)部模型和性能

當(dāng)然，源代碼也暴露了自身的技術(shù)難題，讓人洞悉 Anthropic 的內(nèi)部模型路線圖的同時，也看到前沿開發(fā)所面臨的挑戰(zhàn)。

泄露的信息顯示，Anthropic公司已經(jīng)在對Capybara v8進行迭代開發(fā)，但該模型仍然面臨諸多挑戰(zhàn)。代碼顯示，v8版本的虛假申報率高達29-30%，相比v4版本的16.7%，實際上出現(xiàn)了倒退。

開發(fā)人員還注意到，為了防止模型在重構(gòu)過程中變得過于激進，Anthropic 設(shè)計了一種“斷言平衡機制”。

對競爭對手而言，這些指標都非常有價值；它們?yōu)楫?dāng)前代理性能的“上限”提供了基準，并突出了 Anthropic 仍在努力解決的具體弱點，比如過度評論、虛假聲明等等。

除此之外，目前討論最多的技術(shù)細節(jié)是“隱蔽模式”。它揭示了 Anthropic 使用 Claude Code 對公共開源代碼庫進行“隱蔽”貢獻。

泄露文件中有一條系統(tǒng)提示，它警告模型：“您正在執(zhí)行秘密任務(wù)……您的提交信息……不得包含任何 Anthropic 內(nèi)部信息。不要暴露您的身份。”

簡單來說，這種模式為希望在不披露的情況下使用 AI 代理進行面向公眾的工作的組織提供了一個技術(shù)框架。其工作邏輯確保不會有任何模型名稱或 AI 歸屬信息泄露到公共 git 日志中。那么，在 AI 輔助開發(fā)中，就可以實現(xiàn)企業(yè)客戶的匿名性，這對重視隱私的企業(yè)格外重要。

Anthropic 同時正在嘗試將“個性”融入終端產(chǎn)品以提高用戶粘性，網(wǎng)友發(fā)現(xiàn)，Chaos功能正在醞釀中，這是一個類似電子寵物的小精靈，它會“坐在你的輸入框旁邊，并對你的代碼做出反應(yīng)”。

對整個人工智能市場而言，Claude Code 源代碼的泄露為智能體編排創(chuàng)造了“公平的競爭環(huán)境”。競爭對手現(xiàn)在可以研究 Anthropic 的 2500 多行 bash 驗證邏輯及其分層內(nèi)存結(jié)構(gòu)，從而以極少的研發(fā)預(yù)算構(gòu)建“類似 Claude”的代理。

下一代自主智能體的研發(fā)競賽意外地獲得了 Anthropic 25 億美元的“天使投喂”。

Claude Code 用戶如何止損

源代碼泄露本身對 Anthropic 的知識產(chǎn)權(quán)造成了重大打擊，同時也給用戶帶來了一定的安全風(fēng)險。

Anthropic 源代碼的泄露為不法分子提供了一份路線圖，他們可以更加方便地繞過安全防護措施和權(quán)限提示的方法。由于Hooks 和 MCP 服務(wù)器的確切編排邏輯的泄露，攻擊者現(xiàn)在可以設(shè)計專門針對“誘騙”Claude Code 運行后臺命令或竊取數(shù)據(jù)而量身定制的惡意存儲庫。

最直接的危險是，在泄露事件發(fā)生前幾個小時，npm 包還遭受了一次獨立的供應(yīng)鏈攻擊。

也就是說，如果用戶在 2026 年 3 月 31 日 凌晨 UTC 期間通過 npm 安裝或更新了 Claude Code，那么很有可能也無意中引入了包含遠程訪問木馬 (RAT) 的惡意 axios 版本（1.14.1 或 0.30.4）。為了補救，Anthropic 已將 Native Installer指定為推薦方法，使用獨立的二進制文件，不依賴于不穩(wěn)定的 npm 依賴鏈。

近期，在不熟悉的環(huán)境中使用 Claude Code 時，用戶最好提高警惕，在手動檢查所有自定義鉤子之前，不要在剛剛克隆或不受信任的存儲庫中運行代理。

云端存儲的數(shù)據(jù)雖然安全，但由于代理的內(nèi)部防御機制已公開，本地環(huán)境的脆弱性有所增加，這都是未來使用中需要注意的。

本內(nèi)容由作者授權(quán)發(fā)布，觀點僅代表作者本人，不代表虎嗅立場。如對本稿件有異議或投訴，請聯(lián)系 tougao@huxiu.com。

本文來自虎嗅，原文鏈接：https://www.huxiu.com/article/4847344.html?f=wyxwapp