2026年3月31日，Anthropic碰上了一个不大不小的尴尬。

它们的AI编程工具Claude Code在发布npm包时，不小心把一个57MB的cli.js.map源映射文件打进了发布包里。这个看似微不足道的操作失误，导致了51.2万行TypeScript源代码、1906个源文件彻底公开——包括40多个内置工具模块（约4万行）、查询引擎（约4.6万行），以及不少未官宣的隐蔽功能。

更讽刺的是，这件事发生在OpenAI刚完成1220亿美元融资、估值冲到8520亿美元的同一天。两条新闻交织在一起，暴露了AI大模型时代的一个根本性矛盾：技术越来越强，安全防线却越来越脆弱。

而最让人无语的是——这已经是Anthropic第二次犯同样的错误了。

---

历史重演：同样的坑，踩两次

如果你关注AI圈的早报，可能还记得2025年初的那次。

Claude Code最初作为”研究预览版”发布时（当时还是v0.2.8），用的就是开发环境的webpack配置打包，导致cli.mjs文件膨胀到22MB——里面塞了完整的inline-source-map。社区发现后光速提取了源码，GitHub用户dnakov直接把反解后的代码托管到了GitHub上。

Anthropic当时反应很快：删npm包、发v0.2.9修复版、对GitHub仓库提DMCA下架通知（最终清了438个fork分支）。这波操作干脆利落，当时大家也觉得——一次工程失误嘛，谁还没打过滑呢。

结果一年后，同样的剧本再来一遍。

这次是v2.1.88版本。虽然泄露方式略有不同——上次是inline-source-map内嵌，这次是cli.js.map作为独立文件被打包进去（疑似.npmignore配置失误）——但本质完全一样：调试文件混进了生产发布包。

两次犯错，间隔一年，同一个产品，同一种低级失误。这已经不是”疏忽”能解释的了。

---

泄露的代码到底有什么

这次泄露的规模比上次大得多。安全研究员Chaofan Shou最早在X平台披露此事，随后代码被大量传播。

根据社区分析，泄露的源码主要涵盖：

• 插件系统（约4万行）——Claude Code的扩展能力核心
• 查询引擎（约4.6万行）——自然语言指令的解析与路由
• 内存管理架构——包括背景内存重写验证机制
• 40多个内置工具模块——文件编辑、Git操作、代码搜索等
• 未发布功能——包括”卧底模式”等隐蔽特性

好消息是，模型权重、核心训练数据和用户隐私数据并未泄露——源码归源码，模型归模型，两者物理隔离。所以这件事的严重性主要在商业机密层面，不在用户数据层面。

但真正让开发者社区炸锅的，不是代码量，而是代码里暴露的三大隐私机制。

---

三大隐私机制曝光：效率和隐私的三角博弈

1. 高频数据上报：每5秒一次，覆盖640种事件

泄露代码显示，Claude Code每5秒就向Anthropic服务器发送一个数据包。这不是简单的”心跳信号”，而是640多种事件和40多个维度的设备信息的汇总——包括：

• 内存占用率、Shell类型、OS版本、CPU架构
• 终端窗口尺寸、进程树结构
• 用户在代码编辑器里输入的关键词（可能包含表达不满的词汇）

用户虽然可以通过环境变量CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC来屏蔽”次要事件”，但核心设备指纹收集仍然持续运行。这意味着Anthropic理论上可以跨会话唯一识别每个开发者，甚至通过命令中的关键词进行行为画像。

这与GDPR、CCPA等隐私法规存在明显的张力。

2. 远程操控机制：服务器可以强制中断你的工作

Claude Code代码中明确存在通过WebSocket或长轮询通道的远程操控能力。Anthropic服务器可以向客户端下发指令，比如强制退出会话、重置Agent状态。

这项功能的初衷是好的——防止API滥用、恶意代码执行或违规操作。但问题是：用户对此毫不知情，也没有明确的授权或通知机制。一旦Anthropic判定你的行为”异常”，它可以直接打断你的工作流。

传统软件（比如VS Code插件）需要明确获得用户授权才能做这样的干预。但Claude Code的设计更接近云服务架构——你运行的不是本地程序，而是Anthropic云服务的”代理”。

3. AI身份隐藏（卧底模式）：在开源项目里冒充人类

这是最有意思的一个机制——代码中有一个明确的“Undercover Mode”（卧底模式）。

启用它的话，Claude Code会自动：

• 生成”人类风格”的Git commit消息
• 避免提及内部代号（如Capybara、Tengu等Anthropic内部项目名）
• 删除工具使用痕迹

换句话说，当Anthropic员工用Claude Code在公开项目里贡献代码时，外人看不出这是AI辅助的成果。

这种做法直接挑战了开源社区基于”人类开发者”假设的透明度与信任机制。结合另一项”反蒸馏”机制（注入干扰文本防止别人的AI模型用这些代码训练），你能感觉到Anthropic在知识流动问题上的焦虑。

---

对开发者的实际影响：效率vs.隐私的新常态

这次泄露虽然是个”人为失误”，但反映的是AI工具设计的一个根本困境。

对于使用者： 如果你想用Claude Code提升编程效率，就得接受它每5秒上报一次你的设备信息这个现实。如果它判定你有风险行为，它可以直接关掉你的工作流。这是新一代”Agentic AI工具”的标配——不同于传统本地软件的所有权，你更像是在租用一个云服务的权限。

对于开源社区： AI开发者贡献的代码可能来自”卧底”——这会挑战我们对开源贡献者身份的理解。

对于企业： 泄露代码成了对手的”免费教材”。Anthropic的整套五层架构（入口层→查询引擎→工具系统→服务层→状态管理层）现在是透明的，竞对可以直接参考这个设计。

对于Anthropic自己： 最大的损失不是代码本身，而是信任。源码泄露是一方面，同一类错误犯两次，说明内部的安全审计和发布流程有系统性缺陷。估值3800亿美元的公司，连个.npmignore都管不好，这不太应该。

---

更大的背景：融资浪潮里的安全焦虑

有趣的是，这个事件发生在AI融资狂欢的背景下。

3月31日同一天，OpenAI宣布完成1220亿美元融资，当前估值8520亿美元。这是硅谷历史上最大规模的单轮融资之一。与此同时，Anthropic的2月融资（300亿美元，估值3800亿）还没过多久，智谱AI也发布了首份财报（营收7.24亿，同比增长131.9%）。

大模型公司在融资上越来越疯狂，但在基础安全工程上的投入反而显得不足。Claude Code的泄露，不过是这种失衡的一个缩影。

---

如何看待这次事件

如果你是开发者： 这次泄露给了你一份宝贵的技术参考。Claude Code的五层架构、工具系统设计、状态管理逻辑，现在都可以学习。但同时也要意识到，使用这类工具的代价是权衡隐私。在采用Claude Code或类似工具时，明确评估其数据收集范围、远程操控权限和身份处理策略。

如果你关心开源生态： 这个事件提醒我们，AI介入开源的时代已经到来。我们需要重新思考开源贡献者的身份认证、透明度标准，以及AI生成代码在开源中的归属问题。

如果你是Anthropic或其他大模型公司： 这是一个警讯。技术越强、功能越复杂，你的安全流程就得越严密。同一类错误犯两次，说明问题不在”疏忽”，在”体系”。

---

参考阅读

如果你对本地部署AI模型感兴趣，不想让你的代码和数据上报给第三方服务器，不妨看看这篇：《本地LLM部署指南：Ollama与LM Studio》——在本地跑大模型，数据不出门。

对于AI编程辅助工具的实际使用，《Cursor AI代码编辑器》这篇介绍的是另一个主流方向，对比着看更有参考价值。

---

参考来源：Ars Technica、Cybernews、Neohope、GitHub (xy464193/Claude-Code_sourcemap)