事情是這樣的。

2026年3月31號，一個叫Chaofan Shou的小伙子在X上發(fā)了條帖子，輕描淡寫地說自己從Claude Code的npm包里扒出來了51萬行源碼。

就這一條帖子，炸了。

全球科技圈，從硅谷到深圳，從Hacker News到V2EX，所有跟AI沾邊的人都在討論這件事。因為這個被扒出來的不是什么邊角料，是Anthropic旗下最核心的AI編程工具Claude Code的完整源代碼，一字不落。

而且扒出來之后，Chaofan的態(tài)度是，太沒意思了。

他說Claude的代碼亂七八糟的，遠不如看OpenCode和Codex有意思。

我當時看到這個態(tài)度就笑了。

這人不是什么普通的技術(shù)宅，這人是個狠角色。

Claude Code，你如果沒用過的話，我簡單說一下。它是Anthropic做的AI編程助手，用命令行操作的那種，很多開發(fā)者天天離不了它，可以說是目前市面上最好的AI寫代碼工具之一。你讓它幫你寫個函數(shù)、修個bug、重構(gòu)個項目，它干得比大多數(shù)初級程序員還好。

所以這51萬行源碼的泄露，基本就等于Anthropic把自家的核心配方給公布到了大街上。

而干這事的人，是個中國00后。

Chaofan Shou，中文名壽超璠，今年25歲。

這哥們的人生履歷你聽完可能會有點懵。

上海人，小時候讀的是上海平和雙語學校。然后去了美國加州大學圣塔芭芭拉分校讀計算機，三年畢業(yè)，GPA 4.0滿分。接著去了加州大學伯克利分校讀博士，讀了兩三年，輟學了。

你沒看錯，UC Berkeley的CS博士，讀了兩年多，不讀了。

為啥呢，因為他發(fā)現(xiàn)了更重要的事。

在伯克利讀書期間，他順手做了點副業(yè)，挖安全漏洞。就是那種幫大公司找系統(tǒng)安全問題的白帽黑客，找到了公司給你錢的那種。

Twitter，他挖過。Google Chrome，他挖過。上海市政府的系統(tǒng)，他也挖過。

2020年到2022年，兩年多的時間，光靠挖漏洞拿到的賞金，累計大約190萬美元。

190萬美元。純靠一個人，一臺電腦，找漏洞。

很多朋友可能對漏洞賞金沒什么概念。這不是你提交一個bug就能拿錢的，你得找到別人找不到的、足夠嚴重的安全漏洞，而且是在Facebook、Twitter、Google這種全球最頂尖的安全團隊眼皮底下找到的。

能做到這個水平的白帽黑客，全世界也沒幾個。

但Chaofan的故事不止于此。

他后來創(chuàng)辦了一家叫Fuzzland的公司，做Web3安全，幫客戶追回了超過3000萬美元的被盜資產(chǎn)。這家公司后來被Solayer Labs收購了。他還去過Salesforce做安全工程師，也創(chuàng)過業(yè)做智能合約自動化測試工具。

你注意到?jīng)]有，這哥們從頭到尾就沒在一家公司老老實實上過班，全是搞自己的事，搞安全、搞區(qū)塊鏈、搞創(chuàng)業(yè)。

直到2026年3月31號，他做了一件讓整個AI行業(yè)都記住了他的名字的事。

那天，他發(fā)現(xiàn)Anthropic發(fā)布了一個新版本的Claude Code，版本號v2.1.88。

這個版本有個問題。

Anthropic用了他們收購的一家公司開發(fā)的打包工具叫Bun，這個工具在打包的時候犯了個低級錯誤，把一個大約60MB的source map文件一起打包發(fā)布到了npm上。

source map是什么東西呢，我簡單解釋一下。前端開發(fā)的時候，代碼經(jīng)過壓縮和編譯之后會變得面目全非，變量名全變成了a、b、c，根本看不懂。source map就是一張「對照表」，能把壓縮后的代碼和原始代碼一一對應起來。

Anthropic不小心把這個對照表給放出去了。

60MB的對照表里，包含了Claude Code近2000個源碼文件、超過51萬行TypeScript代碼。

完整的。一字不落的。

任何人都可以從npm上下載這個包，然后通過source map還原出全部源代碼。

Chaofan看到了，覺得這事兒挺有意思的，就在X上發(fā)了條帖子。

然后，全球的AI安全研究員、開發(fā)者、好奇寶寶們，全部涌入npm下載這個包。

緊接著，有人把還原出來的源代碼傳到了GitHub上，好幾個倉庫的Star數(shù)在幾小時內(nèi)就沖到了幾萬。

Anthropic慌了。

他們趕緊發(fā)了一個官方聲明，確認泄露屬實。然后火速發(fā)布了一個新版本v2.1.90，刪掉了source map文件。

但源代碼已經(jīng)傳遍全網(wǎng)了，刪npm包根本沒用。

所以Anthropic做了一個后來被證明更加愚蠢的決定。

他們啟動了DMCA投訴，向GitHub發(fā)起了大規(guī)模的下架請求。

DMCA，數(shù)字千年版權(quán)法，是美國用來保護知識產(chǎn)權(quán)的。簡單說就是，你覺得有人侵犯了你的版權(quán)，可以向平臺投訴，平臺會把內(nèi)容下架。

聽起來很正常對吧。

但Anthropic的操作是，用自動化腳本批量投訴，只要檢測到倉庫里有關(guān)鍵詞匹配就直接投訴。

結(jié)果呢。

8100個GitHub倉庫被波及。

8100個。

其中絕大多數(shù)根本不是泄露代碼的鏡像，而是普通開發(fā)者的合法項目。有些是基于Claude Code官方API做的開源工具，有些甚至只是Anthropic自己公開倉庫的合法fork。

一個做AI編程工具的公司，用自動化腳本把自己用戶的項目給刪了。

這種操作，你敢信？？？

開發(fā)者們在Twitter上炸了鍋，憤怒到不行。很多人打開GitHub發(fā)現(xiàn)自己的項目直接404了，連個預警都沒有。有些人在上面做了幾個月的項目，一夜之間就沒了。

Anthropic后來不得不承認這是個「意外」，撤回了大部分DMCA通知，只保留了最初那個泄露倉庫和它的96個直接fork。

Claude Code的負責人Boris Cherny出來回應說，這個誤刪是因為通知指定的倉庫是他們自己公開倉庫的分支網(wǎng)絡的一部分，所以影響范圍超出了預期。

但說實話，這個解釋我聽完就覺得有點蒼白。

你在做AI編程工具，你自己的維權(quán)工具卻智障到連目標倉庫都選不準，這就很諷刺了。

而且這事發(fā)生在一家據(jù)說正在籌備IPO的公司身上。這種級別的合規(guī)失誤，在上市公司里是要吃官司的。

不過這都不是最精彩的部分。

最精彩的是源代碼泄露之后，大家扒出來的那些Anthropic藏起來的秘密功能。

第一個，叫Kairos。

這是一個后臺守護進程，就算你把Claude Code的終端窗口關(guān)了，它也能在后臺持續(xù)運行。它有一個周期性的心跳檢查機制，會自己判斷有沒有新操作需要執(zhí)行。還有一個叫AutoDream的記憶系統(tǒng)，在你不用的時候，它會「做夢」，對當天的對話記錄進行反思，提取有價值的信息，整理成持久記憶，為下一次會話做準備。

你品品這個設計。Claude Code不光在幫你寫代碼的時候在「思考」，你不在的時候它也在「思考」，在整理關(guān)于你的記憶。

這玩意有個專門的名字叫PROACTIVE標志，意思就是它可以主動給你推送「你沒問但它覺得你應該看看」的內(nèi)容。

第二個，叫Undercover Mode。

臥底模式。

這個功能的設定是，允許Anthropic的員工或者Claude Code這個AI，在開源社區(qū)里提交代碼的時候，隱藏自己是AI的身份。不準在提交里提到Claude Code，不準使用「Co-Authored-By: AI」這種標簽，不準暴露任何跟Anthropic相關(guān)的信息。

我就不說是誰了，但開源社區(qū)對這種事的容忍度是零。

你想想看，你在GitHub上一個開源項目里認真做代碼review，對面有個看起來跟你一樣的人類開發(fā)者，但其實是AI在模擬人類提交代碼，而且還不告訴你。

這種事一旦坐實，整個開源社區(qū)的信任體系都會動搖。

第三個叫Buddy。

是個虛擬寵物小助手，類似微軟Office里那個經(jīng)典的回形針Clippy，但用ASCII藝術(shù)做的小動物形象，有18種不同的造型，戴個小帽子，在你寫代碼的時候偶爾蹦出來冒個泡。

這個倒沒什么爭議，就是挺可愛的。

除了這些，代碼里還暴露了一個讓開發(fā)者集體暴怒的bug。

Claude Code在恢復會話的時候，會錯誤地出現(xiàn)「緩存未命中」。聽起來是個技術(shù)細節(jié)對吧，但這個bug的后果很嚴重。

緩存命中和全量推理之間的Token價格差10倍。

10倍。

也就是說，你本來可以用1塊錢解決的問題，因為這個bug變成了10塊錢。你充了100塊想著能用10天的額度，可能1天就燒完了。

更關(guān)鍵的是，開發(fā)者回溯之后發(fā)現(xiàn)，這個bug從v2.1.69版本就已經(jīng)存在了。直到源碼泄露被公開指出來之后，Anthropic才在v2.1.90版本里修了。

更耐人尋味的是，有人發(fā)現(xiàn)Claude Code會在系統(tǒng)提示詞的隱藏塊里插入一個x-anthropic-billing-header字符串，這個字符串會讓每一個新對話的系統(tǒng)提示詞前綴都變得不一樣。

不一樣就代表緩存永遠命中不了。

這是不是故意的，我不知道。但很多開發(fā)者看完之后都在問同一個問題。

所以你看，這一串事情連起來就很有意思了。

一個25歲的中國小伙子，因為對Anthropic早有不滿，去年就公開指責他們借著安全審查的幌子竊取用戶代碼，然后今年3月底偶然發(fā)現(xiàn)了Claude Code的源碼泄露，一發(fā)帖子就引爆了全球。

然后Anthropic在慌亂中用自動化腳本亂刪了一堆合法倉庫，引發(fā)了更大的信任危機。

然后大家在源碼里發(fā)現(xiàn)了臥底模式、發(fā)現(xiàn)了Token計費的疑點、發(fā)現(xiàn)了Anthropic一直在藏著的未來計劃。

如果Chaofan去年沒有公開懟Anthropic，今年他又偶然發(fā)現(xiàn)了源碼泄露，但只是默默報告給了Anthropic，你覺得會發(fā)生什么。

Anthropic會悄悄發(fā)布一個新版修復，然后感謝他的報告，給他發(fā)一封郵件，也許給他一筆漏洞賞金。

51萬行源碼的秘密功能，Undercover模式，Kairos守護進程，Token計費的bug，這些全部會被永遠埋在Anthropic的內(nèi)部。

沒有一個人會知道。

但是Chaofan不是那種人會做的事。

他去年就在公開場合指責Anthropic竊取用戶代碼，說明他早就對這家公司「有話說」了。今年發(fā)現(xiàn)源碼泄露，他選擇公開，而不是私下報告。

我個人覺得，這兩種選擇各有各的道理。私下報告是白帽黑客的傳統(tǒng)做法，公開披露則是想讓所有人都知道發(fā)生了什么。

不管你支持哪種做法，有一點是確定的。

Chaofan Shou這個人，用一種最直接的方式，給了AI行業(yè)一記響亮的耳光。

他在告訴我們，這些市值幾百億美元的AI公司，他們的安全措施可能還不如一個25歲的中國小伙子的檢查仔細。他們口口聲聲說要保護用戶數(shù)據(jù)、要推動AI安全，結(jié)果自己的源碼因為打包工具的低級錯誤就泄露了，事后還用自動化腳本誤刪了8100個無辜開發(fā)者的倉庫。

而Anthropic，一家被廣泛認為是對AI安全最「認真」的公司，在這次事件中暴露出來的問題，遠不止源碼泄露本身。

從安全審查功能被指竊取用戶代碼，到Undercover臥底模式，到Token計費的疑點，到DMCA維權(quán)的無差別轟炸。

這一連串的事情，讓我想起一句話。

黑暗森林里，你以為你是獵人，其實你一直是獵物。

只不過這次，獵物自己把自己暴露了。