整理 | Tina

　　這周，Anthropic 因一次發(fā)布失誤，把 Claude Code 的大部分核心源碼直接暴露在了網(wǎng)上。

　　事情的起點(diǎn)，是 npm 上發(fā)布的 Claude Code 2.1.88 安裝包。包里混進(jìn)了一個(gè)本不該公開(kāi)的 map 文件。這類文件原本只是開(kāi)發(fā)階段的調(diào)試工具，用來(lái)在代碼被壓縮、打包之后，依然能把報(bào)錯(cuò)信息對(duì)應(yīng)回原始源碼中的具體位置。

　　問(wèn)題在于，map 文件里往往不只有“映射關(guān)系”，還可能直接包含原始源碼。

　　更關(guān)鍵的是，這個(gè) map 文件還指向了 Anthropic 在 Cloudflare R2 存儲(chǔ)桶中的一個(gè) zip 壓縮包。順著這個(gè)地址，外界可以直接下載并解壓完整源碼。

　　這個(gè)壓縮包里的內(nèi)容相當(dāng)完整：大約 1900 個(gè) TypeScript 文件，總計(jì)約 52 萬(wàn)行代碼，包含一整套內(nèi)置命令以及各種內(nèi)置工具，可以說(shuō)是“該有的全都有”。

　　刪不掉的源代碼

　　從結(jié)構(gòu)上看，Claude Code 采用了一套類似插件的工具體系。文件讀取、Bash 執(zhí)行、網(wǎng)頁(yè)抓取、LSP 集成等能力，都被拆成獨(dú)立工具，并帶有權(quán)限控制。僅基礎(chǔ)工具定義，就占了將近 3 萬(wàn)行代碼。

　　同時(shí)，代碼中還包含一個(gè)約 4.6 萬(wàn)行的 Query Engine，可以理解為整個(gè)系統(tǒng)的“大腦”，負(fù)責(zé)模型調(diào)用、流式輸出、緩存以及整體調(diào)度。

　　更進(jìn)一步，Claude Code 還具備多智能體編排能力。它可以拉起子智能體（內(nèi)部稱為 “swarms”），把復(fù)雜任務(wù)拆分并并行執(zhí)行，每個(gè)智能體都有獨(dú)立上下文和工具權(quán)限。

　　在使用體驗(yàn)上，IDE 與 CLI 之間通過(guò)一套雙向通信機(jī)制打通。VS Code、JetBrains 等編輯器插件，正是通過(guò)這層橋接系統(tǒng)與 Claude Code 交互，實(shí)現(xiàn)“在編輯器里用 AI 編碼”的體驗(yàn)。

　　此外，源碼中還包含一套持久化記憶機(jī)制。Claude 會(huì)以文件的形式，在本地持續(xù)記錄與用戶、項(xiàng)目以及使用偏好相關(guān)的信息，并在后續(xù)會(huì)話中調(diào)用這些內(nèi)容。

　　事發(fā)之后，Anthropic 已下架相關(guān)版本。負(fù)責(zé) Claude Code 的工程師 Boris Cherny 專門(mén)澄清，這件事就是一次開(kāi)發(fā)失誤。本質(zhì)上是流程、文化或基礎(chǔ)設(shè)施問(wèn)題。

　　不過(guò)，代碼一旦流出去，就很難再收回來(lái)了。GitHub 上很快冒出了數(shù)百個(gè)源碼鏡像。其中，用戶 Sigrid Jin 上傳的一個(gè)版本，最新已經(jīng)拿下 10.5 萬(wàn) star、9.5 萬(wàn) fork。作為對(duì)比，Anthropic 官方那個(gè)主要用來(lái)分享插件和收 bug 反饋的 Claude Code 倉(cāng)庫(kù)，star 也不過(guò) 9.5 萬(wàn)左右。

　　有報(bào)道稱，Anthropic 已經(jīng)開(kāi)始發(fā)版權(quán)刪除請(qǐng)求。為了避開(kāi)這類風(fēng)險(xiǎn)，Jin 后來(lái)又借助 OpenAI Codex，把這份 TypeScript 代碼改寫(xiě)成了 Python，隨后又繼續(xù)改成了 Rust。

　　截至目前，Anthropic 尚未回應(yīng)是否會(huì)對(duì)這些“再實(shí)現(xiàn)”項(xiàng)目采取法律行動(dòng)。這也引出了一個(gè)更復(fù)雜的問(wèn)題：既然 Anthropic 一直強(qiáng)調(diào) Claude Code 的代碼大部分是由 AI 自己生成的，那么這些代碼在版權(quán)上是否具備保護(hù)資格？

　　技術(shù)律師 Russ Pearlman 在 LinkedIn 上指出：“按照當(dāng)前美國(guó)版權(quán)法，作品必須具備實(shí)質(zhì)性的人類創(chuàng)作才能獲得保護(hù)……競(jìng)爭(zhēng)對(duì)手如果研究這些泄露的代碼，可能面對(duì)的是在法律意義上并不受保護(hù)的內(nèi)容?！?/p>

　　他還寫(xiě)道：“最諷刺的是，這個(gè)世界上最先進(jìn)的 AI 編碼工具，可能正是靠自己，把自己的知識(shí)產(chǎn)權(quán)‘寫(xiě)沒(méi)了’。”

　　代碼背后那些不想讓你知道的秘密

　　Claude Code 在開(kāi)發(fā)上的效果確實(shí)不錯(cuò)，但如果往下拆，真正起決定作用的，可能還是底層大模型，而不只是外面那層封裝。更何況，業(yè)內(nèi)已經(jīng)有開(kāi)源的 Codex、Gemini，以及 OpenCode 這類命令行工具，在技術(shù)思路上并沒(méi)有本質(zhì)差別。

　　有網(wǎng)友評(píng)論稱，Claude 的命令行工具談不上有什么“獨(dú)門(mén)秘訣”，其代理框架甚至未必比同類產(chǎn)品更強(qiáng)。也就是說(shuō)，這次泄露最值得看的，未必是 Claude Code “到底有多強(qiáng)”，而是全球開(kāi)發(fā)者順著這份源碼，究竟挖出了多少原本不該被外界知道的東西。

　　雖然 Claude Code 不像 rootkit 那樣擁有持久內(nèi)核訪問(wèn)權(quán)限，但對(duì)其源代碼的分析發(fā)現(xiàn)，這款智能體程序?qū)τ谟脩粲?jì)算機(jī)的控制能力仍遠(yuǎn)超協(xié)議條款中的表述。它不僅會(huì)保留大量用戶數(shù)據(jù)，甚至在面對(duì)拒絕 AI 的開(kāi)源項(xiàng)目時(shí)可以隱藏其身份。

　　從泄露的 Claude Code 客戶端源代碼來(lái)看（研究人員對(duì)其二進(jìn)制文件進(jìn)行了逆向工程），這款程序幾乎可以控制任何完成了安裝的用戶設(shè)備。

　　它說(shuō)動(dòng)不了模型，但入口一個(gè)沒(méi)少

　　最近，Anthropic 與美國(guó)政府合作相關(guān)的一場(chǎng)風(fēng)波，又把一個(gè)關(guān)鍵問(wèn)題擺上臺(tái)面：它到底能不能動(dòng)模型。

　　外界擔(dān)心的是，Anthropic 理論上仍有能力在特殊情況下調(diào)整模型行為，甚至讓系統(tǒng)失效。Anthropic 對(duì)此予以否認(rèn)，還強(qiáng)調(diào)模型一旦部署進(jìn)機(jī)密環(huán)境，自己就無(wú)法再訪問(wèn)，更談不上控制。

　　然而，一位要求匿名的安全研究員（化名“Antlers”）在梳理 Claude Code 源碼后認(rèn)為，在機(jī)密環(huán)境中，似乎可通過(guò)滿足以下所有條件以阻止 Claude Code 采取“回傳”或其他遠(yuǎn)程操作：

　　確保推理傳輸通過(guò) Amazon Bedrock GovCloud 或 Google AI for Public Sector (Vertex) 進(jìn)行。

　　阻止數(shù)據(jù)收集端點(diǎn)。使用防火墻保護(hù) Statsig/GrowthBook/Sentry 等工具。

　　阻止系統(tǒng)提示符指紋識(shí)別（例如通過(guò) Bedrock）。

　　通過(guò)版本鎖定和阻止更新端點(diǎn)來(lái)阻止自動(dòng)更新。

　　禁用 autoDream，這是一個(gè)正在測(cè)試中的未發(fā)布后臺(tái)代理，能夠讀取所有會(huì)話記錄。

　　我們沒(méi)有找到在機(jī)密環(huán)境中運(yùn)行的特定設(shè)置，但 Claude Code 確實(shí)支持多種可限制遠(yuǎn)程通信的標(biāo)記。具體包括：

　　CLAUDE_CODE_DISABLE_AUTO_MEMORY=1，禁用所有內(nèi)存與遙測(cè)寫(xiě)入操作。

　　CLAUDE_CODE_SIMPLE (--bare mode)，完全移除內(nèi)存與 autoDream。

　　ANTHROPIC_BASE_URL，可用于將 API 調(diào)用重新定向至私有端點(diǎn)。

　　ANTHROPIC_UNIX_SOCKET，通過(guò)轉(zhuǎn)發(fā)套接字（SSH 隧道模式）對(duì)身份驗(yàn)證進(jìn)行路由。

　　遠(yuǎn)程管理設(shè)置（policySettings）可以鎖定企業(yè)級(jí)部署行為，但無(wú)法徹底鎖死。

　　據(jù) Anthropic 公共部門(mén)負(fù)責(zé)人 Thiyagu Ramasamy 介紹，Anthropic 會(huì)將模型的運(yùn)行與管理權(quán)交由這類高安全級(jí)別的客戶環(huán)境，包括功能增減在內(nèi)的更新，也需要雙方協(xié)商確認(rèn)。

　　他在 2026 年 3 月 20 日的聲明中表示，例如在系統(tǒng)運(yùn)行期間，Anthropic 人員無(wú)法直接登錄客戶環(huán)境去修改或停用模型，這在技術(shù)上不可行。在機(jī)密部署中，只有客戶及其授權(quán)的云服務(wù)提供方可以訪問(wèn)系統(tǒng)。Anthropic 主要負(fù)責(zé)提供模型本體，并在客戶要求或批準(zhǔn)的情況下提供更新。

　　即便如此，Anthropic 仍可以通過(guò)合同條款，在一定范圍內(nèi)保留部分控制能力。

　　Claude Code 背后，有一整套拿用戶信息的辦法

　　對(duì)于所有未使用與防火墻連接的公有云版本、或以某種方式實(shí)現(xiàn)物理隔離的 Claude Code 用戶而言，Anthropic 擁有著更大的訪問(wèn)權(quán)限。

　　首先，Anthropic 會(huì)接收通過(guò)其 API 傳輸?shù)挠脩籼崾驹~與響應(yīng)結(jié)果。這些對(duì)話不僅可能泄露對(duì)話內(nèi)容，還可能泄露文件內(nèi)容及系統(tǒng)詳細(xì)信息。

　　從源代碼內(nèi)容來(lái)看，除此之外，該公司還通過(guò)其他多種方式接收或收集用戶信息，具體包括：

　　KAIROS（src/bootstrap/state.ts:72）是由 kairosActive 標(biāo)記設(shè)置的守護(hù)進(jìn)程（后臺(tái)進(jìn)程）。它似乎屬于尚未發(fā)布的無(wú)頭“助手模式”，會(huì)在用戶不查看終端用戶界面 (TUI) 時(shí)起效。它會(huì)移除狀態(tài)欄（StatusLine.tsx:33），禁用規(guī)劃模式，并靜默禁用 AskUserQuestion 工具（AskUserQuestionTool.tsx:141）。它還會(huì)自動(dòng)將長(zhǎng)時(shí)間運(yùn)行的 bash 命令置于后臺(tái)，而不會(huì)發(fā)出任何通知（BashTool.tsx:976）。

　　CHICAGO 的全稱為計(jì)算機(jī)使用與桌面控制。它使 Claude 智能體能夠執(zhí)行鼠標(biāo)點(diǎn)擊、鍵盤(pán)輸入、訪問(wèn)剪貼板和截屏。此功能已公開(kāi)發(fā)布，可供 Pro/Max 訂閱用戶和 Anthropic 員工以“ant”標(biāo)記使用。此外，還有一項(xiàng)獨(dú)立且公開(kāi)發(fā)布的 Chrome 版 Claude 服務(wù)，支持瀏覽器自動(dòng)化以及所有相關(guān)的系統(tǒng)訪問(wèn)權(quán)限。

　　持久遙測(cè)。最初，這項(xiàng)功能由 Statsig 實(shí)現(xiàn)，并于去年 9 月被競(jìng)爭(zhēng)對(duì)手 OpenAI 收購(gòu)。這很可能是促使他們切換到 GrowthBook 的原因。GrowthBook 是支持 A/B 測(cè)試和分析的平臺(tái)。Claude 啟動(dòng)后，分析服務(wù) (firstPartyEventLoggingExporter.ts) 會(huì)在網(wǎng)絡(luò)中斷時(shí)，將以下數(shù)據(jù)保存到 ~/.claude/telemetry/ 目錄并向服務(wù)器發(fā)送：用戶 ID、會(huì)話 ID、應(yīng)用版本、平臺(tái)、終端類型、組織 UUID、帳戶 UUID、電子郵件地址（如果已設(shè)置）以及當(dāng)前啟用的功能門(mén)控。Anthropic 可以在會(huì)話期間激活這些功能門(mén)控，包括啟用或禁用分析功能。

　　遠(yuǎn)程管理設(shè)置 (remoteManagedSettings/index.ts)。對(duì)于企業(yè)客戶，Anthropic 維護(hù)的專用服務(wù)器會(huì)推送 policySettings 對(duì)象。該對(duì)象可以：覆蓋合并鏈中的其他項(xiàng)；每小時(shí)輪詢一次，無(wú)需用戶交互；可以設(shè)置 .env 變量（例如 ANTHROPIC_BASE_URL、LD_PRELOAD、PATH）；并且這些設(shè)置通過(guò)熱重載 (settingsChangeDetector.notifyChange) 立即生效。當(dāng)出現(xiàn)“危險(xiǎn)設(shè)置更改”時(shí)，系統(tǒng)會(huì)提示用戶，但該術(shù)語(yǔ)由 Anthropic 代碼定義，因此可能會(huì)進(jìn)行修改。常規(guī)更改（權(quán)限、.env 變量、功能標(biāo)記）似乎不會(huì)觸發(fā)通知。

　　Auto-updater 自動(dòng)更新程序。自動(dòng)更新程序 (autoUpdater.ts:assertMinVersion()) 每次啟動(dòng)時(shí)都會(huì)運(yùn)行，并從 Statsig/GrowthBook 處拉取配置版本。如此一來(lái)，Anthropic 就能根據(jù)需要?jiǎng)h除或禁用特定版本。

　　錯(cuò)誤報(bào)告。當(dāng)出現(xiàn)未處理的異常時(shí)，錯(cuò)誤報(bào)告腳本 (sentry.ts) 會(huì)捕捉當(dāng)前工作目錄，其中可能包含項(xiàng)目名稱、路徑和其他系統(tǒng)信息。此腳本還會(huì)報(bào)告已激活的功能門(mén)控、用戶 ID、電子郵件、會(huì)話 ID 和平臺(tái)信息。

　　有效負(fù)載大小遙測(cè)。此 API 會(huì)調(diào)用 tengu_api_query 以傳輸 messageLength，即系統(tǒng)提示詞、消息和工具模式的 JSON 序列化字節(jié)長(zhǎng)度。

　　autoDream。autoDream 服務(wù)已開(kāi)放討論但尚未正式發(fā)布，它會(huì)生成一個(gè)后臺(tái)子智能體，該子智能體會(huì)搜索（grep）所有 JSONL 會(huì)話記錄以整合內(nèi)存（Claude 用作查詢上下文的存儲(chǔ)數(shù)據(jù)）。該智能體與 Claude 運(yùn)行在同一進(jìn)程中（使用相同的 API 密鑰和相同的網(wǎng)絡(luò)訪問(wèn)權(quán)限）且掃描均在本地執(zhí)行。但它寫(xiě)入 MEMORY.md 的任何內(nèi)容都會(huì)被注入到未來(lái)的系統(tǒng)提示詞中，因此會(huì)被發(fā)送至 API。

　　團(tuán)隊(duì)內(nèi)存同步。這項(xiàng)雙向同步服務(wù) (src/services/teamMemorySync/index.ts) 會(huì)將本地內(nèi)存文件接入至 api.anthropic.com/api/claude_code/team_memory，由此實(shí)現(xiàn)在組織內(nèi)與其他團(tuán)隊(duì)成員共享內(nèi)存的方法。該服務(wù)包含一個(gè)密鑰掃描器 (secretSanner.ts)，使用正則表達(dá)式模式來(lái)匹配大約 40 種已知的 token 和 API 密鑰模式（AWS、Azure、GCP 等）。但是，不匹配這些正則表達(dá)式的敏感數(shù)據(jù)可能會(huì)通過(guò)內(nèi)存同步暴露給其他團(tuán)隊(duì)成員。

　　實(shí)驗(yàn)性 Skill 搜索 (src/tools/SkillTool/SkillTool.ts:108) 為僅對(duì) Anthropic 員工可用的功能標(biāo)記。它提供的方法能夠?qū)?skill 定義下載至遠(yuǎn)程服務(wù)器 (remoteSkillLoader.js)；跟蹤會(huì)話中已使用的遠(yuǎn)程 skill (remoteSkillState.js)；以及執(zhí)行遠(yuǎn)程下載的 skill (第 969 行處的 executeRemoteSkill()) ；并注冊(cè) skill 以便在精簡(jiǎn)操作后保留。如果為非員工帳戶啟用此功能（例如使用 GrowthBook 功能標(biāo)記），理論上會(huì)構(gòu)成一條遠(yuǎn)程代碼執(zhí)行路徑。Anthropic 或任何控制 skill 搜索后端的人員，都能夠以“skill”的形式提供任意提詞注入或指令覆蓋，在會(huì)話中加載并運(yùn)行這些 skill。

　　不是“看一眼”，而是“留一份副本”

　　研究員 Antlers 還強(qiáng)調(diào)說(shuō)，“人們恐怕沒(méi)有意識(shí)到，Claude 查看的每個(gè)文件都會(huì)被保存并上傳至 Anthropic。換言之，只要 Claude 在設(shè)備上接觸過(guò)的文件，Anthropic 那邊就會(huì)有相應(yīng)的副本?！?/strong>

　　對(duì)于 Free/Pro/Max 版用戶，Anthropic 會(huì)在用戶接受將共享數(shù)據(jù)用于模型訓(xùn)練時(shí)將數(shù)據(jù)保留五年；若不接受則僅保留 30 天。商業(yè)用戶（Team、Enterprise 及 API 版）的標(biāo)準(zhǔn)數(shù)據(jù)保留期限為 30 天，用戶可選擇不保留任何數(shù)據(jù)。

　　不久前，微軟 Recall 曾經(jīng)引發(fā)激烈爭(zhēng)論，而 Claude Code 的活動(dòng)捕捉機(jī)制與之類似。在每次發(fā)生工具調(diào)用讀取、每次 Bash 工具調(diào)用、每次搜索（grep）結(jié)果以及每次對(duì)新舊內(nèi)容進(jìn)行編輯 / 寫(xiě)入時(shí)，內(nèi)容都會(huì)以純文本格式被存儲(chǔ)在本地 JSONL 文件當(dāng)中。

　　Claude 的 autoDream 智能體在正式發(fā)布之后，會(huì)搜索這些文件并將提取到的數(shù)據(jù)存儲(chǔ)在 MEMORY.md 文件之內(nèi)，再將該文件注入至后續(xù)系統(tǒng)提示詞以調(diào)用 API。

　　另外幾個(gè)勁爆發(fā)現(xiàn)

　　去做開(kāi)源，但別把自己是 AI 這件事說(shuō)出去

　　從產(chǎn)品策略的角度看，這種做法本身就有很強(qiáng)的指向性。

　　Anthropic 的員工會(huì)用 Claude Code 參與公共倉(cāng)庫(kù)和開(kāi)源項(xiàng)目的開(kāi)發(fā)。代碼里通過(guò) USER_TYPE === 'ant' 來(lái)識(shí)別員工身份。而 Undercover Mode（utils/undercover.ts）的作用，就是在這種場(chǎng)景下給 AI 加上一層“隱身要求”：防止它在 commit 和 PR 里泄露 Anthropic 的內(nèi)部信息，也避免它直接表明自己是 AI。

　　一旦這個(gè)模式開(kāi)啟，系統(tǒng)就會(huì)把下面這段內(nèi)容直接塞進(jìn) system prompt 里：

　　這段代碼至少說(shuō)明了：第一，Anthropic 的員工確實(shí)在用 Claude Code 參與開(kāi)源項(xiàng)目，而且系統(tǒng)被明確要求不要暴露自己是 AI。第二，Anthropic 內(nèi)部模型代號(hào)確實(shí)采用動(dòng)物命名，比如 Capybara、Tengu。第三，“Tengu”在代碼中高頻出現(xiàn)，作為功能開(kāi)關(guān)和埋點(diǎn)事件的前綴，基本可以判斷，它就是 Claude Code 的內(nèi)部項(xiàng)目代號(hào)之一。

　　按常規(guī)流程，這些邏輯在構(gòu)建產(chǎn)物中會(huì)被當(dāng)作“死代碼”剔除，但 source map 依然保留了完整映射，這些信息并沒(méi)有真正消失。

　　Anthropic 顯然清楚，“AI 參與開(kāi)源貢獻(xiàn)”在很多社區(qū)依然是敏感話題，所以它的做法不是提高透明度，而是先把身份隱藏起來(lái)。在這種前提下，一個(gè)更值得追問(wèn)的問(wèn)題是：他們內(nèi)部究竟已經(jīng)對(duì)多少開(kāi)源代碼庫(kù)造成了多大破壞。

　　防蒸餾這件事，選了一種不太體面的做法

　　在 claude.ts（301–313 行）里，有一個(gè)名為 ANTI_DISTILLATION_CC 的開(kāi)關(guān)。打開(kāi)之后，Claude Code 在發(fā)起 API 請(qǐng)求時(shí)，會(huì)帶上 anti_distillation: ['fake_tools']。這意味著服務(wù)端會(huì)悄悄往 system prompt 里塞進(jìn)一些偽造出來(lái)的工具定義。

　　這套設(shè)計(jì)的目的并不復(fù)雜。如果有人在錄制 Claude Code 的 API 流量，想把這些數(shù)據(jù)拿去訓(xùn)練競(jìng)品模型，這些“假工具”就會(huì)一起混進(jìn)訓(xùn)練數(shù)據(jù)里，變成專門(mén)用來(lái)攪渾水的污染項(xiàng)。這個(gè)能力由 GrowthBook 的 feature flag tengu_anti_distill_fake_tool_injection 控制，而且只對(duì)官方 CLI 會(huì)話開(kāi)放。

　　這也是最早在 HN 上被不少人注意到的細(xì)節(jié)之一。

　　代碼里還藏著第二套反蒸餾機(jī)制，位置在betas.ts（279–298 行），名字叫 connector-text summarization。打開(kāi)之后，API 不會(huì)直接返回工具調(diào)用之間的完整助手文本，而是先把這部分內(nèi)容緩存起來(lái)，壓成摘要，再把摘要連同一個(gè)加密簽名一起返回。到了下一輪，再通過(guò)這個(gè)簽名把原文恢復(fù)出來(lái)。也就是說(shuō)，如果你在抓 API 流量，拿到的只是“縮水版”，完整推理鏈并不會(huì)直接落在你手里。

　　問(wèn)題是，這兩套東西并沒(méi)有看上去那么牢。

　　從 claude.ts 的觸發(fā)邏輯來(lái)看，“假工具注入”要生效，必須同時(shí)滿足四個(gè)條件：編譯時(shí)打開(kāi) ANTI_DISTILLATION_CC，走 CLI 入口，使用官方 API 提供方，以及 GrowthBook 返回 tengu_anti_distill_fake_tool_injection=true。只要架一個(gè) MITM 代理，在請(qǐng)求到達(dá) API 之前把 anti_distillation 字段刪掉，這套機(jī)制就會(huì)直接失效，因?yàn)樽⑷雱?dòng)作發(fā)生在服務(wù)端，而開(kāi)關(guān)是客戶端主動(dòng)遞過(guò)去的。

　　另外，shouldIncludeFirstPartyOnlyBetas() 還會(huì)檢查環(huán)境變量 CLAUDE_CODE_DISABLE_EXPERIMENTAL_BETAS。只要把它設(shè)成真值，整套機(jī)制都可以關(guān)掉。如果你走的不是官方 CLI，而是第三方 API 提供方，或者干脆使用 SDK 入口，這段檢查甚至根本不會(huì)觸發(fā)。

　　至于 connector-text summarization，范圍還更小，只對(duì) Anthropic 內(nèi)部用戶（USER_TYPE === 'ant'）開(kāi)放，外部用戶本來(lái)就碰不到。

　　所以這件事最難看的地方在于，它一方面試圖靠“假工具”和“摘要替換”來(lái)給潛在的模仿者下絆子，另一方面，這些手段又并不算多高明。只要認(rèn)真翻一遍源碼，真想拿 Claude Code 流量做蒸餾的人，很快就能把繞過(guò)路徑摸清。

　　一天浪費(fèi)約 25 萬(wàn)次 API 調(diào)用

　　在 autoCompact.ts（68–70 行）里，有一段注釋寫(xiě)道：

“BQ 2026-03-10: 1,279 sessions had 50+ consecutive failures (up to 3,272) in a single session, wasting ~250K API calls/day globally.”

　　意思是，在 1279 個(gè)會(huì)話里，autoCompact 連續(xù)失敗了 50 次以上，最高的一個(gè)會(huì)話甚至連續(xù)失敗了 3272 次，最終在全球范圍內(nèi)每天浪費(fèi)了大約 25 萬(wàn)次 API 調(diào)用。

　　這里的 compaction，指的是對(duì)上下文進(jìn)行壓縮，避免會(huì)話過(guò)長(zhǎng)、token 過(guò)多，而這個(gè)過(guò)程本身也需要調(diào)用 API。如果壓縮過(guò)程不斷失敗，系統(tǒng)又持續(xù)重試，就會(huì)不斷額外消耗調(diào)用次數(shù)。后來(lái)的修復(fù)方式很直接：設(shè)置 MAX_CONSECUTIVE_AUTOCOMPACT_FAILURES = 3。也就是說(shuō)，只要 autoCompact 連續(xù)失敗 3 次，這個(gè)會(huì)話后續(xù)就不再繼續(xù)嘗試壓縮，以避免無(wú)效重試?yán)^續(xù)浪費(fèi) API 調(diào)用。

　　需要補(bǔ)充的一點(diǎn)是，這次并不是 Claude Code 第一次泄露。該產(chǎn)品經(jīng)歷了 363 個(gè)版本迭代，而 Claude Code 的源碼，實(shí)際上至少已經(jīng)泄露過(guò)三次。

　　第一次發(fā)生在 2025 年 2 月。Anthropic 當(dāng)天發(fā)布 Claude Code，npm 包里帶著一個(gè) 23MB 的 cli.mjs 文件。開(kāi)發(fā)者 Dave Shoemaker 用 Sublime Text 打開(kāi)后，在文件末尾發(fā)現(xiàn)了一段長(zhǎng)達(dá) 1800 萬(wàn)字符的字符串，實(shí)際上那是一份以 base64 編碼的內(nèi)聯(lián) source map。source map 本來(lái)是用來(lái)把壓縮后的代碼映射回原始源碼的，而這一份映射信息，已經(jīng)可以把整套 Claude Code 源碼還原出來(lái)。隨后，Anthropic 迅速推送了一個(gè)更新（版本 0.2.9），移除了源映射。但網(wǎng)上還是有一些分支，如：https://github.com/jinrunsen/claude-code-sourcemap

　　第二次發(fā)生在 2026 年 3 月 7 日。有人發(fā)現(xiàn)，npm 包 @anthropic-ai/claude-agent-sdk 中意外包含了完整的 Claude Code CLI 打包文件：一個(gè)約 13800 行的壓縮 JavaScript 文件 cli.js，版本為 2.1.71，構(gòu)建于 3 月 6 日。也就是說(shuō)，不再是通過(guò)映射還原源碼，而是整個(gè)可執(zhí)行代碼直接被一起打包進(jìn)了 SDK。

　　第三次才是 2026 年 3 月 31 日，59.8MB 的獨(dú)立 source map 再次把整套代碼暴露出來(lái)。

　　也就是說(shuō)，Claude Code 代碼其實(shí)已經(jīng)在網(wǎng)上公開(kāi) 13 個(gè)月了。過(guò)去 13 個(gè)月里，這套代碼被反復(fù)扒出、鏡像、逆向、整理，直到這一次才真正引爆輿論。

　　https://www.theregister.com/2026/04/01/claude_code_source_leak_privacy_nightmare/

　　https://thehuman2ai.com/blog/claude-code-source-leak

　　https://github.com/sanbuphy/learn-coding-agent/blob/main/docs/en/04-remote-control-and-killswitches.md

　　https://thehuman2ai.com/blog/claude-code-source-leak

　　聲明：本文為 InfoQ 整理，不代表平臺(tái)觀點(diǎn)，未經(jīng)許可禁止轉(zhuǎn)載。