2026 年 3 月 31 日,Anthropic 的 Claude Code npm 包 2.1.88 版本意外携带了 59.8 MB 的 Source Map 文件(cli.js.map)。这个构建失误让全部 512,664 行 TypeScript 源码可被任何人完整还原。[8]
根因直指构建工具链:Claude Code 使用 Bun 运行时打包,Bun 默认生成 source map,而生产环境的构建配置未关闭该选项。相关 Bun 缺陷编号为 oven-sh/bun#28001。[9]
本报告从五个维度复盘这次事件:事件时间线、各方红利量化(GitHub / 流量 / 技术 / 安全研究 / Anthropic 自身)、隐藏功能曝光、内部专属能力披露,以及对整个 AI 工具链行业的深层启示。
事件时间线
从一个构建错误到全网引爆,不到 24 小时
- 北美深夜某工程师发布 Claude Code
2.1.88版本至 npm,包体积异常,携带 59.8 MB Source Map 文件 - 数小时后亚洲 / 欧洲时区开发者在日常升级中发现
cli.js.map可直接还原 TypeScript 源码,消息开始在 Discord 和 X 传播 - 引爆时刻安全研究者 @Fried_rice(Chaofan Shou)发推公开此事,推文迅速获得 22,000+ 赞、6,400+ 转发、1,100 万浏览[1]
- 随后数小时Hacker News 讨论帖上线,310 万浏览量。多个 GitHub 仓库相继创建,mirror 和分析性 fork 大量涌现[2]
- 约 10 小时后Anthropic 将
2.1.88标记为 deprecated,从 npm 下架。反混淆仓库主动 force push,将源码替换为 Python 文件 - 覆水难收但源码已被大量 fork。
instructkr/clawd-code在数小时内突破 41,236 Stars,成为 GitHub 有史以来增速最快的仓库之一[6]
红利全景:五个受益方
一次泄露,多方收益——量化各方吃到的红利
2.1 GitHub Star 红利
这是最直观、最可量化的红利。下表列出主要相关仓库的数据:[6][7]
| 仓库 | Stars | Forks | 说明 |
|---|---|---|---|
| instructkr/clawd-code | 41,236 | 51,613 | 史上最快达到 3 万 Stars 的仓库之一,被华尔街日报报道 |
| Kuberwastaken/claude-code | 1,395 | 2,555 | 详细的源码分析和功能 breakdown |
| anthropics/claude-code(官方) | 88,901 | 10,162 | 官方仓库因事件获得大量新增关注 |
| ghuntley/claude-code-source-code-deobfuscation | — | — | 早期 cleanroom 反混淆版本,随后 force push 撤除 |
2.2 流量红利
@Fried_rice 首发推文:22,000+ 赞、6,400+ 转发、1,100 万浏览。个人影响力从安全研究圈骤然扩展至整个开发者社区。[1]
2.3 技术红利:开发者获得了什么
这是此次事件最实质性的红利,也最难被撤回:[7]
- 43 个内置工具的完整实现包括工具定义、参数 schema、调用逻辑全部可见,为第三方工具开发提供了精确参考
- Hook 系统 4 种触发类型
command/prompt/http/agent,Hook 机制的完整实现逻辑首次公开 - 180+ 个环境变量(CLAUDE_CODE_* 系列)大量隐藏调参能力浮出水面,部分变量此前从未在官方文档中提及
- Prompt Cache 分界设计
SYSTEM_PROMPT_DYNAMIC_BOUNDARY的设计思路和实现细节,对优化 API 成本有直接参考价值 - 竞品获得的架构参考Bun + React + Ink 的终端 UI 技术栈、140 个 React 组件构成的 CLI 界面、工具编排(读取并行 / 写入串行)、Agent 协作与 worktree 隔离机制全部可见
2.4 安全研究红利
已有研究者利用反混淆代码发现命令注入漏洞;权限模型和沙箱实现被公开审计;dangerouslyDisableSandbox 机制的行为被完整记录。
5 种权限模式和旁路方式首次完整公开;记忆系统 4 种类型的正确结构、MCP 服务器发现和配置优先级均可被还原。
2.5 Anthropic 的意外收获
隐藏功能曝光
源码中藏着哪些 Anthropic 尚未公开的产品规划
这是整个事件中最能引发讨论的部分——开发者们在代码里"考古"出了 Anthropic 的产品路线图。[7]
- Buddy 伙伴系统18 个物种(鸭子 / 龙 / 水豚 / 幽灵 / 六角恐龙等)、5 个稀有度等级(Common 60% → Legendary 1%)、5 项属性(调试力 / 耐心 / 混沌 / 智慧 / 毒舌)。采用确定性哈希为每个用户生成唯一宠物。源码注释暗示 4 月初 teaser、5 月正式上线。
- KAIROS 助手模式通过
feature('KAIROS')门控,跳过常规 briefing 流程,有独立的 sessionHistory 管理。仅限 Anthropic 内部员工使用。 - Undercover 隐身模式自动隐藏内部模型代号(Capybara / Tengu)、移除 commit 中的版本信息和 Co-Authored-By 署名。没有强制关闭开关。代码注释原文:"宁可误开,也不漏"。
更多 Feature Flag
内部员工专属功能(USER_TYPE=ant)
Anthropic 员工账号解锁的隐藏能力层
源码中有一整套仅对 USER_TYPE=ant(即 Anthropic 员工)开放的调试与研究功能,泄露后悉数曝光:[7]
API 响应中可看到模型的"研究过程",供 Anthropic 内部分析模型推理行为。
数值精细控制推理力度,绕过标准的自适应思考自动判断。
AI 自动判断工具调用安全性,取代人工审批流程。
录制完整会话用于调试回放,可精确复现用户遇到的问题场景。
导出完整系统提示词到文件,用于 prompt 工程分析。
模拟限流场景(603 行专用代码),用于测试降级行为和用户体验。
行业启示
这次事件对 AI 工具链安全与产品竞争的深层影响
- AI 产品的护城河不在代码里真正的壁垒是模型能力和用户习惯。客户端源码的完整公开,并没有让社区产生"Claude Code 可以被轻松复制"的结论——因为核心竞争力始终是背后的模型。
- 代码混淆在 LLM 时代已实质性失效即使没有 Source Map,给 LLM 一份混淆的 JavaScript,它也能在数分钟内还原大部分逻辑。混淆提供的安全感是幻觉,不能作为核心安全策略。
- MCP 是真正的架构核心Chrome 控制、Computer Use、插件系统全部通过 MCP 接入。源码证实了 MCP 不是附加功能,而是 Claude Code 整个扩展性的基础设施。
- Feature Flag 就是公开的产品路线图语音模式、多 Agent 协调、反蒸馏——这些 Flag 的曝光让 Anthropic 的战略意图一览无余。在 AI 竞争白热化的当下,这类信息泄露的代价远超代码本身。
- 构建流程安全检查不能依赖人工CI/CD 应该自动检测并阻止 source map 进入生产包。一个工程师的失误不应该是整个企业的单点故障。相关 Bun 缺陷(
oven-sh/bun#28001)也应促使整个社区重新审视默认配置的安全边界。[9]
— 事件后开发者社区的集体共识
参考文献 & 信息来源
- @Fried_rice(Chaofan Shou)— 首发推文,22K 赞,11M 浏览(2026-03-31)
- Hacker News — 讨论帖 #47584540,310 万浏览(2026-03-31)
- VentureBeat — "Claude Code's source code appears to have leaked"(2026-03-31)
- Cybernews — "Full source code for Anthropic's Claude Code leaks"(2026-03-31)
- 36氪 — "Claude Code 开源 51 万行代码,引爆全网"(2026-03-31)
- GitHub — instructkr/clawd-code,41,236 Stars,51,613 Forks
- GitHub — Kuberwastaken/claude-code,源码分析与功能 breakdown
- npm — @anthropic-ai/claude-code v2.1.88(已标记 deprecated)
- Bun Issues — oven-sh/bun#28001,默认 source map 生成缺陷
- DEV Community — 多篇 Claude Code 源码解析文章(2026-03-31 起陆续发布)