#ClaudeCode500KCodeLeak

2026年3月31日，Anthropic 無意中將超過512,000行其專有的TypeScript代碼暴露給公共互聯網。
原因並不複雜，僅是操作失誤。
一個 .map 文件——用於重建壓縮代碼的調試產物——在對Claude Code npm包進行例行更新時未被排除在 .npmignore 之外。在生產環境中，源映射文件從不會被發佈，但這次卻例外了。

該文件可以通過嵌入在包元數據中的Cloudflare R2存儲桶鏈接訪問。數小時內，安全研究員邱凡收（Chaofan Shou）識別並分享了該文件。該帖子觸及數千萬人次，數千名開發者在下架行動開始前fork了該存儲庫。
當Anthropic從GitHub刪除數千份副本時，該代碼已經被存檔、鏡像並在超出有效執法範圍的司法管轄區內分發。此時，控制已不可能實現。
更重要的故事不是泄露本身，而是它所揭示的內容。
被曝光的代碼證實，Claude Code作為一個基於CLI的代理，使用TypeScript構建，在Bun上運行，並用React-Ink渲染。這一點早已預料到。此前未曾顯示的是內部控制層。

其中一個標記為“Undercover Mode”的功能，並被標記為關鍵，旨在防止模型在開源環境中交互時暴露內部項目名稱和基礎設施細節。其存在凸顯了對提示安全和受控披露的有意聚焦。其曝光則突顯了該控制的局限性。
該代碼庫引用約44個功能標誌，包括一個未發布的背景守護進程KAIROS，以及內部模型變體如“Capybara”，据信對應Claude 4.6版本。其他字串暗示正在開發更新的Opus變體。這些信息都不是公開可見的。
更具影響力的是架構本身。

記憶系統採用三層設計：一個中心索引文件、按主題加載的模塊（按需載入），以及保留完整會話記錄以進行語義檢索。這反映出一個明確的設計選擇，即偏向懶加載上下文，而非最大化活動窗口的使用——這是一種優化，能減少令牌壓力並提升擴展性。
代理框架採用基於KV快取繼承的fork-join模型。子代理可以獲得完整的上下文狀態，無需重算，從而實現高效的並行處理。這並非一個微不足道的實現細節，而是經過數月基礎設施設計的成果，現已有效記錄。

Anthropic的回應由工程師Boris Cherny傳達，歸咎於部署步驟的疏漏。公司隨後實施了自動化檢查，包括由Claude協助的驗證步驟。重要的是，沒有客戶數據被曝光。此次泄露僅限於內部架構。
然而，商業影響卻是深遠的。

據估計，Claude Code每年創造約25億美元的經常性收入，其中大部分來自企業客戶。這些客戶不僅購買能力，更購買對系統安全邊界和專有設計的信心。
而這種信心如今變得更脆弱。

不是因為系統被破壞，而是因為其內部邏輯不再模糊。當結構可見時，攻擊面更易研究；當條件已知時，防禦機制更易測試。
時機也放大了影響。同一天，AI招聘平台Mercor的4TB數據泄露事件也浮出水面。兩者的重疊分散了注意力，但並不降低任何一個事件的重要性。
與此同時，開源生態系統立即做出了反應。

幾天內出現了兩個項目。一個是純淨室Python重實現，旨在在不使用原始代碼的情況下復現功能；另一個是模型無關的架構移植，跨多個AI後端進行適配。純淨室方法具有長期的法律先例，是否在此處構成侵權仍是未解之謎。

更深層次的問題不是泄露本身，而是信息不對稱的崩潰。
Anthropic不僅失去了代碼，還失去了唯一已經解決特定工程問題——約束下的上下文管理、多代理協調和受控披露機制——的優勢。
這些解決方案現在已經暴露。
剩下的問題是，真正的護城河在哪裡。

如果優勢主要在於模型質量，損害是可控的。模型無法從CLI工具反向工程出來。如果優勢在於代理層的累積工程決策，影響則更持久。
事實可能是兩者的結合。
未來十二個月，這一點的重要性將逐步明朗。