在错误配置的来源映射档发布到 npm 后,Anthropic 公开了 Claude Code 的完整原始码,让人们得以一窥该公司最重要的商业产品之一的内部运作。
该档案与 2.1.88 版本捆绑在一起,包含近 60 兆位元组的内部数据,其中包括分布在 1906 个档案中的约 51.2 万行 TypeScript 程式码。在 Solayer Labs 实习的软体工程师 Chaofan Shou 最先发现了这一泄露事件,随著开发者开始检查程式码库,泄漏事件迅速在 X 和 GitHub 上传播开来。
此次披露揭示了 Anthropic 如何建立 Claude Code 以确保在长时间编码过程中保持进度。其中最显著的发现之一是其三层记忆体系统,该系统以名为 MEMORY.md 的轻量级档案为核心,用于储存简短的引用资讯而非完整资料。更详细的项目笔记会单独保存,并在需要时调用;而过往的会话历史记录则会进行选择性搜索,而不是一次性全部加载。此外,该系统还会在执行任何操作之前,先将记忆体中的程式码与实际程式码进行比对,这种设计旨在减少错误和虚假假设。
消息来源还表明,Anthropic 一直在开发比用户目前看到的版本更自主的 Claude Code 版本。其中一项被重复提及的名为 KAIROS 的功能似乎描述的是一种守护程序模式,在这种模式下,代理程式可以在后台持续运行,而无需等待直接指令。
另一个名为 autoDream 的进程似乎负责在空闲期间进行记忆体整合,它透过协调矛盾并将初步观察结果转化为已验证的事实来实现这一功能。审查程式码的开发人员还发现了数十个隐藏的功能标志,其中包括对透过 Playwright 实现浏览器自动化的引用。
此次外泄也暴露了内部模型名称和效能资料。消息人士称,Capybara 指的是 Claude 4.6 的变体,Fennec 对应于 Opus 4.6 版本,而 Numbat 仍处于预发布测试阶段。
程式码中引用的内部基准测试显示,最新版本的 Capybara 错误声明率在 29% 到 30% 之间,高于早期版本的 16.7%。该原始程式码还提到了一种断言平衡机制,旨在防止模型在重构使用者程式码时过于激进。
其中一项最敏感的揭露涉及一项名为「隐蔽模式」的功能。恢复的系统提示表明,Claude Code 可用于向公共开源程式码库做出贡献,而无需暴露人工智慧在其中发挥作用。指令明确指示模型避免在提交资讯或公共 Git 日志中暴露内部标识符,包括 Anthropic 的代号。
泄漏的材料还暴露了 Anthropic 的权限引擎、多代理工作流程的编排逻辑、bash 验证系统以及 MCP 伺服器架构,使竞争对手得以详细了解 Claude Code 的工作原理。此次揭露也可能为攻击者提供更清晰的路线图,以便他们可以建立旨在利用代理信任模型漏洞的程式码库。泄漏的文字显示,一名开发者在泄漏发生后的几个小时内就开始使用 Python 和 Rust 重写系统的部分内容,并将其命名为 Claw Code。
这次漏洞暴露恰逢另一起供应链攻击,该攻击涉及恶意版本的 axios npm 包,该包于 3 月 31 日分发。在此期间透过 npm 安装或更新 Claude Code 的开发者可能也引入了受感染的依赖项,据报道该依赖项包含远端存取木马。安全研究人员敦促使用者检查其锁定档案、轮换凭证,并在某些情况下考虑在受影响的电脑上重新安装作业系统。
这是 Anthropic 在大约 13 个月内泄露敏感内部技术细节的第二起已知事件,此前在 2025 年 2 月也发生过一起涉及未发布模型资讯的事件。
在最近一次安全漏洞事件发生后,Anthropic 指定其独立二进位安装程式为安装 Claude Code 的首选方法,因为它绕过了 npm 依赖链。对于仍使用 npm 的用户,建议他们锁定在受影响软体包发布之前发布的经过验证的安全版本。
