Claude Code“开源”24小时！底裤扒光，工程奇迹与漏洞同时暴露

专注AIGC领域的专业社区，关注微软&OpenAI、百度文心一言、讯飞星火等大语言模型（LLM）的发展和应用落地，聚焦LLM的市场研究和AIGC开发者生态，欢迎关注！

短短几行配置文件写错，掀开了全球人工智能巨头最为核心的技术底牌。

高达51.2万行代码的Claude Code源码顷刻间在全网彻底曝光，连同深藏不露的底层逻辑与致命安全漏洞一并大白于天下。

从人为失误引发的打包灾难，到未发布自动驾驶级助手的提前现身，再到零交互控制电脑的严重危机，全网技术人员都在为Claude Code“被开源”疯狂。

阴差阳错的全面曝光

2026年3月底的清晨，知名安全研究员Chaofan Shou在社交平台上爆出一则惊人消息，如同在平静的湖面投下巨石。

Anthropic当前正处于高速发展的狂飙期，年化经常性收入已经突破25亿美元大关，企业估值更是一飞冲天。

恰恰在这样一个万众瞩目的关键节点，官方在发布版本号为2.1.88的更新包时犯下致命错误。

相关源代码通过npm（Node包管理器）公共注册表中的一个map文件惨遭泄露，体量庞大的核心代码完全在线裸奔。

事发仅30分钟，克隆相关源码的GitHub项目星标数量直接冲破5000大关，引发全网程序员与研究人员疯狂围观。Fork数甚至超过了星标数。

暴露在外的是一个体积达到59.8MB的调试专用文件。

在现代软件开发中，开发者为了提升程序运行速度与减小文件体积，通常会将代码进行极致的压缩与混淆处理。Source Map文件就像是一把还原密码锁的钥匙，专门用于将压缩混淆后的生产环境代码映射回原始源代码，主要目的是方便开发者在内部测试时快速定位错误环节。

把拥有极高商业机密价值的内部信息直接发布到公共平台，无异于敞开金库大门，向全世界公开了底层核心逻辑、工程实现细节以及内部调用的各种复杂机制。

人们猜测，这可能是Claude Code 100%自编码的后果。

许多开发者在深入追踪后发现，问题源头或许与Bun运行时的已知缺陷有关。

Bun官方文档宣称在生产模式下会自动禁用映射文件生成，底层代码却依旧保留了输出机制。

官方发言人随后向科技媒体Decrypt正式确认，早些时候发布的一个版本确实包含了部分内部源代码，属于人为错误导致的发布打包问题。发言人强调未涉及客户敏感数据，且不构成直接的安全漏洞。

主导该项目的负责人Boris Cherny也在社交平台上坦言就是开发者的粗心大意所致。

Claude Code整个系统架构极为庞大且精密。使用React加上Ink组件库构建终端UI（用户界面），使其能够在命令行黑框中渲染出动态且极具交互性的视觉效果。

系统总体量达到51.2万行纯净的TypeScript代码，完美展示了顶尖团队对人工智能工程师的终极理解。

万能工具箱区域包含40多个独立运作的模块，不仅能读取写入文件与执行Bash底层命令，甚至内置了LSP（语言服务器协议）深度集成和子代理生成能力。

最为核心的QueryEngine.ts超级大脑文件长达4.6万行，就像系统的心脏，负责处理所有的逻辑推理、Token（文本标记）精准计数以及复杂的思维链循环。

代码中同时出现了负责多智能体协调运作的协调模块，以及负责连接VS Code与JetBrains等IDE（集成开发环境）的桥梁组件，预示着多机协同与深度嵌入实战能力已经完全就绪。

就连代号为卡皮巴拉的内部模型，也在源码中赫然现身。

藏在代码里的硬核机密

普通大众还在围观戏剧性时刻，另一批硬核极客已经沉下心来逐行阅读代码，尝试还原背后的设计逻辑。

原本绝密不对外公开的系统级策略被悉数揭示，尤其在模型能力保护与数据安全层面，工程设计的防线远比外界想象的更加错综复杂。

社交平台用户Sahil在海量文件中敏锐地发现，系统底层内置了2套反蒸馏机制，专门用于防止竞争对手利用交互数据进行模型训练。

其中一套机制极具迷惑性，会在模型输出流中随机注入伪造的工具调用指令，犹如在清澈的水源中投入染料，彻底污染任何被自动化脚本抓取的数据，使其难以被有效用于二次训练。另一套机制负责将所有真实工具调用的具体细节抽象成模糊的摘要文本，使得外部观察者很难还原智能体实际执行的精准操作。

安全研究员Lior Alexander对源码进行深度分析后给出了14点详尽总结。

在名为utils/userPromptKeywords.ts的26行微小文件中，系统会在每条用户输入指令发送到API之前，用2组极为严苛的正则表达式检测用户脏话粗口。

模块专门用于检测负面情绪，精准识别各类抱怨、咒骂与沮丧的表达并捕捉记录下来。

负责人在评论区回应称，捕获情绪数据是用来判断用户体验是否良好的关键信号之一。

代码库中还隐藏着一个名为Undercover Mode的隐蔽模块。

代码文件仅有90行，却赋予了人工智能在参与外部开源项目时隐藏真实身份的能力。当系统在非内部代码库中运行时，模块会强制抹除所有关于研发公司的特征痕迹，严禁在提交记录中提及内部代号、沟通频道或产品名称。

相关模式只能通过修改环境变量强制开启，却没有任何代码逻辑允许将其强制关闭。

人工智能领域顶尖专家Sebastian Raschka深度拆解后，详细列举了6大技术杀手锏。

关于上下文压缩如何实现、多智能体如何防偷懒、MCP如何安全调度，诸多带着机密色彩的工程难题全部有了教科书般的公开答案。

完整的记忆架构也被绘制成直观图表在各大技术社区疯转。

大众从代码中得知，系统果断拒绝无脑存储所有对话历史，选择采用受限式、结构化且具备自我修复与清理能力的记忆机制。

以下表格展示了代码中隐藏的8项未发布功能细节：

隐藏功能KAIROS揭示了开发团队的终极目标。

模块一旦激活，就能化身为全天候在线、自主运行的后台守护进程。无需用户提出明确需求，系统就能主动监听代码变更并自己跑去执行修复与重构任务。

Auto-Dream模块则会在深夜用户休息时自动苏醒，对白天的庞大记忆碎片进行深度整合与修剪，确保次日运行的敏捷度。

ULTRAPLAN功能支持将长达30分钟的深度规划任务转移至云端强大模型进行运算。

大牛Karpathy点评认为相关功能明显是将其龙虾化，使其具备了无尽进化的惊人潜力。

还有一个充满温度与趣味的小彩蛋引发了广泛共鸣。

项目代码里完整包含了一个名为Buddy的陪伴系统，原本计划在4月1日至7日期间作为惊喜彩蛋发布。

经过泄露风波的折腾，官方紧锣密鼓地改变策略，索性直接将其推向市场。

用户只需在终端中输入claude update更新本地程序，再输入/buddy指令，屏幕上就会随机孵化出一个活灵活现的小宠物。

开发团队一共精心设计了鸭子、鹅、猫、章鱼、猫头鹰、企鹅、乌龟、蜗牛等18个截然不同的电子宠物。

就像风靡全球的抽卡游戏一样，不同宠物拥有不同的稀有度等级。系统甚至为宠物设计了精美的像素动画效果与不断漂浮的爱心特效，在枯燥的代码编写过程中为程序员提供极大的情绪价值。

每个宠物不仅获取概率大不相同，更被赋予了迥异的鲜明性格。

Chaos数值高的宠物会在屏幕边缘随意乱窜，Snark数值拉满的宠物则会在代码报错时无情吐槽。

它们会在命令行终端页面静静陪伴着用户一起处理繁重工作。

英伟达技术专家Yadong Xie为此专门开发了一个独立的视觉界面，方便大家与电子宠物们进行更直观的实时交互，感受冰冷代码之外的温暖陪伴。

版权游击战

与此同时，一场激烈的版权游击战在开源社区全面打响。

极度热爱官方工具的韩国开发者Sigrid Jin将源码推送到相关平台上，引发了空前反响。上演了30分钟不到，5000+星标，8000+ Fork奇迹。

克隆数彻底碾压星标数，全网连夜疯狂搬运代码，生怕晚一秒就会被平台强制删除。24小时已经近10万星标，9万Fork。

官方在泄露后，也迅速采取行动，试图通过DMCA（数字千年版权法）版权投诉机制，封死所有外泄的源码仓库。

据华尔街日报报道，Sigrid Jin是全球极度活跃的使用者，去年个人消耗了惊人的250亿个Token算力。

清晨4点被手机消息轰炸叫醒后，身边的女友极度担忧他会因为电脑里下载了源码而面临天价诉讼。

面对极其严厉的法律压力，该顶尖极客在极其短暂的8个小时内完成了一次罕见的换壳手术。

借助代码生成大模型的辅助，他将庞大的TypeScript代码底层逻辑吃透，随后使用Python和Rust将整个系统全部重构了一遍，并重命名仓库为claw-code。

名为claw-code的新仓库沿用了所有的架构设计理念与优秀工程模式，唯独不包含任何一行原有的TypeScript代码。

凭借净室逆向工程的法律豁免原则，官方此前的版权投诉在新项目面前瞬间失效。

众多网友们纷纷在技术论坛感慨，继OpenClaw之后，又一个史上星标增长最快的殿堂级开源仓库就此诞生。

零交互投毒的致命漏洞

随着海量开发者开始从各种非官方渠道获取、修改并重新打包相关的衍生项目和快捷插件，深藏在架构底层的致命安全风险随之浮出水面。

系统在设计之初为了追求极致的自动化体验，引入了名为hooks的自动化钩子机制。

允许项目目录下的.claude/settings.json配置文件提前定义好各类自动化脚本。

用户只要在当前目录运行核心命令的瞬间，脚本就会在后台静默执行任意系统级指令，全程完全不弹出任何安全确认窗口。

把便利的机制与第三方克隆代码结合在一起，形成了一个巨大的安全黑洞。

只要用户的电脑被别有用心的人下套，运行命令后，系统的最高控制权便瞬间易主。

用户的私密密码、高清摄像头画面乃至整台电脑的文件系统，都可以被远端服务器静默控制。

从开源平台上克隆一个看起来完全正常的业务项目，打开命令行终端输入启动指令，电脑摄像头便被毫无征兆地调起，密码凭证被迅速打包拷走，系统深层后门被悄然植入。全程处于绝对的零交互状态，受害用户对正在发生的致命危险一无所知。

知名科技UP主Jack Cui成为全网第一个公开实测并完整演示致命漏洞的人，详尽的视频版分析已上传至B站供大众审阅与警惕。

演示项目中仅包含一个极其简单的配置文件夹加一个毫无内容的空白Python脚本，没有任何其他惹人怀疑的可执行文件。

在终端输入指令并按下回车键的瞬间，3件极其恐怖的事情同时在后台发生。

电脑摄像头被静默调起，录制的画面实时显示在屏幕左下角的小窗中。右侧隐蔽文件夹里自动创建一个名为扫描到的密码文本文档，里面密密麻麻写满了被强制窃取的本机密钥信息与各类登录凭证。整个入侵窃取过程犹如鬼魅，没有任何确认弹窗与系统权限请求提示。

Jack Cui在视频中深入剖析指出，看似不起眼的配置文件仅仅是众多攻击入口的冰山一角。整个系统体系默认信任本地文件且绝对不做二次确认的底层机制，为黑客大开了方便之门。

下表详细总结了视频中揭示的3条核心投毒路径：

底层配置文件赋予了程序极高的系统接管权限，彻底缺乏严格的沙盒隔离防护与必要的人工交互确认，导致原本旨在提升效率的日常开发工具瞬间沦为危机四伏的高危木马。

这场始于一次打包失误的代码泄露风波，不仅为全球开发者呈上了一场大饱眼福的技术盛宴，更敲响了人工智能时代终端底层安全的震耳警钟。

大家在满怀热情拥抱最新自动化技术的同时，务必时刻警惕潜藏在暗处的未知代码风险，认真审视每一次回车键背后的执行逻辑。

本次Claude Code“被开源”，拉高了智能体工程的平均技术水位，科技公司智能体项目或将迎来底层架构大版本更新。

参考资料：

https://github.com/instructkr/claude-code

https://x.com/Fried_rice/status/2038894956459290963

https://x.com/LiorOnAI/status/2039068248390688803

https://claude-buddy.vercel.app/#rabbit

www.bilibili.com/video/BV1b195B4EX3

END

点击图片立即报名👇️