#ClaudeCode500KCodeLeak – 一個包裝錯誤曝光了 Anthropic 的 AI 藍圖

在被譽為 AI 歷史上最重大的意外洩漏事件之一中，Anthropic 無意中將其熱門程式碼助手 Claude Code 的完整原始碼公開到公共 npm 註冊中心。這不是駭客攻擊——而是一個由單一除錯檔引發的 25 億美元的錯誤。

以下是詳細的洩漏內容、開發者在 50 萬行程式碼中發現的內容，以及這對未來代理式 AI 的意義。

---

1. 發生了什麼？洩漏的結構解析

2026 年 3 月 31 日，Anthropic 發布了其 Claude Code npm 套件的版本 2.1.88。團隊未察覺，這次發布包含了一個 59.8 MB 的原始碼映射檔 (cli.js.map)，本應僅用於內部除錯。

原始碼映射旨在將已編譯的程式碼連結回其原始碼。透過包含此檔，Anthropic 實質上提供了一份直達其 Cloudflare R2 儲存空間中完整、未加密的 TypeScript 原始碼的地圖。

· 規模：約 50 萬行程式碼，涵蓋近 2,000 個檔案。
· 發現：安全研究員 Shou 超凡（Chaofan Shou）發現該檔並在 X（前 Twitter）上發布，數小時內累計數百萬次瀏覽。
· 後續：該程式碼被鏡像到 GitHub，並被 fork 超過 41,500 次，直到 Anthropic 及時將套件下架。如今已在網路上永久流傳。

Anthropic 確認洩漏事件，表示這是「由人為錯誤引起的發佈包裝問題」，並強調未曝光任何客戶資料或憑證。

---

2. 洩漏內容？一窺內幕

洩漏的程式碼顯示，Claude Code 遠比一個簡單的聊天機器人包裝器更為複雜。它是一個完整的代理工程平台。

核心架構

· QueryEngine.ts：一個擁有 46,000 行的模組，負責所有推理邏輯、令牌計數及複雜的思考鏈循環。
· 工具生態系：超過 40 個模組，支援檔案系統操作、bash 指令執行，以及內建的語言伺服器協議 (LSP)，用於深度理解程式碼。
· 多代理系統：程式碼證實，Claude Code 可以產生子代理，繼承父代理的上下文。關鍵是，因為 Anthropic 的提示快取，並行運行 5 個代理的成本幾乎等同於串行運行 1 個。

---

3. 隱藏在程式碼中的未發布功能

洩漏事件如同一張路線圖，揭示了已完整建成但尚未推出的功能旗標。

🔮 KAIROS：自主守護程式

最受關注的發現。該功能在原始碼中被引用超過 150 次，KAIROS 是一個背景守護進程模式。

· AutoDream 邏輯：當用戶閒置時，代理會進行「記憶整合」——合併觀察、清除矛盾，並將模糊筆記轉化為具體知識。
· 目標：將 Claude 從被動回應提示的工具，轉變為一個在你睡覺時也能主動工作的代理。

🐣 Buddy：AI 寵物系統

在一個令人驚訝的「開發者奇想」中，程式碼中包含一個完整的電子寵物系統，名為「Buddy」。

· 它擁有 18 種物種 (鴨子、貓、章魚等)，稀有度等級，以及「閃亮」變體。
· 據報導，該功能原定於次日發布，但在洩漏後提前推出。

🕵️ 隱藏模式

此功能允許 Claude Code 在不留下 AI 源頭痕跡的情況下，貢獻於公開開源碼庫。

· 系統提示明確指出：「你正在秘密行動……你的提交訊息不得包含任何 Anthropic 內部資訊。不要暴露身份。」
· 這確保提交訊息不含「Claude Code」的署名或內部代號，如「Capybara」。

---

4. 安全與競爭的後果

儘管 Anthropic 對事件的嚴重性持低調態度，但此洩漏具有重大影響。

🛡️ 反蒸餾措施

程式碼揭示了一個名為 ANTI_DISTILLATION_CC 的旗標。啟用後，會在 API 請求中注入假工具定義。如果競爭對手試圖攔截 API 流量以訓練仿冒模型，這些假信號會降低其訓練資料的品質。

📉 內部模型困境

洩漏揭示了內部代號 (Mythos、Capybara、Fennec) 及性能說明。註解指出，一個較新的模型變體 (Capybara v8) 表現出高達 20% 以上的虛假聲稱率，甚至比早期版本更差。這顯示，即使是行業領導者，也在代理層面上面臨幻覺問題。

⚠️ 供應鏈風險

洩漏事件與另一個惡意 npm 攻擊同步發生，攻擊者發布了被篡改的 Axios 版本，並安裝了遠端存取木馬。安全研究人員建議團隊掃描鎖定檔，檢查受感染的依賴，並將受影響的系統視為可能已完全被攻陷。

---

5. 大局觀：這代表什麼

此事件是 AI 行業的轉折點，原因有三：

1. IP 如雙刃劍：Anthropic 一直以「負責任的 AI」與安全為品牌核心。短短一週內的兩次重大曝光 (Claude Code 洩漏與內部檔案配置錯誤，嚴重質疑其最高層的運營安全。
2. 代理式 AI 的藍圖：競爭者現在擁有一份詳細的建構生產級程式碼代理的藍圖——從記憶架構到平行子代理協調。
3. 開源與開放權重：正如一位用戶所說：「Anthropic 變得比 OpenAI 更開放了嗎？」。一個封閉源碼 AI 公司意外「開放」其核心技術，這點在開發者社群中引發熱議。

---

終極結論

這不僅僅是一個尷尬的失誤，它提供了一個難得的、未經篩選的工程視角，展現了構建自主 AI 代理所需的技術。它預示著一個未來：AI 不僅回答問題，還能在背景中持續運作、管理自己的記憶，甚至秘密貢獻開源。

對開發者而言，立即的建議是：

· 升級遠離 Claude Code 2.1.88 版本。
· 若使用受影響版本，請更換 API 金鑰。
· 檢查依賴，特別是安全公告中提到的惡意 Axios 套件。

對 Anthropic 來說，未來的路在於重建信任，並確保這家提倡安全的公司也能實踐安全。

你的看法是？這次洩漏是促進創新、曝光最佳實踐的契機，還是為 AI IP 保護設定了危險的先例？請在下方留言。👇