事件始末
2026年3月,Anthropic在发布Claude Code npm包时,因内部人员操作失误,误将内部源代码映射文件(source map file)打包进了发布版本。一个59.8MB的ZIP文件就此流出,包含了51.2万行TypeScript源代码。
这相当于把自家产品的”设计图纸”原封不动地贴到了网上。
消息传开后,开发者社区的行动速度惊人:有人从Anthropic自己的Cloudflare R2存储桶直接下载,有人第一时间在GitHub建立镜像。短短数小时,相关仓库星标数突破8.4万,分叉数超过8.2万——这个扩散速度连Anthropic自己都没来得及反应。
Anthropic随后向多个镜像站发送了DMCA投诉通知,试图阻止传播,但为时已晚。代码已经在无数服务器、个人电脑和备份里安家,删是删不干净了。
泄露了什么
别以为只是”代码”这么简单。
安全研究人员分析后发现,这批源码暴露的内容远超预期:
内部AI路线图暴露。源码中出现了尚未发布的模型代号,包括Capybara(Claude 4.6)、Fennec(Opus 4.6)以及一个叫Numbat的未知项目。更要命的是,泄露文件显示Capybara v8版本的虚假信息率高达29-30%,而v4版本这项指标仅为16.7%——这意味着下一代模型的”幻觉”问题可能比想象中更严重。
记忆系统架构曝光。Claude Code的分层记忆系统细节被完整披露:小型索引跟踪位置而非存储完整数据,实际信息仅在需要时检索,失败更新不会影响AI记忆。这些技术细节等于给攻击者画了一张”攻击路线图”。
KAIROS功能浮出水面。这个代表用户交互模式根本转变的功能,允许Claude Code作为”始终在线的后台代理”运行——意味着如果被恶意利用,后果远比普通钓鱼攻击严重得多。
供应链攻击已经来了
安全厂商Zscaler很快发出了警告:恶意分叉已经在GitHub上出现了。
一个使用”idbzoomh”ID的用户发布了一个名为”Claude Code leak”的仓库,表面看起来是泄露代码的备份,实际上内藏窃密木马。一旦有开发者好奇下载运行,机器上的凭证、浏览器存储的密码、SSH密钥——全都会被打包传走。
这个恶意仓库只是目前被发现的冰山一角。
Zscaler指出,泄露代码中涉及的已知漏洞(如CVE-2025-59536、CVE-2026-21852)可能正在被武器化。攻击路径包括:通过恶意配置文件、Git hooks、甚至MCP服务器注入后门程序,最终实现任意shell命令执行或凭证窃取。
开发者现在该怎么做
如果你最近安装了Claude Code,先别慌,按这个顺序检查:
第一步:确认安装来源。只从Anthropic官方渠道(npm、GitHub官方仓库)安装,不要从别人分享的链接或第三方备份下载。
第二步:检查最近安装的版本。如果你在3月下旬到4月初之间更新过Claude Code,尤其要留意。官方已经清理了恶意包,但分叉传播的那些还在。
第三步:扫描本地开发环境。使用你已有的安全工具(npm audit、Socket.dev、GitHub的依赖扫描等)检查是否有异常依赖。
第四步:留意异常行为。如果最近遇到来历不明的代码片段、脚本要求你粘贴执行,或者开发环境突然出现奇怪的出站网络连接——立刻断网并排查。
长期来看,企业应该建立完整的供应链安全体系:依赖签名验证、第三方包的安全审计、CI/CD环节的恶意代码扫描,一个都不能少。
开源不等于安全——这个认知,在AI时代比以往任何时候都更该刻进每个开发者的脑子里。
你下载过来历不明的AI工具代码吗?欢迎留言说说你的经历。
