在錯誤配置的來源映射檔發佈到 npm 後,Anthropic 公開了 Claude Code 的完整原始碼,讓人們得以一窺該公司最重要的商業產品之一的內部運作。
該檔案與 2.1.88 版本捆綁在一起,包含近 60 兆位元組的內部數據,其中包括分佈在 1906 個檔案中的約 51.2 萬行 TypeScript 程式碼。在 Solayer Labs 實習的軟體工程師 Chaofan Shou 最先發現了這一洩露事件,隨著開發者開始檢查程式碼庫,洩漏事件迅速在 X 和 GitHub 上傳播開來。
此次披露揭示了 Anthropic 如何建立 Claude Code 以確保在長時間編碼過程中保持進度。其中最顯著的發現之一是其三層記憶體系統,該系統以名為 MEMORY.md 的輕量級檔案為核心,用於儲存簡短的引用資訊而非完整資料。更詳細的項目筆記會單獨保存,並在需要時調用;而過往的會話歷史記錄則會進行選擇性搜索,而不是一次性全部加載。此外,該系統還會在執行任何操作之前,先將記憶體中的程式碼與實際程式碼進行比對,這種設計旨在減少錯誤和虛假假設。
消息來源還表明,Anthropic 一直在開發比用戶目前看到的版本更自主的 Claude Code 版本。其中一項被重複提及的名為 KAIROS 的功能似乎描述的是一種守護程序模式,在這種模式下,代理程式可以在後台持續運行,而無需等待直接指令。
另一個名為 autoDream 的進程似乎負責在空閒期間進行記憶體整合,它透過協調矛盾並將初步觀察結果轉化為已驗證的事實來實現這一功能。審查程式碼的開發人員還發現了數十個隱藏的功能標誌,其中包括對透過 Playwright 實現瀏覽器自動化的引用。
此次外洩也暴露了內部模型名稱和效能資料。消息人士稱,Capybara 指的是 Claude 4.6 的變體,Fennec 對應於 Opus 4.6 版本,而 Numbat 仍處於預發布測試階段。
程式碼中引用的內部基準測試顯示,最新版本的 Capybara 錯誤聲明率在 29% 到 30% 之間,高於早期版本的 16.7%。該原始程式碼還提到了一種斷言平衡機制,旨在防止模型在重構使用者程式碼時過於激進。
其中一項最敏感的揭露涉及一項名為「隱蔽模式」的功能。恢復的系統提示表明,Claude Code 可用於向公共開源程式碼庫做出貢獻,而無需暴露人工智慧在其中發揮作用。指令明確指示模型避免在提交資訊或公共 Git 日誌中暴露內部標識符,包括 Anthropic 的代號。
洩漏的材料還暴露了 Anthropic 的權限引擎、多代理工作流程的編排邏輯、bash 驗證系統以及 MCP 伺服器架構,使競爭對手得以詳細了解 Claude Code 的工作原理。此次揭露也可能為攻擊者提供更清晰的路線圖,以便他們可以建立旨在利用代理信任模型漏洞的程式碼庫。洩漏的文字顯示,一名開發者在洩漏發生後的幾個小時內就開始使用 Python 和 Rust 重寫系統的部分內容,並將其命名為 Claw Code。
這次漏洞暴露恰逢另一起供應鏈攻擊,該攻擊涉及惡意版本的 axios npm 包,該包於 3 月 31 日分發。在此期間透過 npm 安裝或更新 Claude Code 的開發者可能也引入了受感染的依賴項,據報道該依賴項包含遠端存取木馬。安全研究人員敦促使用者檢查其鎖定檔案、輪換憑證,並在某些情況下考慮在受影響的電腦上重新安裝作業系統。
這是 Anthropic 在大約 13 個月內洩露敏感內部技術細節的第二起已知事件,此前在 2025 年 2 月也發生過一起涉及未發布模型資訊的事件。
在最近一次安全漏洞事件發生後,Anthropic 指定其獨立二進位安裝程式為安裝 Claude Code 的首選方法,因為它繞過了 npm 依賴鏈。對於仍使用 npm 的用戶,建議他們鎖定在受影響軟體包發布之前發布的經過驗證的安全版本。
