一個中國00后，把AI巨頭Anthropic的底褲扒個精光

事情是這樣的。

2026年3月31號，一個叫Chaofan Shou的小伙子在X上發了條帖子，輕描淡寫地說自己從Claude Code的npm包里扒出來了51萬行源碼。

就這一條帖子，炸了。

全球科技圈，從硅谷到深圳，從Hacker News到V2EX，所有跟AI沾邊的人都在討論這件事。因為這個被扒出來的不是什么邊角料，是Anthropic旗下最核心的AI編程工具Claude Code的完整源代碼，一字不落。

而且扒出來之后，Chaofan的態度是，太沒意思了。

他說Claude的代碼亂七八糟的，遠不如看OpenCode和Codex有意思。

我當時看到這個態度就笑了。

這人不是什么普通的技術宅，這人是個狠角色。

Claude Code，你如果沒用過的話，我簡單說一下。它是Anthropic做的AI編程助手，用命令行操作的那種，很多開發者天天離不了它，可以說是目前市面上最好的AI寫代碼工具之一。你讓它幫你寫個函數、修個bug、重構個項目，它干得比大多數初級程序員還好。

所以這51萬行源碼的泄露，基本就等于Anthropic把自家的核心配方給公布到了大街上。

而干這事的人，是個中國00后。

Chaofan Shou，中文名壽超璠，今年25歲。

這哥們的人生履歷你聽完可能會有點懵。

上海人，小時候讀的是上海平和雙語學校。然后去了美國加州大學圣塔芭芭拉分校讀計算機，三年畢業，GPA 4.0滿分。接著去了加州大學伯克利分校讀博士，讀了兩三年，輟學了。

你沒看錯，UC Berkeley的CS博士，讀了兩年多，不讀了。

為啥呢，因為他發現了更重要的事。

在伯克利讀書期間，他順手做了點副業，挖安全漏洞。就是那種幫大公司找系統安全問題的白帽黑客，找到了公司給你錢的那種。

Twitter，他挖過。Google Chrome，他挖過。上海市政府的系統，他也挖過。

2020年到2022年，兩年多的時間，光靠挖漏洞拿到的賞金，累計大約190萬美元。

190萬美元。純靠一個人，一臺電腦，找漏洞。

很多朋友可能對漏洞賞金沒什么概念。這不是你提交一個bug就能拿錢的，你得找到別人找不到的、足夠嚴重的安全漏洞，而且是在Facebook、Twitter、Google這種全球最頂尖的安全團隊眼皮底下找到的。

能做到這個水平的白帽黑客，全世界也沒幾個。

但Chaofan的故事不止于此。

他后來創辦了一家叫Fuzzland的公司，做Web3安全，幫客戶追回了超過3000萬美元的被盜資產。這家公司后來被Solayer Labs收購了。他還去過Salesforce做安全工程師，也創過業做智能合約自動化測試工具。

你注意到沒有，這哥們從頭到尾就沒在一家公司老老實實上過班，全是搞自己的事，搞安全、搞區塊鏈、搞創業。

直到2026年3月31號，他做了一件讓整個AI行業都記住了他的名字的事。

那天，他發現Anthropic發布了一個新版本的Claude Code，版本號v2.1.88。

這個版本有個問題。

Anthropic用了他們收購的一家公司開發的打包工具叫Bun，這個工具在打包的時候犯了個低級錯誤，把一個大約60MB的source map文件一起打包發布到了npm上。

source map是什么東西呢，我簡單解釋一下。前端開發的時候，代碼經過壓縮和編譯之后會變得面目全非，變量名全變成了a、b、c，根本看不懂。source map就是一張「對照表」，能把壓縮后的代碼和原始代碼一一對應起來。

Anthropic不小心把這個對照表給放出去了。

60MB的對照表里，包含了Claude Code近2000個源碼文件、超過51萬行TypeScript代碼。

完整的。一字不落的。

任何人都可以從npm上下載這個包，然后通過source map還原出全部源代碼。

Chaofan看到了，覺得這事兒挺有意思的，就在X上發了條帖子。

然后，全球的AI安全研究員、開發者、好奇寶寶們，全部涌入npm下載這個包。

緊接著，有人把還原出來的源代碼傳到了GitHub上，好幾個倉庫的Star數在幾小時內就沖到了幾萬。

Anthropic慌了。

他們趕緊發了一個官方聲明，確認泄露屬實。然后火速發布了一個新版本v2.1.90，刪掉了source map文件。

但源代碼已經傳遍全網了，刪npm包根本沒用。

所以Anthropic做了一個后來被證明更加愚蠢的決定。

他們啟動了DMCA投訴，向GitHub發起了大規模的下架請求。

DMCA，數字千年版權法，是美國用來保護知識產權的。簡單說就是，你覺得有人侵犯了你的版權，可以向平臺投訴，平臺會把內容下架。

聽起來很正常對吧。

但Anthropic的操作是，用自動化腳本批量投訴，只要檢測到倉庫里有關鍵詞匹配就直接投訴。

結果呢。

8100個GitHub倉庫被波及。

8100個。

其中絕大多數根本不是泄露代碼的鏡像，而是普通開發者的合法項目。有些是基于Claude Code官方API做的開源工具，有些甚至只是Anthropic自己公開倉庫的合法fork。

一個做AI編程工具的公司，用自動化腳本把自己用戶的項目給刪了。

這種操作，你敢信？？？

開發者們在Twitter上炸了鍋，憤怒到不行。很多人打開GitHub發現自己的項目直接404了，連個預警都沒有。有些人在上面做了幾個月的項目，一夜之間就沒了。

Anthropic后來不得不承認這是個「意外」，撤回了大部分DMCA通知，只保留了最初那個泄露倉庫和它的96個直接fork。

Claude Code的負責人Boris Cherny出來回應說，這個誤刪是因為通知指定的倉庫是他們自己公開倉庫的分支網絡的一部分，所以影響范圍超出了預期。

但說實話，這個解釋我聽完就覺得有點蒼白。

你在做AI編程工具，你自己的維權工具卻智障到連目標倉庫都選不準，這就很諷刺了。

而且這事發生在一家據說正在籌備IPO的公司身上。這種級別的合規失誤，在上市公司里是要吃官司的。

不過這都不是最精彩的部分。

最精彩的是源代碼泄露之后，大家扒出來的那些Anthropic藏起來的秘密功能。

第一個，叫Kairos。

這是一個后臺守護進程，就算你把Claude Code的終端窗口關了，它也能在后臺持續運行。它有一個周期性的心跳檢查機制，會自己判斷有沒有新操作需要執行。還有一個叫AutoDream的記憶系統，在你不用的時候，它會「做夢」，對當天的對話記錄進行反思，提取有價值的信息，整理成持久記憶，為下一次會話做準備。

你品品這個設計。Claude Code不光在幫你寫代碼的時候在「思考」，你不在的時候它也在「思考」，在整理關于你的記憶。

這玩意有個專門的名字叫PROACTIVE標志，意思就是它可以主動給你推送「你沒問但它覺得你應該看看」的內容。

第二個，叫Undercover Mode。

臥底模式。

這個功能的設定是，允許Anthropic的員工或者Claude Code這個AI，在開源社區里提交代碼的時候，隱藏自己是AI的身份。不準在提交里提到Claude Code，不準使用「Co-Authored-By: AI」這種標簽，不準暴露任何跟Anthropic相關的信息。

我就不說是誰了，但開源社區對這種事的容忍度是零。

你想想看，你在GitHub上一個開源項目里認真做代碼review，對面有個看起來跟你一樣的人類開發者，但其實是AI在模擬人類提交代碼，而且還不告訴你。

這種事一旦坐實，整個開源社區的信任體系都會動搖。

第三個叫Buddy。

是個虛擬寵物小助手，類似微軟Office里那個經典的回形針Clippy，但用ASCII藝術做的小動物形象，有18種不同的造型，戴個小帽子，在你寫代碼的時候偶爾蹦出來冒個泡。

這個倒沒什么爭議，就是挺可愛的。

除了這些，代碼里還暴露了一個讓開發者集體暴怒的bug。

Claude Code在恢復會話的時候，會錯誤地出現「緩存未命中」。聽起來是個技術細節對吧，但這個bug的后果很嚴重。

緩存命中和全量推理之間的Token價格差10倍。

10倍。

也就是說，你本來可以用1塊錢解決的問題，因為這個bug變成了10塊錢。你充了100塊想著能用10天的額度，可能1天就燒完了。

更關鍵的是，開發者回溯之后發現，這個bug從v2.1.69版本就已經存在了。直到源碼泄露被公開指出來之后，Anthropic才在v2.1.90版本里修了。

更耐人尋味的是，有人發現Claude Code會在系統提示詞的隱藏塊里插入一個x-anthropic-billing-header字符串，這個字符串會讓每一個新對話的系統提示詞前綴都變得不一樣。

不一樣就代表緩存永遠命中不了。

這是不是故意的，我不知道。但很多開發者看完之后都在問同一個問題。

所以你看，這一串事情連起來就很有意思了。

一個25歲的中國小伙子，因為對Anthropic早有不滿，去年就公開指責他們借著安全審查的幌子竊取用戶代碼，然后今年3月底偶然發現了Claude Code的源碼泄露，一發帖子就引爆了全球。

然后Anthropic在慌亂中用自動化腳本亂刪了一堆合法倉庫，引發了更大的信任危機。

然后大家在源碼里發現了臥底模式、發現了Token計費的疑點、發現了Anthropic一直在藏著的未來計劃。

如果Chaofan去年沒有公開懟Anthropic，今年他又偶然發現了源碼泄露，但只是默默報告給了Anthropic，你覺得會發生什么。

Anthropic會悄悄發布一個新版修復，然后感謝他的報告，給他發一封郵件，也許給他一筆漏洞賞金。

51萬行源碼的秘密功能，Undercover模式，Kairos守護進程，Token計費的bug，這些全部會被永遠埋在Anthropic的內部。

沒有一個人會知道。

但是Chaofan不是那種人會做的事。

他去年就在公開場合指責Anthropic竊取用戶代碼，說明他早就對這家公司「有話說」了。今年發現源碼泄露，他選擇公開，而不是私下報告。

我個人覺得，這兩種選擇各有各的道理。私下報告是白帽黑客的傳統做法，公開披露則是想讓所有人都知道發生了什么。

不管你支持哪種做法，有一點是確定的。

Chaofan Shou這個人，用一種最直接的方式，給了AI行業一記響亮的耳光。

他在告訴我們，這些市值幾百億美元的AI公司，他們的安全措施可能還不如一個25歲的中國小伙子的檢查仔細。他們口口聲聲說要保護用戶數據、要推動AI安全，結果自己的源碼因為打包工具的低級錯誤就泄露了，事后還用自動化腳本誤刪了8100個無辜開發者的倉庫。

而Anthropic，一家被廣泛認為是對AI安全最「認真」的公司，在這次事件中暴露出來的問題，遠不止源碼泄露本身。

從安全審查功能被指竊取用戶代碼，到Undercover臥底模式，到Token計費的疑點，到DMCA維權的無差別轟炸。

這一連串的事情，讓我想起一句話。

黑暗森林里，你以為你是獵人，其實你一直是獵物。

只不過這次，獵物自己把自己暴露了。