出品｜虎嗅科技組

作者｜余楊

編輯｜苗正卿

頭圖｜視覺(jué)中國(guó)

3月31日消息，Claude Code 源代碼發(fā)生泄露。

這個(gè) 59.8 MB 的 JavaScript 源映射文件，原本應(yīng)用于內(nèi)部調(diào)試，卻被無(wú)意中包含在今天早上早些時(shí)候推送到公共 npm 注冊(cè)表的軟件包版本 2.1.88 中。

美國(guó)東部時(shí)間凌晨 4 點(diǎn) 23 分， Solayer Labs 的實(shí)習(xí)生在 X上分享了這一發(fā)現(xiàn)。這條包含著直接下載鏈接的帖子迅速傳播開(kāi)來(lái)，短短幾個(gè)小時(shí)，約 51.2 萬(wàn)行的 TypeScript 代碼庫(kù)就被鏡像到 GitHub 上，并被成千上萬(wàn)的開(kāi)發(fā)者分析。

Anthropic公司通過(guò)發(fā)言人向VentureBeat發(fā)送的電子郵件聲明證實(shí)了泄密事件，聲明內(nèi)容如下：

“今天早些時(shí)候，Claude Code 的一個(gè)版本中包含了一些內(nèi)部源代碼。沒(méi)有涉及或泄露任何敏感的客戶數(shù)據(jù)或憑證。這是人為錯(cuò)誤導(dǎo)致的版本打包問(wèn)題，并非安全漏洞。我們正在采取措施防止此類(lèi)事件再次發(fā)生?！?/p>

對(duì)目前正處于高速發(fā)展期的Anthropic公司而言，此次泄露事件不僅僅是一次安全漏洞，更是一次戰(zhàn)略性的知識(shí)產(chǎn)權(quán)流失。泄露事件為競(jìng)爭(zhēng)對(duì)手提供了一個(gè)構(gòu)建高自主性、可靠且具有商業(yè)可行性的 AI 代理的實(shí)際藍(lán)圖。從商業(yè)角度看，這次泄露的時(shí)機(jī)十分關(guān)鍵。

近一年來(lái), Claude 產(chǎn)品的商業(yè)化速度非常之快，市場(chǎng)數(shù)據(jù)顯示，僅 Claude Code 就實(shí)現(xiàn)了25 億美元的年度經(jīng)常性收入 (ARR)，并且這個(gè)數(shù)字自年初以來(lái)已經(jīng)翻了一番多。截至2026年3月，公司的年化營(yíng)收預(yù)計(jì)將達(dá)到190億美元。

與此同時(shí)，源代碼所暴露的Anthropic技術(shù)邏輯引發(fā)了熱議。

一個(gè)具有懷疑精神的記憶系統(tǒng)

對(duì)競(jìng)爭(zhēng)對(duì)手來(lái)說(shuō)，最重要的啟示在于 Anthropic 一定程度上解決了“上下文熵”的問(wèn)題。AI 技術(shù)一直面臨著一個(gè)難題，隨著會(huì)話的長(zhǎng)時(shí)間運(yùn)行，會(huì)話內(nèi)容也變得越來(lái)越復(fù)雜，AI Agent 很容易變得困惑或產(chǎn)生幻覺(jué)。

泄露的源代碼揭示了一種復(fù)雜的三層內(nèi)存架構(gòu)，這種架構(gòu)摒棄了傳統(tǒng)的“存儲(chǔ)一切”的檢索方式，采用了“自愈內(nèi)存”系統(tǒng)。

其核心是一個(gè)輕量級(jí)的指針?biāo)饕琈EMORY.md。它每行約 150 個(gè)字符，會(huì)持續(xù)加載到上下文中。它的思路是不存儲(chǔ)數(shù)據(jù)，而是存儲(chǔ)位置信息。

也就是說(shuō)，實(shí)際的項(xiàng)目知識(shí)分布在按需獲取的“主題文件”中，這樣一來(lái)，原始轉(zhuǎn)錄文本永遠(yuǎn)不會(huì)被完全讀回上下文，而只是被“grep”查找特定的標(biāo)識(shí)符。

這種“嚴(yán)格的寫(xiě)入規(guī)則”可以防止模型用失敗的嘗試污染其上下文，因?yàn)锳gent只有在成功寫(xiě)入文件后才能更新索引。

可以理解為，Anthropic構(gòu)建了一個(gè)具有懷疑精神的記憶系統(tǒng)。這條無(wú)意中泄露的代碼證實(shí)，Anthropic 的智能體被指示將自身的記憶視為“提示”，原理上要求模型在繼續(xù)執(zhí)行之前，必須先根據(jù)實(shí)際代碼庫(kù)驗(yàn)證事實(shí)，從而保證了索引的有效性。

“ KAIROS ”：一種自主守護(hù)進(jìn)程模式

此次泄露還揭開(kāi)了“ KAIROS ”的神秘面紗，這個(gè)源自古希臘語(yǔ)、意為“在恰當(dāng)?shù)臅r(shí)機(jī)”的功能標(biāo)志在源代碼中被提及超過(guò)150次。

目前的 AI 工具大多是被動(dòng)的，但 KAIROS 允許 Claude Code 作為始終在線的后臺(tái)代理運(yùn)行。它處理后臺(tái)會(huì)話并采用名為“autoDream”的模式。

在這種模式下，智能體會(huì)在用戶空閑時(shí)執(zhí)行“記憶整合”。其“autoDream”邏輯會(huì)將分散的觀察結(jié)果合并，消除邏輯矛盾，并將模糊的洞察轉(zhuǎn)化為絕對(duì)的事實(shí)。這種后臺(tái)維護(hù)確保當(dāng)用戶返回時(shí)，代理的上下文是干凈且高度相關(guān)的。

通過(guò)實(shí)現(xiàn)一個(gè)分叉的子代理來(lái)運(yùn)行這些任務(wù)，可以防止主代理的“思路”被其自身的維護(hù)例程所破壞，這是一種成熟的工程方法。

KAIROS自主守護(hù)進(jìn)程模式代表著用戶體驗(yàn)的根本性轉(zhuǎn)變：它實(shí)現(xiàn)了Agent的自我反省和“push”。

探索中的內(nèi)部模型和性能

當(dāng)然，源代碼也暴露了自身的技術(shù)難題，讓人洞悉 Anthropic 的內(nèi)部模型路線圖的同時(shí)，也看到前沿開(kāi)發(fā)所面臨的挑戰(zhàn)。

泄露的信息顯示，Anthropic公司已經(jīng)在對(duì)Capybara v8進(jìn)行迭代開(kāi)發(fā)，但該模型仍然面臨諸多挑戰(zhàn)。代碼顯示，v8版本的虛假申報(bào)率高達(dá)29-30%，相比v4版本的16.7%，實(shí)際上出現(xiàn)了倒退。

開(kāi)發(fā)人員還注意到，為了防止模型在重構(gòu)過(guò)程中變得過(guò)于激進(jìn)，Anthropic 設(shè)計(jì)了一種“斷言平衡機(jī)制”。

對(duì)競(jìng)爭(zhēng)對(duì)手而言，這些指標(biāo)都非常有價(jià)值；它們?yōu)楫?dāng)前代理性能的“上限”提供了基準(zhǔn)，并突出了 Anthropic 仍在努力解決的具體弱點(diǎn)，比如過(guò)度評(píng)論、虛假聲明等等。

除此之外，目前討論最多的技術(shù)細(xì)節(jié)是“隱蔽模式”。它揭示了 Anthropic 使用 Claude Code 對(duì)公共開(kāi)源代碼庫(kù)進(jìn)行“隱蔽”貢獻(xiàn)。

泄露文件中有一條系統(tǒng)提示，它警告模型：“您正在執(zhí)行秘密任務(wù)……您的提交信息……不得包含任何 Anthropic 內(nèi)部信息。不要暴露您的身份?！?/p>

簡(jiǎn)單來(lái)說(shuō)，這種模式為希望在不披露的情況下使用 AI 代理進(jìn)行面向公眾的工作的組織提供了一個(gè)技術(shù)框架。其工作邏輯確保不會(huì)有任何模型名稱或 AI 歸屬信息泄露到公共 git 日志中。那么，在 AI 輔助開(kāi)發(fā)中，就可以實(shí)現(xiàn)企業(yè)客戶的匿名性，這對(duì)重視隱私的企業(yè)格外重要。

Anthropic 同時(shí)正在嘗試將“個(gè)性”融入終端產(chǎn)品以提高用戶粘性，網(wǎng)友發(fā)現(xiàn)，Chaos功能正在醞釀中，這是一個(gè)類(lèi)似電子寵物的小精靈，它會(huì)“坐在你的輸入框旁邊，并對(duì)你的代碼做出反應(yīng)”。

對(duì)整個(gè)人工智能市場(chǎng)而言，Claude Code 源代碼的泄露為智能體編排創(chuàng)造了“公平的競(jìng)爭(zhēng)環(huán)境”。競(jìng)爭(zhēng)對(duì)手現(xiàn)在可以研究 Anthropic 的 2500 多行 bash 驗(yàn)證邏輯及其分層內(nèi)存結(jié)構(gòu)，從而以極少的研發(fā)預(yù)算構(gòu)建“類(lèi)似 Claude”的代理。

下一代自主智能體的研發(fā)競(jìng)賽意外地獲得了 Anthropic 25 億美元的“天使投喂”。

Claude Code 用戶如何止損

源代碼泄露本身對(duì) Anthropic 的知識(shí)產(chǎn)權(quán)造成了重大打擊，同時(shí)也給用戶帶來(lái)了一定的安全風(fēng)險(xiǎn)。

Anthropic 源代碼的泄露為不法分子提供了一份路線圖，他們可以更加方便地繞過(guò)安全防護(hù)措施和權(quán)限提示的方法。由于Hooks 和 MCP 服務(wù)器的確切編排邏輯的泄露，攻擊者現(xiàn)在可以設(shè)計(jì)專門(mén)針對(duì)“誘騙”Claude Code 運(yùn)行后臺(tái)命令或竊取數(shù)據(jù)而量身定制的惡意存儲(chǔ)庫(kù)。

最直接的危險(xiǎn)是，在泄露事件發(fā)生前幾個(gè)小時(shí)，npm 包還遭受了一次獨(dú)立的供應(yīng)鏈攻擊。

也就是說(shuō)，如果用戶在 2026 年 3 月 31 日 凌晨 UTC 期間通過(guò) npm 安裝或更新了 Claude Code，那么很有可能也無(wú)意中引入了包含遠(yuǎn)程訪問(wèn)木馬 (RAT) 的惡意 axios 版本（1.14.1 或 0.30.4）。為了補(bǔ)救，Anthropic 已將 Native Installer指定為推薦方法，使用獨(dú)立的二進(jìn)制文件，不依賴于不穩(wěn)定的 npm 依賴鏈。

近期，在不熟悉的環(huán)境中使用 Claude Code 時(shí)，用戶最好提高警惕，在手動(dòng)檢查所有自定義鉤子之前，不要在剛剛克隆或不受信任的存儲(chǔ)庫(kù)中運(yùn)行代理。

云端存儲(chǔ)的數(shù)據(jù)雖然安全，但由于代理的內(nèi)部防御機(jī)制已公開(kāi)，本地環(huán)境的脆弱性有所增加，這都是未來(lái)使用中需要注意的。

本內(nèi)容由作者授權(quán)發(fā)布，觀點(diǎn)僅代表作者本人，不代表虎嗅立場(chǎng)。如對(duì)本稿件有異議或投訴，請(qǐng)聯(lián)系 tougao@huxiu.com。

本文來(lái)自虎嗅，原文鏈接：https://www.huxiu.com/article/4847344.html?f=wyxwapp