出品|虎嗅科技组
作者|余杨
编辑|苗正卿
头图|视觉中国
3月31日消息, Claude Code 源代码发生泄露。
这个 59.8 MB 的 Java 源映射文件,原本应用于内部调试,却被无意中包含在今天早上早些时候推送到公共 npm 注册表的软件包版本 2.1.88 中。
美国东部时间凌晨 4 点 23 分, Solayer Labs 的实习生在 X上分享了这一发现。这条包含着直接下载链接的帖子迅速传播开来,短短几个小时,约 51.2 万行的 Type 代码库就被镜像到 GitHub 上,并被成千上万的开发者分析。
Anthropic公司通过发言人向VentureBeat发送的电子邮件声明证实了泄密事件,声明内容如下:
“今天早些时候,Claude Code 的一个版本中包含了一些内部源代码。没有涉及或泄露任何敏感的客户数据或凭证。这是人为错误导致的版本打包问题,并非安全漏洞。我们正在采取措施防止此类事件再次发生。”
对目前正处于高速发展期的Anthropic公司而言,此次泄露事件不仅仅是一次安全漏洞,更是一次战略性的知识产权流失。泄露事件为竞争对手提供了一个构建高自主性、可靠且具有商业可行性的 AI 代理的实际蓝图。从商业角度看,这次泄露的时机十分关键。
近一年来, Claude 产品的商业化速度非常之快,市场数据显示,仅 Claude Code 就实现了25 亿美元的年度经常性收入 (ARR),并且这个数字自年初以来已经翻了一番多。截至2026年3月,公司的年化营收预计将达到190亿美元。
与此同时,源代码所暴露的Anthropic技术逻辑引发了热议。
一个具有怀疑精神的记忆系统
对竞争对手来说,最重要的启示在于 Anthropic 一定程度上解决了“上下文熵”的问题。AI 技术一直面临着一个难题,随着会话的长时间运行,会话内容也变得越来越复杂,AI Agent 很容易变得困惑或产生幻觉。
泄露的源代码揭示了一种复杂的三层内存架构,这种架构摒弃了传统的“存储一切”的检索方式,采用了“自愈内存”系统。
其核心是一个轻量级的指针索引,MEMORY.md。它每行约 150 个字符,会持续加载到上下文中。它的思路是不存储数据,而是存储位置信息。
也就是说,实际的项目知识分布在按需获取的“主题文件”中,这样一来,原始转录文本永远不会被完全读回上下文,而只是被“grep”查找特定的标识符。
这种“严格的写入规则”可以防止模型用失败的尝试污染其上下文,因为Agent只有在成功写入文件后才能更新索引。
可以理解为,Anthropic构建了一个具有怀疑精神的记忆系统。这条无意中泄露的代码证实,Anthropic 的智能体被指示将自身的记忆视为“提示”,原理上要求模型在继续执行之前,必须先根据实际代码库验证事实,从而保证了索引的有效性。
“ KAIROS ”:一种自主守护进程模式
此次泄露还揭开了“ KAIROS ”的神秘面纱,这个源自古希腊语、意为“在恰当的时机”的功能标志在源代码中被提及超过150次。
目前的 AI 工具大多是被动的,但 KAIROS 允许 Claude Code 作为始终在线的后台代理运行。它处理后台会话并采用名为“autoDream”的模式。
在这种模式下,智能体会在用户空闲时执行“记忆整合”。其“autoDream”逻辑会将分散的观察结果合并,消除逻辑矛盾,并将模糊的洞察转化为绝对的事实。这种后台维护确保当用户返回时,代理的上下文是干净且高度相关的。
通过实现一个分叉的子代理来运行这些任务,可以防止主代理的“思路”被其自身的维护例程所破坏,这是一种成熟的工程方法。
KAIROS自主守护进程模式代表着用户体验的根本性转变:它实现了Agent的自我反省和“push”。
探索中的内部模型和性能
当然,源代码也暴露了自身的技术难题,让人洞悉 Anthropic 的内部模型路线图的同时,也看到前沿开发所面临的挑战。
泄露的信息显示,Anthropic公司已经在对Capybara v8进行迭代开发,但该模型仍然面临诸多挑战。代码显示,v8版本的虚假申报率高达29-30%,相比v4版本的16.7%,实际上出现了倒退。
开发人员还注意到,为了防止模型在重构过程中变得过于激进,Anthropic 设计了一种“断言平衡机制”。
对竞争对手而言,这些指标都非常有价值;它们为当前代理性能的“上限”提供了基准,并突出了 Anthropic 仍在努力解决的具体弱点,比如过度评论、虚假声明等等。
除此之外,目前讨论最多的技术细节是“隐蔽模式”。它揭示了 Anthropic 使用 Claude Code 对公共开源代码库进行“隐蔽”贡献。
泄露文件中有一条系统提示,它警告模型:“您正在执行秘密任务……您的提交信息……不得包含任何 Anthropic 内部信息。不要暴露您的身份。”
简单来说,这种模式为希望在不披露的情况下使用 AI 代理进行面向公众的工作的组织提供了一个技术框架。其工作逻辑确保不会有任何模型名称或 AI 归属信息泄露到公共 git 日志中。那么,在 AI 辅助开发中,就可以实现企业客户的匿名性,这对重视隐私的企业格外重要。
Anthropic 同时正在尝试将“个性”融入终端产品以提高用户粘性,网友发现,Chaos功能正在酝酿中,这是一个类似电子宠物的小精灵,它会“坐在你的输入框旁边,并对你的代码做出反应”。
对整个人工智能市场而言,Claude Code 源代码的泄露为智能体编排创造了“公平的竞争环境”。竞争对手现在可以研究 Anthropic 的 2500 多行 bash 验证逻辑及其分层内存结构,从而以极少的研发预算构建“类似 Claude”的代理。
下一代自主智能体的研发竞赛意外地获得了 Anthropic 25 亿美元的“天使投喂”。
Claude Code 用户如何止损
源代码泄露本身对 Anthropic 的知识产权造成了重大打击,同时也给用户带来了一定的安全风险。
Anthropic 源代码的泄露为不法分子提供了一份路线图,他们可以更加方便地绕过安全防护措施和权限提示的方法。由于Hooks 和 MCP 服务器的确切编排逻辑的泄露,攻击者现在可以设计专门针对“诱骗”Claude Code 运行后台命令或窃取数据而量身定制的恶意存储库。
最直接的危险是,在泄露事件发生前几个小时,npm 包还遭受了一次独立的供应链攻击。
也就是说,如果用户在 2026 年 3 月 31 日 凌晨 UTC 期间通过 npm 安装或更新了 Claude Code,那么很有可能也无意中引入了包含远程访问木马 (RAT) 的恶意 axios 版本(1.14.1 或 0.30.4)。为了补救,Anthropic 已将 Native Installer指定为推荐方法,使用独立的二进制文件,不依赖于不稳定的 npm 依赖链。
近期,在不熟悉的环境中使用 Claude Code 时,用户最好提高警惕,在手动检查所有自定义钩子之前,不要在刚刚克隆或不受信任的存储库中运行代理。
云端存储的数据虽然安全,但由于代理的内部防御机制已公开,本地环境的脆弱性有所增加,这都是未来使用中需要注意的。
本内容由作者授权发布,观点仅代表作者本人,不代表虎嗅立场。
