Anthropic的Claude代码泄露揭示了自主代理工具和未发布的模型

Anthropic 在一次配置错误的源映射文件被发布到 npm 之后，公开了 Claude Code 的全部源代码，从而让人得以难得地一窥该公司最重要的商业产品之一的内部运作。

该文件随版本 2.1.88 捆绑，包含近 60MB 的内部材料，其中包括分布在 1,906 个文件中的约 512,000 行 TypeScript。Solayer Labs 的实习软件工程师 Chaofan Shou 最初发现了这一泄露，随后随着开发者开始审查代码库，泄露信息很快在 X 和 GitHub 上传播开来。

此次披露展示了 Anthropic 如何构建 Claude Code，以便在长时间编码期间保持“有条不紊”。最清晰的发现之一是一套三层记忆系统，其核心围绕一个名为 MEMORY.md 的轻量文件：它保存的是简短引用，而不是完整信息。更详细的项目笔记会被单独保存，并且只有在需要时才被拉取；而过去的会话历史会被选择性检索，而不是一次性全部加载。代码还指示系统在采取行动之前先将记忆与实际代码进行核对，这种设计旨在减少错误和错误假设。

该源文本还暗示 Anthropic 正在开发一种比当前用户所见更自主的 Claude Code 版本。一个被反复提及、名为 KAIROS 的功能，似乎描述了一种守护进程模式：在这种模式下，代理可以在后台持续运行，而不是等待直接的提示。

另一个名为 autoDream 的过程，似乎会在空闲期间进行记忆巩固，通过调和矛盾并将暂定观察转换为已验证事实。审阅代码的开发者还发现了数十个隐藏的功能开关，其中包括通过 Playwright 进行浏览器自动化的引用。

此次泄露还暴露了内部模型名称以及性能数据。根据源文本，Capybara 指的是某个 Claude 4.6 的变体，Fennec 对应一次 Opus 4.6 的发布，而 Numbat 仍处于上线前测试阶段。

代码中引用的内部基准测试显示：最新的 Capybara 版本的虚假主张率为 29% 到 30%，而早期迭代的该指标为 16.7%。源文本还提到了一个旨在起到“果断度配平”的机制，用于在对用户代码进行重构时防止模型变得过于激进。

其中一项最敏感的披露涉及一种被描述为 Undercover Mode（隐身模式）的功能。恢复得到的系统提示词暗示 Claude Code 可能被用于向公开的开源仓库做出贡献，而不暴露“参与其中的 AI”。指令明确要求模型避免在提交信息或公开的 git 日志中暴露内部标识符，包括 Anthropic 的代号。

泄露材料还暴露了 Anthropic 的权限引擎、多智能体工作流的编排逻辑、bash 验证系统以及 MCP 服务器架构，从而让竞争对手得以更详细地了解 Claude Code 的工作方式。此次披露也可能为攻击者提供更清晰的路线图，用于打造旨在利用该代理信任模型的仓库。粘贴的文本称，一名开发者已经在泄露后的数小时内以 Claw Code 之名开始用 Python 和 Rust 重写系统部分组件。

源代码泄露发生的同时，还出现了另一场供应链攻击：3 月 31 日分发的 axios npm 包的恶意版本。开发者在该期间通过 npm 安装或更新 Claude Code 时，可能也会拉入被攻陷的依赖项，据称其中包含远程访问木马。安全研究人员敦促用户检查其 lockfile、轮换凭据，并在某些情况下考虑对受影响机器进行完整的操作系统重装。

该事件标志着在大约十三个月内第二起已知案例，即 Anthropic 暴露了敏感的内部技术细节；此前一次是在 2025 年 2 月，涉及未发布的模型信息。

在最新的泄露之后，Anthropic 将其独立的二进制安装器指定为安装 Claude Code 的首选方式，因为它绕过了 npm 依赖链。仍然使用 npm 的用户被建议固定（pin）到在受攻陷软件包之前发布的经验证安全版本。

                    **披露：** 本文由 Estefano Gomez 进行编辑。欲了解更多关于我们如何创建和审阅内容的信息，请参阅我们的《编辑政策》。