昨天,全球 AI 圈都在围观一件事——
Anthropic 把自己的核心代码,亲手推上了公开的 npm 仓库。
在 Claude Code 的 npm 包里,一个原本用于内部调试的 source map 文件被意外打包进去发布了出去。这个文件指向了一个存放在 Anthropic 自家 Cloudflare R2 存储桶上的 zip 压缩包——任何人都可以下载、解压、随意查看。
压缩包里装着将近 2000 个文件、超过 50 万行代码,囊括了 Claude Code 完整的架构设计和大量未发布功能。
这份代码在 GitHub 上迅速被备份,fork 数一度超过 41500 次,几乎在几小时内就传遍了整个开发者圈子。
就这样,Anthropic 亲手把自己的核心产品"开源"了。
一、这件事到底有多严重?
先说结论:比大多数人想象的要严重。
有人说,不就是源码嘛,没泄露用户数据,没泄露模型权重,有什么大不了的?
Anthropic 确实承认没有用户数据或凭证被波及,并将此定性为"打包操作的人为失误,而非安全漏洞"。
但问题不在这里。
Claude Code 的部分核心能力,并非来自底层大模型本身,而是来自围绕模型构建的那套软件"框架"——它指挥 Claude 如何调用其他工具,并提供了关键的指令和护栏逻辑。这层东西,现在被人扒得一清二楚。
更致命的是里面藏着什么:
未发布的产品路线图。泄露的代码中包含数十个已完成开发、但尚未上线的功能 flag,包括后台持久运行模式、跨会话记忆迁移、以及多设备远程控制等能力。对竞争对手来说,这等于白送了一份清晰的追赶地图。
内部模型性能数据。代码中的注释揭示了代号"Capybara"的模型在 v8 版本仍有 29-30% 的错误率,比 v4 的 16.7% 反而有所退步,开发团队还专门设了一个"攻击性反制权重"来避免模型在重构时过于激进。这类内部 benchmark 数据,现在变成了所有竞争者的参考系。
一个叫 KAIROS 的"幽灵功能"。这个代号在代码中出现超过 150 次,对应着一种"自主后台守护进程模式"——当用户空闲时,Claude Code 可以在后台进行"记忆整合",剔除矛盾信息、固化模糊认知,让 AI 在用户回来时已经"想清楚了很多事情"。这是下一代 AI Agent 的核心设计方向,现在全公开了。
还有一个叫"反蒸馏"机制。代码里有一个名为 ANTI_DISTILLATION_CC 的 flag,开启后会在 API 请求中注入虚假的工具定义,专门用于污染那些试图录制 Claude Code 行为来训练竞争模型的数据。这是 Anthropic 主动防止技术被"蒸馏复刻"的手段,现在同样人尽皆知。
二、怎么发生的?
问题出在 Claude Code 使用的 Bun 打包工具上——Bun 默认会生成 source map 文件,除非你明确关掉这个选项。有人忘记在 .npmignore 配置中排除这类文件,结果调试用的"地图"就跟着正式包一起上线了。
更讽刺的是,代码里有一套叫"Undercover Mode"的系统,专门设计用来防止 Anthropic 内部信息(比如模型代号)通过 AI 生成的 git commit 被泄露出去——他们费心设计了一整套"防泄密子系统",却把完整源码打包进了发布包里。
这不是电影里的剧情,这是真实发生的事。
三、我想从创业者角度聊几句
看完这件事,我脑子里转了一圈,想到的不只是"Anthropic 出丑了"这一层。
第一,规模不是安全的保证。
Anthropic 目前的年化营收已经达到 190 亿美元,是当下 AI 赛道上最耀眼的公司之一。但就是这样一家公司,在一个细节配置上翻了车。这件事提醒我:系统的安全性永远取决于最薄弱的那个环节,不是钱砸得越多就越安全的。
很多创业者有个错觉:等我们做大了,这些问题自然会有专人负责。但事实是,你越大,你的失误影响面越大,容错空间反而越小。
第二,这是第二次了。
这已经是 Anthropic 在不到一周内发生的第二次重大信息外泄——就在几天前,他们刚刚因为一个公开可访问的数据缓存,意外暴露了约 3000 份内部文件,其中包括一篇尚未发布的涉及下一代模型"Mythos"的博客草稿。
两次,一周之内。这说明问题不在于某一个人的粗心,而在于信息安全的流程和文化还没有跟上公司的发展速度。这对我们自己也是一个警醒:增长是可以很快的,但基础设施的建设和习惯的养成,往往慢半拍。
第三,意外事件暴露真实优先级。
我做广告公司这么多年,见过太多老板说"安全是第一位的",但每次项目排期遇到压力,安全测试永远是第一个被砍掉的。
Anthropic 大概也一样——KAIROS 的后台守护进程、跨会话记忆、反蒸馏机制……这些功能做得多精心,说明工程投入多大。但 .npmignore 这一行配置,没人盯住。
精力放在哪里,意外就在哪里的反面发生。
第四,泄露已发生,接下来才是关键。
这次泄露不会击垮 Anthropic,但相当于给每一个竞争对手送了一份免费的工程教材,教他们如何构建生产级 AI 编程 Agent,以及该重点攻克哪些功能方向。
但同样,接下来 Anthropic 怎么处理这件事,才是真正考验一家公司的时刻:是遮掩还是直面?是修补漏洞还是修补流程?是公关应对还是真正反省?
从他们目前的回应来看,措辞平静、承认失误、宣布整改——还算是一个负责任的表态。
四、我的一点个人感受
我最近在自己的内容里反复说一件事:做事的人,迟早会在某个地方出丑。
不是在台上,就是在台下。不是现在,就是将来。
Anthropic 这次的出丑,是在 .npmignore 这一行代码上。
我自己以前出丑,是在第一次带团队的时候——以为交代了就等于执行了,以为做大了就等于做好了。后来吃了亏才明白:流程不是束缚,流程是护栏。
这件事里,我最欣赏的细节不是泄露的代码,而是那个在凌晨 4 点多发现问题、直接在 X 上广播的研究员 Chaofan Shou——一个在 Solayer Labs 实习的年轻人。
他在北京时间早上 4 点 23 分发出那条帖子,内附了完整的下载链接,直接让整个开发者社区炸了锅。
他没有悄悄留着,也没有兜售,而是直接公开。这是黑客精神里最朴素的那部分:发现了就说出来。
五、对我们普通创业者的启示
这件事对我来说,最直接的三个启示:
一,信息安全不是大公司才要考虑的事。 小团队更脆弱,只是覆盖面小,所以平时感觉不到。但一旦出事,同样一蹶不振。
二,发布流程要有人工复核节点。 Claude Code 是 Anthropic 最核心的产品之一,但发包这一步,显然没有标准化的复核机制。你的核心资产,有没有人在发布前最后看一眼?
三,速度和安全永远是一对矛盾,你得显式地做取舍。 不做取舍,系统帮你做——代价你来承担。
最后一句话送给所有还在路上的创业者:
你的护城河,不只在于你做了什么,更在于你没有意外丢失什么。
想和我深度交流,欢迎添加昆昆微信TQkksong,或加入推敲星球——创业者的能量补给站,一起成长。
