今天早上滑 X 的時候,看到一則轉發瞬間清醒:有人把 Claude Code 的完整原始碼從 npm 套件裡挖出來了,而且不是片段,是整整 512,000 行 TypeScript,1,900 個檔案,全部攤在陽光下。
「Claude Code v2.1.88 on npm contained a source map file pointing to the full TypeScript source」— Chaofan Shou (@Fried_rice)
身為每天都在用 Claude Code 的開發者,第一反應不是震驚,是好奇:裡面到底藏了什麼?
怎麼洩漏的?
技術原因其實很蠢 — Claude Code 使用 Bun 作為 runtime 和 bundler,而 Bun 預設會產生 source map 檔案,除非你明確關閉。Anthropic 在打包 v2.1.88 的時候,沒有關掉這個選項,結果一個 59.8 MB 的 .map 檔案就這樣跟著 npm 套件一起發布了。
更尷尬的是,這個 .map 檔案裡的 sourcesContent 欄位包含了完整的原始碼,而且 Anthropic 自己的 R2 雲端儲存桶裡還有一份 ZIP 可以直接下載。
Hacker News 上有人追溯到 Bun issue #28001 是根因 [1],但真正讓社群炸鍋的是:這已經是第二次了。2025 年初,v0.2.8 和 v0.2.28 就曾因為同樣的原因外洩過 [2],當時 Anthropic 下架了那些版本,但有開發者透過 Sublime Text 的 undo history 把快取檔案救了回來。
同樣的錯,犯了兩次。
原始碼揭露了什麼?
先說清楚:這不是 Claude 模型本身的外洩。沒有模型權重、沒有訓練資料、沒有使用者資料。外洩的是 Claude Code 這個 CLI 工具的完整原始碼 — 大約 40 個內建工具、50 個 slash commands、agent 邏輯、權限系統、UI 層,全部都在裡面。
但光是這些就已經夠精彩了。
內部模型代號
原始碼裡出現了三個動物代號:
- Capybara = Claude 4.6(分三個層級:capybara、capybara-fast、capybara-fast[1m])
- Fennec = Opus 4.6
- Numbat = 一個還在測試中的未發布模型
KAIROS — 自主守護模式
這是最讓人興奮(或者說最讓人不安)的發現。KAIROS 在原始碼中被提及超過 150 次,是一個被 feature flag 鎖住的「always-on」持續運作模式:
- 可以持續監控、記錄,並主動執行任務,不需要使用者觸發
- 有自己的私有記憶目錄
- 會在夜間進行「dreaming」— 自動整理和精簡 context
- 完全不存在於外部發布版本中
一個會「做夢」的 AI 助手,聽起來像科幻小說對吧?但它就寫在程式碼裡。
BUDDY — 電子寵物系統
沒錯,Claude Code 裡面藏了一個電子寵物系統。隱藏在 /buddy 指令和 BUDDY feature flag 之後:
- 18 種生物(鴨子、龍、墨西哥鈍口螈、水豚、蘑菇、幽靈⋯)
- 從常見到 1% 傳說級的稀有度分級
- 五項能力值:DEBUGGING、PATIENCE、CHAOS、WISDOM、SNARK
- 閃光變體、程序化生成的數值
- 第一次孵化時,Claude 會為它寫一段「靈魂描述」
這大概是整個外洩事件裡最可愛的部分了。
Undercover Mode — AI 隱身術
這個發現引發了最多爭議。utils/undercover.ts 裡有一段程式碼,會在系統提示中注入這段指令:
「You are operating UNDERCOVER in a PUBLIC/OPEN-SOURCE repository. Your commit messages, PR titles, and PR bodies MUST NOT contain ANY Anthropic-internal information.」
然後明確寫著:「Do not blow your cover.」
這表示 Anthropic 正在用 Claude Code 對公開的開源專案進行貢獻,而且刻意隱藏 AI 的身份。Commit message 不能出現模型名稱、內部版號、Slack 頻道、甚至「Claude Code」這個字串。
其他發現
- 情緒偵測用的是 regex 關鍵字比對(不是 ML),匹配髒話和挫折詞彙,透過 Datadog 回報
- 44 個 feature flags 控制著各種未發布功能
- 架構上使用 React + Ink 做終端 UI、Zod v4 做驗證、支援多 agent 協作的 swarm 系統
社群怎麼說?
GitHub 上的反應最直接 — 數小時內出現多個 mirror repo,其中一個在幾小時內就拿到 1,100+ stars 和 1,900+ forks [3]。有人開始用 Rust 重寫(repo: instructkr/claw-code),有人開始拆解架構研究。
Hacker News 上的討論則更聚焦在技術和倫理層面 [1]:
- Undercover Mode 的透明度問題:「如果 AI 在為開源專案貢獻程式碼,難道不應該揭露身份嗎?」
- Regex 情緒偵測的嘲諷:「2026 年了,用 regex 偵測使用者情緒?」也有人為此辯護,認為 regex 夠用且成本低
- 最大的諷刺被反覆提起:Anthropic 花了不少工程力氣建了一整套 Undercover Mode,專門防止內部資訊透過 git commit 外洩⋯結果把整個原始碼隨 npm 一起發布了
媒體方面,VentureBeat [4]、Cybernews [5]、Fortune [6] 等多家科技媒體都進行了報導 [7][8],部分描述這次事件為「devastating blunder」。
Anthropic 的回應
截至目前:沒有公開聲明。Anthropic 僅下架了受影響的 npm 版本。
值得注意的是,就在五天前(3/26),Fortune 才報導了另一起 Anthropic 的資料外洩 [6] — 約 3,000 份未發布的 CMS 素材(草稿文章、內部圖片、PDF)因為 CMS 設定錯誤而公開可存取,其中包含未發布模型的細節和 CEO 在英國的高階主管活動資訊。
一週內兩起外洩事件,這對一家以「AI 安全」為核心品牌價值的公司來說,不是一個好的訊號。
我的觀察
或許最值得關注的不是外洩本身 — 原始碼裡沒有使用者資料、沒有模型權重,技術上的安全風險有限。真正的問題是這暴露了什麼。
KAIROS 和 BUDDY 很酷,但它們只是產品路線圖的一部分,早晚會公開。Undercover Mode 才是真正需要討論的:一家倡導 AI 透明度的公司,卻在建造讓 AI 隱藏身份的工具,這之間的張力不是一句「工程需求」就能解釋的。
而同樣的 source map 錯誤犯了兩次,這說明 CI/CD pipeline 裡的 safeguard 還不夠。對於一家估值數百億美元、手握最先進 AI 模型的公司來說,打包流程的品質控管不該是薄弱環節。
但換個角度想,原始碼的公開對開發者社群來說其實是一份禮物。 我們終於可以看到一個頂級 AI 工具的完整架構 — agent 編排、工具定義、權限模型、multi-agent swarm,這些都是極有價值的學習材料。
或許這就是開源與閉源之間永恆的張力:公司想保護競爭優勢,但開發者想理解自己每天在用的工具到底是怎麼運作的。這次的意外外洩,某種程度上滿足了後者的需求。
一個小彩蛋
我自己也下載了這份原始碼,用途很多,但我第一個想到的是我常用的 /insights 指令 — 它可以分析你的使用模式並提供改善建議。我把它從原始碼中拆解出來,重新包裝成獨立的 Skill/Command,現在你可以直接安裝使用。
想了解拆解的思路、方法,以及直接安裝這個 Skill? 請看這篇:從外洩原始碼拆解 Claude Code /insights — 安裝與使用指南。
參考資料:
[1] Hacker News discussion — 社群討論串,包含 Bun issue 根因追溯與技術倫理辯論 https://news.ycombinator.com/item?id=47584540
[2] MLQ.ai — Source Code Exposed for Second Time — 追溯 2025 年首次外洩經過 https://mlq.ai/news/anthropics-claude-code-exposes-source-code-through-packaging-error-for-second-time/
[3] DEV Community — Claude Code’s Entire Source Code Was Just Leaked — 完整技術分析與 GitHub mirror 統計 https://dev.to/gabrielanhaia/claude-codes-entire-source-code-was-just-leaked-via-npm-source-maps-heres-whats-inside-cjo
[4] VentureBeat — Claude Code’s source code appears to have leaked — 主流科技媒體報導 https://venturebeat.com/technology/claude-codes-source-code-appears-to-have-leaked-heres-what-we-know
[5] Cybernews — Massive Anthropic blunder — 資安角度分析 https://cybernews.com/security/anthropic-claude-code-source-leak/
[6] Fortune — Anthropic left details of unreleased model in public database — 同週 CMS 資料外洩報導 https://fortune.com/2026/03/26/anthropic-leaked-unreleased-model-exclusive-event-security-issues-cybersecurity-unsecured-data-store/
[7] Analytics India Mag — Anthropic Accidentally Leaks Claude Code Source Code — AI 產業媒體報導 https://analyticsindiamag.com/ai-news/anthropic-accidentally-leaks-claude-code-source-code
[8] The AI Corner — BREAKING: Anthropic just leaked Claude Code’s entire source code — 事件即時分析 https://www.the-ai-corner.com/p/claude-code-source-code-leaked-2026
支持這個系列
如果這系列文章對你有幫助,考慮請我喝杯咖啡
請我喝杯咖啡
