Claude Code 原始碼透過 npm 洩漏：究竟發生了什麼以及為什麼這很重要

首页 » 蟒蛇 » Claude Code 原始碼透過 npm 洩漏：究竟發生了什麼以及為什麼這很重要

意外 透過 npm 暴露 Claude Code 的內部原始碼 例行發布演變成了近年來最受關注的人工智慧安全事件之一。事情的起因只是 JavaScript 原始碼映射方面的打包失誤，最終卻演變成… 將數十萬行 Anthropic 的 TypeScript 程式碼放入其中 落入世界各地的研究人員、競爭對手和伺機而動的攻擊者手中。

本案例並非典型的涉及邊界防禦或憑證被盜的安全漏洞，而是展示瞭如何 軟體發布中的人為錯誤 可能會洩漏高度敏感的智慧財產權。此次洩漏事件不涉及模型權重或客戶數據，但確實暴露了最先進的模型之一的內部運作機制。 智能編碼助手 市場上，從其記憶體系統和安全過濾器到從未打算公開的實驗性功能。

時間軸：從 npm 發佈到全球複製

事件的核心是 npm 套件。 @anthropic-ai/claude-code具體版本 2.1.88在一次看似普通的發行過程中，Anthropic 發布了一篇 JavaScript 來源映射文件，大小約 60 MB （通常稱為 cli.js.map以及壓縮後的 CLI 包。該映射並沒有從生產環境中移除，而是保留了下來。 sourcesContent 有效地嵌入了原始 TypeScript 程式碼的欄位。

由於這一疏忽，任何拿到包裹的人都可能… 重建大約 1,900 個檔案和超過 500,000 萬行的 TypeScript 程式碼。揭露了 CLI 的命令路由、工具編排、遙測邏輯、安全檢查和內部提示。該映射還指向一個可公開存取的 zip 檔案。 Anthropic 自有的 Cloudflare R2 儲存桶這意味著無需任何入侵：該文件就在那裡，對互聯網開放。

這個問題最初是由…提出的 安全研究者 Chaofan Shou (@Fried_rice)區塊鏈安全公司 Fuzzland 的一名員工發布了指向 X 上暴露儲存桶的直接連結。幾個小時之內， GitHub 上出現了鏡像倉庫。一些專案迅速吸引了數萬顆星，開發者們爭相複製和檢查程式碼，以免它消失。

人類學對此作出了反應 拉取受影響的 npm 版本 並發起了一系列針對GitHub和其他託管平台的DMCA刪除請求。然而，當刪除行動真正開始時，無數副本已被存檔、fork和重新分發，使得徹底撤回這些內容實際上變得不可能。

包裝故障如何引爆了旗艦級人工智慧代理

在紙上 將新版 Claude Code 發佈到 npm 應該是一項例行任務：推送一個壓縮後的 JavaScript 包，只包含絕對必要的部分，並依賴設定檔（例如 .npmignore 或者 files 場在 package.json）以防止調試產物進入最終軟體包。

在這種情況下，幾個小的選擇最終以完全錯誤的方式疊加在一起。建造管道使用了 麵包捆紮機，這 預設生成來源映射編譯或打包流程中的後續步驟均未移除該映射，且 配置錯誤的忽略列表 這意味著地圖直接被上傳到了公共註冊表。之後，npm 的開放性和全球鏡像特性就完成了剩下的工作。

人類學強調， 不包含敏感客戶資料、憑證或模型權重。 洩漏事件並非由他們造成。實際上，這只是一個純粹的打包問題：原本用於內部故障排除的調試元資料被意外地打包到了生產版本中。從狹義的安全角度來看，這種說法是準確的，但它低估了現代人工智慧代理程式碼庫中蘊含的戰略資訊量之大。

更複雜的是，這是 不是第一次 類似的事情以前也發生過。據報道，類似的原始碼映射洩漏事件曾影響過早期的 Claude Code 版本。 2025 年 2 月在短短 13 個月內發生兩起幾乎相同的事件，這不可避免地讓人質疑 Anthropic 公司在其產品發布流程中執行安全措施的嚴格程度。

洩漏的克勞德代碼究竟揭示了什麼

一旦研究人員和開發人員開始仔細檢查恢復的文件，他們就清楚地意識到，這並非只是對一些輔助腳本的粗略查看，而是… Claude Code CLI 的完整架構橫截面圖TypeScript 程式碼樹大約包含 50 萬行程式碼，涵蓋以下內容：

• 工具執行與編排： Claude Code 如何規劃、排序和呼叫工具、shell 和外部服務。
• 權限架構和沙箱規則： 決定哪些命令可以運作、使用哪些參數以及在哪些環境中運作的確切邏輯。
• 記憶體系統和上下文管理： 如何在不失去連貫性的情況下處理長時間會議的策略。
• 遙測和分析： 哪些數據會被測量、匯總並發送回 Anthropic。
• 系統提示和功能標誌： 控制智能體行為和切換實驗功能的隱藏指令。

社區分析突顯了 三層記憶體設計 以一個通常被描述為的文件為中心 MEMORY.md克勞德·科德並沒有無限期地記錄原始互動歷史，而是保持… 索引式、主題為本的參考結構當需要回憶先前的工作時，代理會查閱該索引，只提取與當前任務相關的片段，並遵循嚴格的寫入規則以減少上下文漂移和自我損壞。

這種「帶著健康懷疑態度看待記憶」的方法有助於減輕… 長時間對話的熵否則，單純的上下文累積會導致智能體變得前後矛盾甚至產生幻覺。對於其他建構智能體工具的團隊來說，這種洩漏實際上是有效的。 免費大師班，深入講解生產級記憶體編排.

該原始程式碼還暴露了各種內部遙測介面。其中包括以下邏輯： 標記挫折訊號 例如，掃描提示訊息中的不雅詞彙，而無需保留完整的使用者對話或程式碼庫。另一個值得注意的部分是… “臥底”或隱蔽模式 旨在從 git 提交和拉取請求中移除內部項目代號和其他敏感標識符，以防止 AI 編寫的貢獻意外洩露專有細節。

除了產品中已可見的系統之外，程式碼庫也引用了 未發布或隱藏的功能 透過功能標誌控制：後台運作模式、多個代理程式之間的協調，甚至還有終端伴侶等有趣的 UI 功能。

未發布的模組：KAIROS、BUDDY 和多智能體集群

一些最引人注目的發現圍繞著Anthropic公司尚未公開宣布的功能展開，這些功能現在以詳盡的工程細節呈現在世人面前。其中一個突出的模組是： KAIROS，在註釋和配置中描述為 持續運行的後台守護進程 監視文件更改、記錄事件並執行所謂的 夢想 或者，當使用者處於空閒狀態時，會發生「夢幻般的」合併。

實際上，KAIROS似乎給了克勞德·科德接近於 「始終在線」的自主性與其被動地等待指令，智能體可以定期喚醒，重新索引其對程式碼庫的理解，清理其記憶體結構，並為即將到來的工作會話制定更完善的計劃。對於正在試驗全自主智慧體的團隊來說，這實際上揭示了 Anthropic 公司為長期後台運作的智慧體設計的藍圖。

另一個迅速引起網路關注的功能是 夥伴在代碼中被描繪成一種 航廈吉祥物遊戲包含 18 種不同的「物種」（其中一種是水豚），以及一些有趣的統計數據，例如： DEBUGGING, PATIENCE 以及 CHAOSBUDDY 雖然表面上看起來異想天開，但它表明 Anthropic 正在嘗試更具表現力、更注重情感的開發者體驗。

在更嚴肅的一端，存在著多智能體協作架構。其內部描述透過以下結構進行： 協調器模式 以及 ULTRAPLAN療程該系統允許主代理人 產生並管理大量工人代理 同時，文件片段提到代理人之間會進行 10 到 30 分鐘的遠端規劃會議，這表示 Claude Code 可以將一項大任務分解，將子任務委派給助手，然後合併結果。

此外，還有一些跡象表明某些模組和模型變體仍在開發中，包括對內部名稱的引用，例如： 水豚被視為 Claude 4.x 系列的演進版本。程式碼中嵌入的指標提及 假陽性率徘徊在29-30%左右 對於某些安全或檢測系統而言，與早期幾輪的 16.7% 左右相比——這些坦率的數字通常會留在工程儀錶板內。

綜合來看，這些發現將洩漏的樹變成了 Anthropic 代理策略的路線圖級概覽：公司認為有用的自主性的界線在哪裡，希望代理商如何協作，以及目前正在權衡哪些利弊。

越獄、複製人和供應鏈危機

即使沒有密碼或令牌洩露，安全專家也遠未放鬆警惕。掌握了完整的 CLI 邏輯後，更容易… 逆向工程克勞德·科德的護欄 並探索它們周圍的路徑。曾經的黑盒子現在變成了一份循序漸進的指南，展示了該工具如何解析命令、應用過濾器並判斷某些操作是否可以在用戶終端中安全運行。

這種透明度可能是一把雙面刃。一方面，防禦研究人員現在可以 對安全模型進行了前所未有的深度審計 並提出加固策略。另一方面，攻擊者可以精心設計提示和上下文操縱，以達到…目的。 惡意指令繞過 Bash 驗證器利用權限層之間的細微差別，或誘使代理執行它原本不該執行的操作。

與此密切相關的擔憂是激增 惡意或偽造的克隆產品有了現成的生產級程式碼庫，有動機的攻擊者可以輕鬆地剝離品牌標識和遙測數據，注入後門或數據竊取邏輯，然後以略微不同的名稱發布幾乎完全相同的軟體包。對於那些習慣性地從 npm 安裝工具的開發者來說，引入類似 Claude 的惡意程式的風險顯著增加。

洩漏事件發生的時機加劇了這些擔憂。幾乎在同一時間，npm 也面臨著… 獨立供應鏈對大眾的攻擊 axios 包惡意版本大約在世界協調時00:21至03:29之間活躍。這事件凸顯了JavaScript生態系統在依賴項信任上有多脆弱。

在此期間，透過 npm 安裝或更新 Claude Code 的團隊所獲得的安全指導非常明確： 審核您的依賴關係樹尤其是像這樣的軟體包 axios 以及 plain-crypto-js輪換受影響系統上可能存在的憑證；並密切注意異常行為。 Anthropic 公司則明確建議： 它更傾向於使用其原生安裝程式而不是 npm。 繼續縮小攻擊面。

Anthropico的官方回應和DMCA訴訟

洩密事件曝光後，Anthropic公司迅速採取行動，試圖扭轉意見。該公司在向TecMundo和VentureBeat等媒體發表的評論中強調： 這是人為錯誤導致的發布打包問題。並非內部基礎設施遭到破壞或外部駭客攻擊。

核心訊息始終如一： 沒有客戶機密信息，沒有憑證信息，沒有模型權重信息 洩漏事件已經發生；只有內部應用程式邏輯暴露出來。聲明也強調，Anthropic公司已經… 推出保障措施以防止類似事故發生 在未來的版本中，雖然詳細的事後分析尚未公開。

在法律方面，該公司積極展開了一系列行動。 DMCA移除活動GitHub 和其他託管平台開始收到刪除鏡像 Claude Code 原始程式碼的倉庫的請求，其中一些最主要的鏡像在累積了大量關注和討論後消失了。

儘管採取了這些措施，但實際情況是，一旦如此龐大的程式碼庫洩漏到外部， 要完全控制住它幾乎是不可能的. 存檔副本私下流傳，加密包存放在通用文件共享網站上，部分代碼已被愛好者移植或用其他語言（如 Python 和 Rust）重新實現，以規避版權限制。

據報道，這起事件發生前幾天也發生了一起不同的配置故障事故。 洩漏了約3,000份內部文件 透過配置錯誤的CMS系統，該模型與一個名為「Claude Mythos」的未發布模型關聯起來。不到一週內發生的兩起互不相關的發布失敗事件，自然引起了觀察人士的質疑。 Anthropic 在內容和程式碼發布方面的營運規範.

對人工智慧生態系統和競爭對手的更廣泛影響

從商業角度來看，這次洩漏事件對一款原本就被視為…的產品造成了打擊。 Anthropic 的主要收入驅動因素之一根據業界估計，Claude Code 的年度經常性收入約為數十億美元左右，其中絕大部分用戶來自企業客戶。這使得 CLI 不僅僅是開發人員的工具，而是一個 公司商業路線圖的策略支柱.

由於其架構的大部分內容都已公開，該事件實際上將競爭對手的團隊拱手相讓。 一份詳盡的工程操作手冊 否則，這將需要數年的實驗和大量資金才能完成。包括新型智慧整合開發環境（IDE）和編碼助理在內的競爭工具，現在可以將自身方法與 Anthropic 的實際設計決策進行對比，而不是僅僅依靠猜測和行銷宣傳。

同時，洩密降低了潛在參與者的進入門檻。 克勞德·科德的競爭對手現在，透過參考已經針對生產環境最佳化的實作方案，建立具有相似記憶體模式、後台工作流程和協調能力的代理程式要容易得多。從這個意義上講，Anthropic 的部分智慧財產權壁壘突然變成了整個產業的共享知識。

歷史表明，此類事件可能會產生自相矛盾的影響。一方面，它們 加速各領域的創新隨著更多團隊從高品質案例中學習，另一方面，它們也削弱了先行者的優勢，迫使現有企業加快步伐，並在差異化功能、安全性和可靠性方面投入更多資源。

對於正在評估人工智慧工具的新創公司和企業買家而言，這起事件也可能微妙地改變他們的預期。潛在客戶可能會對供應商提出更嚴格的要求。 發布規格、CI/CD 安全措施和事件回應流程將安全發布管道視為任何嚴肅的 AI 平台不可或缺的一部分。

安全性教訓：從設定檔到 MCP 伺服器

安全領域的領導者和從業人員已將此次洩密事件作為契機，提出了一系列建議。 具體的防禦措施 對於已經在嘗試使用智慧編碼工具的組織而言，一個反覆出現的建議是： 與 Claude Code 關聯的審計配置文件如 CLAUDE.md 以及 .claude/config.json可作為高權限向量，用於注入隱藏指令或放鬆安全設定。

另一個重點領域是 將外部工具伺服器和模型上下文協定 (MCP) 端點視為不受信任的依賴項由於合約介面已詳細公開，惡意攻擊者可能會試圖冒充合法伺服器，或在這些整合點上悄悄篡改行為。版本鎖定、監控變更和加強存取控制可以降低這種風險。

鑑於人工智慧助手能夠如此迅速地移動程式碼，團隊也被敦促… 限制 shell 權限並有系統地掃描秘密訊息 在它們訪問程式碼庫之前。代理商之所以能夠有效運作——快速編輯配置、配置持續整合 (CI) 系統以及操作多個服務——正是因為其強大的能力，而一個小小的失誤就可能演變成嚴重的憑證外洩。

最後，各組織面臨越來越大的壓力，需要… 追蹤人工智慧輔助提交的來源隨著越來越多的程式碼由代理商編寫或修改，監管機構和稽核人員有理由期望有明確的揭露政策、強大的日誌記錄以及驗證關鍵邏輯來源的方法，尤其是在敏感或受監管的領域。

總的來說，這些建議反映了一種轉變，即不再僅僅將人工智慧代理視為另一種開發者工具，而是將其視為… 核心基礎設施及其專用威脅模型供應鏈脆弱性與治理需求。

總而言之，Claude Code 透過 npm 洩漏事件與其說是單一缺陷版本的故事，不如說是關於如何…的故事。 現代軟體開發流程中一些細微而常見的錯誤，就可能重塑競爭格局和安全格局。 圍繞人工智慧。隨著代理的內部操作手冊實際上已經公開，Anthropic 及其同行面臨著越來越大的壓力，需要加強其發布流程，重新思考在邊緣暴露多少邏輯，並建立一種文化，在這種文化中，配置細節會像任何尖端模型架構一樣受到嚴格審查。