愚人节前一天， Anthropic 公司给全世界“送”了一份超级大礼物。

原本只是一个普通的周二，但 Anthropic 的明星 AI 编程神器—— Claude Code ，因为一个低级的 npm 打包配置错误，导致其底层源代码在网上彻底“裸奔”。

仅仅是因为在 @anthropic-ai/claude-code v2.1.88 版本的发布包中，错误地附带了一个高达 59.8 MB 的 cli.js.map 文件，超过 1900 个文件、总计 51.2 万行的 TypeScript 未混淆源码被公之于众。

短短几个小时内，源码被克隆到多个 GitHub 公开仓库，星标瞬间冲破数千，全球开发者开启了一场史无前例的代码“寻宝”狂欢。

但目前源码在 github 已经被下架了，需要的同学私我，备注“ cc 源码”。

有大牛连夜把源码翻译成了一个 Python 项目，这个项目在 Github 还存活着，而且正在被 AI 圈的吃瓜群众疯狂 Star 中。

还记得 OpenClaw 那疯狂的 Star 曲线吗？这个项目比 OpenClaw 还猛。

现在 Star 数量来到了 55.5k ，而且还在不断疯涨。

已经成为历史上最快突破 50k Star 的 Github 仓库，发布后仅 2 小时便达成这一里程碑。

一、这不是模型权重泄露！

需要明确的是，这次泄露的并不是 Claude 的大模型权重或训练数据，而是 Claude Code 这个 CLI （命令行界面）产品外壳的完整工程实现细节。

但这恰恰是此次事件的真正价值所在！

对于行业来说，这不仅是一次“吃瓜”事件，更是第一次能够如此完整地透视一家估值数千亿美元的顶级 AI 公司，是如何在工程层面构建复杂 AI Agent 的。

二、源码里藏着什么秘密？“黑科技”与心机大曝光

开发者们拿着显微镜在源码中翻找，开启了验牌模式，扒出了无数 Anthropic 隐藏在水面之下的产品路线图和“小心机”：

KAIROS ：

未发布的终极“自动驾驶”模式，代码中出现频率极高（超 150 次）的功能开关 KAIROS ，揭示了一个常驻后台的自主智能体模式。

它不仅能监控代码库、主动执行任务，甚至还包含一个名为 autoDream 的机制，能够在用户闲置时进行“记忆巩固”和日志合并。

卧底模式（ Undercover Mode ）：

AI 主动伪装成人类这是一个极具伦理争议的发现。

源码显示，当 Anthropic 员工在公共开源仓库使用 Claude Code 时，会强制激活“卧底模式”。

系统提示词会严格命令 AI 清除所有模型代号（如 Capybara ）、内部项目名，甚至不准提及“ Claude Code ”或自己是 AI 。

而且，在外部构建中，这个功能是无法被强制关闭的。

“防白嫖”投毒：

反蒸馏机制为了防止竞争对手抓取 API 流量来训练（蒸馏）自己的竞品模型， Anthropic 在代码中埋了“地雷”。

当该机制激活时， Claude Code 会在 API 请求中悄悄注入“伪造的工具定义”（ fake tools ），直接污染那些试图抄袭的爬虫数据。

硬件级 DRM ：

原生客户端认证为了封杀第三方套壳客户端， Anthropic 不仅在法务上重拳出击，还在底层动了手脚。

API 请求中会包含一个 cch=00000 的占位符，在请求离开 JavaScript 运行环境之前，底层的 Zig 代码（基于 Bun ）会将其替换为加密哈希值。

这就相当于给 API 调用加了 DRM 版权保护。

程序员的浪漫与摸鱼：

代码中竟然藏着一个完整的终端电子宠物系统（ Buddy System ）！

输入 /buddy 就能孵化出卡皮巴拉、幽灵、甚至墨西哥钝口螈等 18 种宠物，拥有详细的扭蛋稀有度（ 1% 概率出传说）、闪光变体和“ DEBUGGING ”、“ SNARK ”等属性面板。

为了躲避内部工具的代码扫描，工程师甚至煞费苦心地把“ duck （鸭子）”这个词用十六进制进行了编码。

而且代码直接暴露了发布日期，计划今天（ 4/1 愚人节）上线！

三、祛魅时刻：顶级 AI 大厂的代码也像“屎山”？

这次泄露不仅展示了高超的架构设计，也让无数普通程序员找回了自信：原来顶级大厂的真实代码库，也充满了草台班子的气息！

在 Reddit 的开发者讨论区，大家对 Anthropic 的工程规范发出了无情的嘲笑：

巨型单体文件：一个处理推理逻辑的 main.tsx 文件竟然高达 1MB ，塞进去了 4683 行代码。

疯狂禁用代码检查：源码中出现了足足 460 次 eslint-disable 注释，开发者调侃“这已经不是写 TypeScript 了，这是带了额外步骤的 JavaScript ”。

随意弃用的 API ：有超过 50 个带有 _DEPRECATED （已弃用）后缀的函数，依然在生产环境中被疯狂调用。

正则表达式测情绪：作为一家大模型巨头，判断用户是否在发脾气、爆粗口，竟然没有用 LLM ，而是用了最原始的正则表达式（ Regex ）来匹配关键词。

幽默的注释：代码里到处是诸如 // TODO: figure out why （搞懂这是为什么），以及针对自己内部错误写的 // TODO: Fix upstream ，甚至还有个叫 Ollie 的工程师把明显无意义的代码直接留在了生产环境中。

网友精辟总结：“它让我觉得我在凌晨 3 点写的业余项目代码质量简直太高了！”

四、狂欢背后的冷思考：安全与信任的警钟

调侃归调侃，这次事件暴露出的安全风险极其严肃。

首先， Source Map 文件绝不是普通的调试残留，它是致命的产品攻击面。一个简单的配置失误，就让竞争对手和黑客长驱直入，看透了系统的安全边界、权限策略和遥测逻辑。

其次，供应链投毒防不胜防。

据披露，就在本次源码泄露的同一时间窗口， npm 包 axios 遭遇了供应链攻击。

如果在 3 月 31 日 00:21 至 03:29 ( UTC ) 期间通过 npm 更新了 Claude Code ，极可能已经感染了远程访问木马（ RAT ）。

这也是为什么 Anthropic 强烈建议放弃 npm ，改用原生安装器的原因。

五、总结

最后，这起事件标志着闭源 AI Agent 的“去神秘化”。

大家发现，强大的 AI 工具并非魔法，而是由系统提示词、海量工具编排、甚至硬编码的规则堆砌而成的复杂软件工程。

Anthropic 用一种最戏剧性的方式，把自己底层的“操作台”摊在了全世界面前。

对于全球开发者而言，这是一次价值千金的顶级 Agent 架构公开课；

各种 Claude Code 的魔改版本会雨后春笋般冒出来。

其他 AI 编程工具，也会从中学到很多有用的东西，近期将会频繁更新。