Anthropic 无意中将 Claude Code CLI 的完整源代码发布到一个公开的 npm 包中,导致约 51.2 万行 TypeScript 代码暴露给任何关注此事的人。
Anthropic 2026 年源代码泄露事件:Claude 代码 CLI 因 npm 源映射错误而曝光
分享
Claude Code npm 泄露事件揭示了包括 KAIROS、BUDDY 和 Agent Swarms 在内的未发布功能
该公司于 2026 年 3 月 31 日向 Venture Beat 证实了这一事件,并将其归因于发布打包过程中的操作失误。@anthropic-ai/claude-code 的 2.1.88 版本随附了一个 59.8 MB 的 JavaScript 源映射文件。 这本质上是一个调试辅助文件,用于将压缩后的生产环境代码映射回原始的 TypeScript 代码,而该文件直接指向了位于 Anthropic 自有 Cloudflare R2 存储桶中、可供公众访问的 ZIP 压缩包。 根本无需任何黑客手段。该文件就那样摆在那里。
区块链安全公司 Fuzzland 的实习生、安全研究员 Chaofan Shou 发现了这一问题,并在 X 平台发布了存储桶的直接链接。短短数小时内,GitHub 上便出现了镜像仓库,其中部分仓库在 Anthropic 发出 DMCA 删除通知前已积累了数万个星标。 社区成员已开始提取遥测数据、切换隐藏的功能开关,并用Python和Rust编写“洁净室”重构版本以规避版权问题。 根本原因很简单:Bun打包工具默认会生成源映射文件,且发布前没有任何构建步骤排除或禁用了该调试产物。若在.npmignore文件中添加相应条目,或在package.json的files字段中进行设置,本可避免此次事件。
开发者发现的内部内容十分详尽。约1,900个TypeScript文件涵盖了工具执行逻辑、权限架构、内存系统、遥测、系统提示和功能开关——这完整展现了Anthropic如何构建一款生产级智能编程工具。遥测系统会扫描提示语中的脏话作为挫败信号,但不会记录完整的用户对话或代码。 一种“隐身模式”会指示 AI 从 Git 提交和拉取请求中移除内部代号及项目细节的引用。 若干未发布的功能隐藏在功能开关之后。KAIROS 被描述为一个始终运行的后台守护进程,它监视文件、记录事件,并在空闲时运行名为“做梦”的内存整合过程。 BUDDY 是一款终端宠物,拥有 18 个物种(包括水豚),具备 DEBUGGING(调试)、PATIENCE(耐心)和 CHAOS(混乱)等属性。COORDINATOR MODE(协调员模式)允许单个代理生成并管理并行工作代理。ULTRAPLAN 则负责安排 10 至 30 分钟的远程多代理规划会话。
Anthropic 向 Venture Beat 表示,此次事件未涉及任何敏感客户数据、凭证,也未导致模型权重或推理基础设施遭到泄露。“这是由人为失误引发的发布打包问题,”该公司表示,并补充称正在采取措施防止此类事件重演。
这些措施可能需要迅速落实。这是同样的错误第二次发生。2025年2月,Claude Code的早期版本就曾发生过几乎完全相同的源映射泄露事件。
3月31日的事件还与针对axios包的另一起npm供应链攻击同时发生,该攻击在UTC时间00:21至03:29期间活跃。建议在此时间段内通过npm安装或更新Claude Code的开发者审核其依赖项并轮换凭证。Anthropic建议今后优先使用其原生安装程序而非npm。
此处需结合背景来看。五天前,即3月26日,Anthropic因内容管理系统(CMS)配置错误,泄露了约3,000份内部文件,其中包含未发布的“Claude Mythos”模型的详细信息,该事件也被归因于人为失误。不到一周内发生两起重大意外泄露事件,引发了外界对这家公司的发布规范的质疑——其工具正被广泛用于大规模编写和发布代码。
联邦法官阻止五角大楼将Anthropic列为国家安全威胁
一名联邦法官叫停了五角大楼对Anthropic公司人工智能的禁令,裁定该禁令以国家安全为由,很可能违反了《第一修正案》。 read more.
立即阅读
联邦法官阻止五角大楼将Anthropic列为国家安全威胁
一名联邦法官叫停了五角大楼对Anthropic公司人工智能的禁令,裁定该禁令以国家安全为由,很可能违反了《第一修正案》。 read more.
立即阅读联邦法官阻止五角大楼将Anthropic列为国家安全威胁
立即阅读一名联邦法官叫停了五角大楼对Anthropic公司人工智能的禁令,裁定该禁令以国家安全为由,很可能违反了《第一修正案》。 read more.
尽管公司已积极采取下架措施,但泄露的源代码仍以存档和镜像形式存在。除向 VentureBeat 发表的评论外,Anthropic 尚未发布更全面的事故分析报告或公开声明。 此次事件未导致用户数据泄露,核心 Claude 模型也未受影响。然而,构建 Claude Code 竞争对手的蓝图如今已变得容易得多。
常见问题 🔎
- 问:Claude Code源代码泄露是黑客攻击吗?不是——Anthropic确认此次泄露是打包错误,而非安全漏洞或未经授权的访问。
- 问:Anthropic npm泄露事件中实际泄露了什么?约51.2万行TypeScript代码,涵盖Claude Code CLI,包括遥测数据、功能开关、隐藏功能及代理架构——不包含模型权重或客户数据。
- 问:我的数据是否因 Claude Code npm 事件而面临风险?Anthropic 表示未泄露任何用户数据或凭证;但在同期 axios 供应链攻击窗口期间通过 npm 安装的开发者,应审核依赖项并轮换凭证。
- 问:Anthropic 此前是否发生过源代码泄露?是的——2025年2月曾发生过一起几乎完全相同的源映射文件泄露事件,涉及早期版本的 Claude Code,这使得此次事件成为约13个月内的第二起同类事件。
