Anthropic 今日意外泄露了其最受欢迎的 AI 产品之一——Claude Code 代理框架的源代码,一份 59.8 MB 的 JavaScript 源映射文件被错误地包含在 npm 公共仓库的 2.1.88 版本中。

泄露事件始末

当地时间凌晨 4:23,Solayer Labs 实习生 Chaofan Shou 在 X 平台发布了这一发现,并附上直接下载链接。数小时内,这份约 51.2 万行 TypeScript 代码库被镜像到 GitHub,并被数千名开发者分析。

对于年化收入运行率达 190 亿美元的 Anthropic 来说,这次泄露不仅是安全疏漏,更是知识产权的战略性流失。Claude Code 单独贡献了 25 亿美元 ARR,这一数字自年初以来翻了一倍多。企业客户贡献了 80% 的收入,而这次泄露为竞争对手提供了构建高能动性、可靠性商业 AI 代理的完整蓝图。

Anthropic 发言人向 VentureBeat 确认了泄露事件:”今天早些时候,一次 Claude Code 发布包含了一些内部源代码。未涉及敏感客户数据或凭据。这是由人为错误导致的发布打包问题,而非安全漏洞。我们正在推出措施防止此类事件再次发生。”

代理记忆架构的核心秘密

泄露代码揭示了 Anthropic 如何解决”上下文熵增”——AI 代理在长会话中变得困惑或产生幻觉的倾向。核心是一个三层记忆架构,摒弃了传统的”存储一切”检索方式。

最关键的是 MEMORY.md——一个轻量级指针索引(每行约 150 字符),永久加载到上下文中。这个索引不存储数据,只存储位置。实际项目知识分布在按需获取的”主题文件”中,原始转录从不满载回上下文,仅通过 grep 搜索特定标识符。

“严格写入纪律”确保代理仅在成功写入文件后更新索引,防止模型用失败尝试污染上下文。竞争对手得到的蓝图很明确:构建一个”怀疑性记忆”,指示代理将自己的记忆视为”提示”,在实际代码库中验证事实后再行动。

KAIROS:自主守护进程模式

代码中还揭示了名为”KAIROS”的功能标志,出现了 150 多次。KAIROS 代表自主守护进程模式,允许 Claude Code 作为始终在线的后台代理运行。它通过名为 autoDream 的进程在用户空闲时执行”记忆整合”——合并分散的观察、消除逻辑矛盾、将模糊洞察转化为确定事实。

这一后台维护确保用户返回时代理的上下文干净且高度相关。使用分叉子代理运行这些任务的实现,展示了一种成熟的工程方法,防止主代理的”思维链”被自身的维护例程破坏。

内部模型代号与性能指标

源代码提供了 Anthropic 内部模型路线图的罕见视角:Capybara 是 Claude 4.6 变体的内部代号,Fennec 映射到 Opus 4.6,未发布的 Numbat 仍在测试中。内部注释显示,Capybara v8 仍面临重大挑战——29-30% 的虚假声明率,相比 v4 的 16.7% 实际上是退步。

“卧底模式”引发争议

最引人关注的是”卧底模式”——Anthropic 使用 Claude Code 隐秘地向公共开源仓库贡献代码。发现的系统提示明确警告模型:”你正在卧底操作……你的提交信息不得包含任何 Anthropic 内部信息。不要暴露身份。”

这一功能为希望在不披露的情况下使用 AI 代理进行公开工作的组织提供了技术框架,确保没有模型名称或 AI 归因泄露到公开 git 日志中。

用户应采取的行动

对于 Claude Code 用户,泄露带来了特定的安全风险。攻击者现在可以设计专门”欺骗” Claude Code 的恶意仓库,在用户看到信任提示之前运行后台命令或窃取数据。

更紧迫的是,泄露发生前数小时,axios npm 包发生了独立的供应链攻击。如果在 2026 年 3 月 31 日 UTC 时间 00:21 至 03:29 之间通过 npm 安装或更新 Claude Code,可能已拉取包含远程访问木马的恶意版本。建议检查项目锁定文件中的 axios 1.14.1 或 0.30.4 版本,如发现应视为完全入侵,轮换所有密钥并执行清洁操作系统重装。

Anthropic 已将原生安装器指定为推荐安装方式,使用独立二进制文件,不依赖易变的 npm 依赖链。如必须使用 npm,应卸载泄露版本 2.1.88 并固定到已验证安全版本如 2.1.86。