Anthropic似乎意外地将其最受欢迎和最赚钱的AI产品之一——代理AI工具Claude Code的内部工作机制泄露给了公众。

泄露经过

一个59.8 MB的JavaScript源映射文件(.map),本应用于内部调试,却被错误地包含在npm公共注册表上推送的@anthropic-ai/claude-code包2.1.88版本中。

东部时间凌晨4:23,Solayer Labs实习生Chaofan Shou在X上发布了这一发现。帖子包含直接下载链接,如同数字信号弹。几小时内,约51.2万行TypeScript代码库在GitHub上被镜像,被数千名开发者分析。

对于Anthropic这家据报道2026年3月年收入运行率达190亿美元的公司来说,这次泄露不仅是安全失误,更是知识产权的战略性流失。

商业影响

市场数据显示,Claude Code单独实现了25亿美元年度经常性收入(ARR),这一数字自年初以来翻了一番多。企业采用占其收入的80%,泄露为竞争对手——从老牌巨头到Cursor等敏捷对手——提供了如何构建高能动、可靠、商业可行AI代理的蓝图。

Anthropic在发给VentureBeat的邮件声明中确认了泄露:”今天早些时候,Claude Code发布版本包含了一些内部源代码。未涉及或暴露敏感客户数据或凭证。这是由人为错误导致的发布打包问题,而非安全漏洞。我们正在推出措施防止此类情况再次发生。”

核心技术揭秘:代理记忆架构

泄露为竞争对手揭示了Anthropic如何解决”上下文熵”——AI代理在长期会话变得复杂时容易困惑或产生幻觉的倾向。

泄露源码揭示了一个复杂的三层记忆架构,摆脱了传统的”存储一切”检索:

  • MEMORY.md:轻量级指针索引(每行约150字符),永久加载到上下文中。此索引不存储数据,存储位置
  • 主题文件:实际项目知识分布其中,按需获取
  • 原始转录:从不完全读回上下文,仅”grep”特定标识符

这种”严格写入纪律”——代理只有在成功写入文件后才更新索引——防止模型用失败尝试污染其上下文。

KAIROS:自主守护进程模式

泄露还揭示了”KAIROS”——古希腊语”在正确的时间”概念,在源码中被提及超过150次。KAIROS代表用户体验的根本转变:自主守护进程模式。

虽然当前AI工具主要是响应式的,但KAIROS允许Claude Code作为始终在线的后台代理运行。它处理后台会话并采用名为autoDream的流程。

在此模式下,代理在用户空闲时执行”记忆整合”。autoDream逻辑合并分散的观察,消除逻辑矛盾,将模糊见解转化为绝对事实。这种后台维护确保当用户返回时,代理的上下文干净且高度相关。

内部模型路线图

源码提供了Anthropic内部模型路线图的罕见视角:

  • Capybara:Claude 4.6变体的内部代号
  • Fennec:对应Opus 4.6
  • Numbat:尚未发布的模型仍在测试中

内部评论显示Anthropic已在Capybara v8上迭代,但模型仍面临重大障碍。代码指出v8有29-30%的虚假声称率,实际比v4的16.7%有所退步。

“卧底”Claude

最被讨论的技术细节可能是”卧底模式”。此功能显示Anthropic使用Claude Code对公共开源仓库进行”隐蔽”贡献。

泄露中发现的系统提示明确警告模型:”你正在卧底行动……你的提交消息……绝不能包含任何Anthropic内部信息。不要暴露你的身份。”

安全建议

泄露本身对Anthropic的知识产权是重大打击,但给用户带来了特定的安全风险。通过暴露Claude Code的”蓝图”,Anthropic为研究者和恶意行为者提供了路线图,他们现在积极寻找绕过安全护栏和权限提示的方法。

最直接的危险是同时发生的axios npm包供应链攻击。如果在2026年3月31日UTC 00:21至03:29之间通过npm安装或更新Claude Code,可能无意中拉入了包含远程访问木马(RAT)的恶意版本axios(1.14.1或0.30.4)。

写在最后

“蓝图”已经泄露,揭示了Claude Code不仅仅是大语言模型的包装器,而是一个复杂的、多线程的软件工程操作系统。

对于更广泛的AI市场,泄露有效地拉平了代理编排的竞争环境。竞争对手现在可以研究Anthropic的2500多行bash验证逻辑和分层记忆结构,以一小部分的研发预算构建”类Claude”代理。

随着”Capybara”离开实验室,构建下一代自主代理的竞赛刚刚获得了计划外的25亿美元集体智慧提升。