Anthropic 因 npm 配置错误泄露 Claude Code 源代码
2026年3月31日,由于配置错误的源映射文件被作为@anthropic-ai/claude-code包的2.1.88版本发布到npm注册表,Anthropic无意中暴露了其Claude Code人工智能编码代理的完整源代码。
这份59.8兆字节的文件包含大约512,000行TypeScript代码,分布在1906个文件中,揭示了该代理的三层记忆架构、对名为KAIROS的自治守护进程模式的引用、内部模型的代号(包括Capybara(Claude 4.6)和Fennec(Opus 4.6)),以及一项允许“卧底”向开源仓库贡献而不披露AI参与的功能。
源代码泄露揭示了Claude Code的三层记忆架构
泄露的源代码详细说明了Anthropic如何构建Claude Code,通过复杂的记忆系统管理长时间的编码会话。核心是一个名为MEMORY.md的轻量级文件,用于存储简短的引用而非完整信息,更详细的项目笔记被单独保存,只有在需要时才会被调取。系统会有选择性地检索过去的会话历史,而不是一次性全部加载。该系统在采取行动前还会将记忆与实际代码进行校验,这一设计旨在减少错误和误判。
泄露显示,该代理被指示将自身记忆视为“提示”,在继续操作前需要与代码库进行验证。这一方法被称为“严格写作纪律”,防止模型在失败尝试后污染上下文。记忆架构旨在解决开发者所称的“上下文熵”问题——即随着长时间会话的复杂度增加,AI代理容易变得困惑或出现幻觉。
KAIROS自治模式与卧底功能被曝光
源代码中反复提到一个名为KAIROS的功能,描述为一种守护进程模式:在此模式下,代理可以在后台持续运行,而无需等待直接提示。相关进程autoDream负责在空闲时进行记忆整合,通过调和矛盾,将暂时的观察转化为已验证的事实。
其中最敏感的披露涉及一种被描述为卧底模式的功能。恢复的系统提示指示Claude Code在不暴露AI参与的情况下,为公开的开源仓库做贡献,具体指令要求避免在提交信息或公共git日志中暴露内部标识符,包括Anthropic的代号。审查泄露内容的开发者还发现了数十个隐藏的功能开关,其中包括通过Playwright实现的浏览器自动化。
内部模型性能指标与开发路线图被曝光
泄露内容显示了内部模型的名称和性能数据。根据源代码,Capybara指的是Claude 4.6的一个变体,Fennec对应一次Opus 4.6的版本,Numbat仍处于预发布测试阶段。内部基准测试显示,最新的Capybara版本虚假声明率为29%到30%,高于早期版本的16.7%。源代码还提到一个用于控制模型果断程度的反向权重,以防止在重构用户代码时模型变得过于激进。
泄露的资料还披露了Anthropic的权限引擎、多代理工作流的编排逻辑、bash验证系统以及MCP服务器架构,使竞争对手得以更详细地了解Claude Code的工作机制。据称,截至2026年3月,Claude Code的年化经常性收入达25亿美元,其中企业客户贡献了80%的收入。
并发的npm供应链攻击加剧安全风险
此次源代码泄露同时伴随着另一场供应链攻击:在2026年3月31日UTC时间00:21至03:29期间,恶意版本的axios npm包被分发。期间通过npm安装或更新Claude Code的开发者,可能无意中引入了包含远程访问木马的受感染axios版本(1.14.1或0.30.4)。
Anthropic在一份声明中确认了此次泄露,称某个Claude Code版本包含部分内部源代码,但未涉及或暴露任何敏感客户数据或凭证。公司将此问题归因于发布包中的人为错误,而非安全漏洞,并表示正采取措施防止类似事件再次发生。此次泄露后,Anthropic将其独立二进制安装程序作为首选安装方式,以绕过npm依赖链。
常见问题(FAQ)
Anthropic意外暴露了哪些源代码?
Anthropic通过一个配置错误的源映射文件,意外暴露了约512,000行用于Claude Code的TypeScript源代码。泄露内容揭示了该代理的记忆架构、名为KAIROS的自治守护进程、内部模型的代号,以及一项让“卧底”向开源仓库贡献的功能。
泄露后用户面临哪些安全风险?
在3月31日的三小时窗口期间,通过npm安装或更新Claude Code的用户,可能无意中安装了含有远程访问木马的恶意axios依赖。安全专家建议检查依赖锁定文件,确认是否存在被篡改的版本,轮换凭证,并考虑在受影响的设备上进行完整的操作系统重装。
用户应如何缓解风险?
Anthropic建议使用独立的二进制安装程序,而非通过npm安装,以绕过npm依赖链。使用npm的用户应卸载2.1.88版本,并固定到经过验证的安全版本。在检查配置文件和自定义钩子之前,避免在不可信的仓库中运行代理。