Anthropic可能做梦也没想到,自家最赚钱的AI产品,会以这种方式被"开源"。
3月31日凌晨,一个59.8MB的JavaScript源地图文件被误传到了公共npm注册表。512,000行TypeScript代码——包括三层记忆架构、还没发布的模型代号、甚至是"秘密潜入"开源仓库的隐藏模式——全没了。
发现它的,是一个叫Chaofan Shou的实习生,早上4点23分,他在X上发了一条帖子,顺手附上了下载链接。
几小时后,代码被镜像到了GitHub,被数千个开发者拆解、分析、传播。
对于Anthropic来说,这不仅仅是一次安全事故。
这是25亿美元年化收入的"家底",被直接抖落在了竞争对手面前。
一个文件,炸出整个"操作系统"
Claude Code是什么?
简单说,它不是简单套了个LLM外壳的玩具,而是一套"多线程软件工程操作系统"。
这次泄露把它的老底掀了个干净。
最让开发者兴奋的,是Anthropic解决"上下文熵"的那套东西。
所谓上下文熵,说人话就是:AI聊久了会变傻。聊的越长、上下文越多,它越容易胡言乱语、记混自己说过的话。
Anthropic怎么解决的?三层记忆架构。
第一层是个轻量级索引文件MEMORY.md,每行大概150个字符,永远加载在上下文里。但这玩意儿不存具体内容,只存"地址指针"。
第二层是分散在各个角落的"主题文件",需要的时候按需调取。
第三层更有意思——原始对话记录从来不完整读回来,只是用grep搜特定标识符。
这套东西有个硬性约束叫"严格写入纪律":Agent必须等文件写入成功才能更新索引。失败的操作不准污染上下文。
有开发者看完感叹:原来人家是"怀疑一切"的记忆系统。Agent被训练成每次使用记忆前,都得先跟代码库核对一遍。
这跟人类的做法刚好相反。我们倾向于相信自己的记忆,Claude Code被设计成必须"质疑"自己的记忆。
KAIROS:藏在代码里的"暗线"
泄露里还有个高频词:KAIROS。
希腊语里是"恰当时机"的意思,在代码里被提到了150多次。
这玩意儿是Anthropic正在憋的一个大招:自主守护进程模式。
现在的AI工具都是"你叫它动一下,它才动一下"。但KAIROS让Claude Code变成一个"永远在后台待命"的Agent。
更狠的是autoDream机制。当你闲着的时候,Agent会自动在后台做"记忆整合"——把零散的观察合并、去掉逻辑矛盾、把模糊的直觉变成确定的结论。
等你回来,它的上下文干净得像刚睡醒。
实现方式也很讲究:这些维护任务用fork的子Agent来跑,防止主Agent的"思路"被自己的后台任务污染。
这套东西如果放出来,AI编程助手的交互模式基本要变天。
内部代号大曝光:还有一堆"半成品"
代码不会说谎。
泄露确认了一堆内部代号:
Capybara是Claude 4.6的内部名字,Fennec对应Opus 4.6,Numbat还在测试里没放出来。
但更有价值的是那些性能数据。
内部注释显示,Anthropic正在迭代Capybara v8,结果虚假声明率是29%-30%。
比v4的16.7%还差。
相当于越更新,问题越多。
代码里还有个"assertiveness counterweight"(自信配重),专门防止模型在重构代码时太"激进"。
这说明什么?连行业领头羊都还在跟AI的"自信过度"搏斗。
那些吹AI重构多神的,可以歇歇了。
"卧底模式":用AI偷偷改开源代码
整个泄露里最耐人寻味的,是一个叫"Undercover Mode"的功能。
系统提示词里写着:
"你正在卧底行动……你的提交信息绝对不能包含任何Anthropic内部信息。别暴露自己。"
原来Anthropic在用Claude Code"偷偷"给开源仓库贡献代码,不留任何AI痕迹。
不用"Tengu",不用"Capybara",git日志里干干净净。
这技术对企业客户来说简直是刚需——谁也不想让外界知道自己用AI在做什么。
但这也开了个坏头:AI在暗处干活,公开社区根本不知道代码是谁写的、合不合理。
竞争对手笑疯,Anthropic哭晕
写到这里,我必须说句大实话:
这波泄露,Anthropic亏得有点惨。
Claude Code年化收入25亿美元,80%来自企业客户。结果竞争对手现在可以直接研究它的"蓝图"——2500多行bash验证逻辑、分层记忆结构、Agent编排方案。
以前想做个"类Claude" Agent,研发成本高得吓人。
现在?抄作业就完事了。
有分析师说,这相当于给整个行业"送"了25亿美元的集体智慧。
Anthropic那边倒是第一时间发了声明,说"没有泄露敏感客户数据,纯属人为失误,不是安全漏洞"。
话是这么说,但代码本身——架构设计、内存管理、模型调优策略——哪个不是核心商业机密?
但事情还没完
比源代码泄露更危险的,是另一个时间点完全重合的攻击。
就在代码泄露前几小时,npm的axios包被植入了一个带远程访问木马(RAT)的恶意版本。
如果你在3月31日凌晨到早上这段时间通过npm装过Claude Code(2.1.88版本),你可能同时中招了。
版本号:axios 1.14.1或0.30.4,或者依赖项里出现了plain-crypto-js。
怎么办?
立刻检查你的lock文件。如果有这些版本,当作机器已被完全入侵处理——重装系统、轮换所有密钥。
如果还没中招,Anthropic现在推荐用原生安装方式(curl脚本),别走npm了。
那个版本已经暴露了Hooks和MCP服务器的具体编排逻辑,攻击者可以针对性地设计恶意仓库,绕过信任提示直接搞事情。
你的本地环境,现在比任何时候都脆弱。
代码已经泄露,防御姿势必须升级。
但更大的问题是:当一个"操作系统"级别的AI工具核心代码被公开,这个行业的游戏规则,是不是要重新写了?
【MiniMax-M2.1锐评】:这波泄露把Anthropic的"家底"抖了个干净,竞争对手估计做梦都要笑醒。不过最惨的还是用户——不仅要担心代码泄露,还得同时排查是否中木马。AI行业的"安全神话",真是越来越难绷了。
参考链接:
https://venturebeat.com/technology/claude-codes-source-code-appears-to-have-leaked-heres-what-we-know