作者：深潮 TechFlow

Anthropic 因一次 npm 发布配置失误，将旗下最赚钱产品 Claude Code 的全部源代码意外公开。约 51.2 万行 TypeScript 代码在数小时内被数万名开发者镜像、拆解、用 AI 改写成 Python和 Rust 版本。Anthropic 随即向 GitHub 发出 DMCA 版权撤除请求，波及约 8100 个代码仓库，但因误伤大量无关项目引发社区强烈反弹，最终被迫撤回绝大部分请求，仅保留对 1 个仓库及 96 个分叉的撤除。这是 Anthropic 一周内第二次重大泄露事故，距其 Mythos 模型信息泄露仅隔五天。

以「AI 安全」为品牌核心的 Anthropic，正经历创立以来最难堪的一周。

据《华尔街日报》4月 1 日报道，Anthropic 在3月 31 日的一次常规版本更新中，因构建流程中的人为操作失误，将 Claude Code 的完整源代码随 npm 包一同发布。安全研究员 Chaofan Shou 于美东时间凌晨 4:23在 X 平台公开了下载链接，帖子浏览量迅速突破 2100 万。数小时内，代码被镜像至 GitHub 并获得数万颗星标，一位韩国开发者 Sigrid Jin 甚至在天亮前就用 AI 工具将整个代码库改写为 Python 版本，该项目两小时内收获 5 万颗 GitHub 星标，很可能创下该平台历史上增长最快的纪录。

Anthropic 发言人向 CNBC 确认了泄露事实，称「这是一次由人为错误导致的发布打包问题，不是安全漏洞。未涉及或暴露任何敏感客户数据或凭证。」

一个缺失的配置项，泄露了 51.2 万行核心代码

泄露的技术原因并不复杂。Claude Code 基于 Bun（Anthropic 于2025 年底收购的 JavaScript 运行时工具）构建，Bun 默认会生成 source map 调试文件。发布团队在推送 npm 包时，未在.npmignore 配置中排除该文件，导致一个 59.8MB的 source map 文件随 Claude Code 2.1.88 版本一同上线。这个文件包含了约 1900个 TypeScript 源文件的完整内容，总计约 51.2 万行代码，可读、有注释、未经任何混淆处理。

Claude Code 负责人 Boris Cherny 承认，「我们的部署流程有几个手动步骤，其中一步没有正确执行。」他补充说，团队已经修复了问题并正在增加更多自动化检查，同时强调这类错误指向流程或基础设施问题，而非某个人的责任。

这并非首次发生。2025年 2 月，一次几乎相同的 source map 泄露曾暴露过 Claude Code 早期版本的源代码。同一类事故在 13 个月内重演，令外界对这家估值约 3800 亿美元、正筹备 IPO 的公司的运营成熟度产生疑问。

开发者从泄露代码中发现了什么

泄露的代码库相当于 Anthropic 从未打算公开的一份产品路线图。据 VentureBeat 和多位开发者的分析，代码中包含 44 个功能开关（feature flag），其中超过 20 项是已完成开发但尚未发布的功能。

其中最受关注的包括：一个名为「KAIROS」的自主守护进程模式，允许 Claude Code 在用户空闲时作为后台持续运行的智能体自主工作，能周期性地修复错误、执行任务并向用户发送推送通知；一套三层「自愈式记忆」架构，通过名为「dreaming」的记忆整合过程，在后台合并分散的观察结果、消除逻辑矛盾；以及一个完整的多智能体协调系统，可将 Claude Code 从单一智能体转变为能并行生成、指挥和管理多个工作智能体的协调器。

争议最大的发现是一个名为 undercover.ts 的文件。据 The Hacker News 报道，该文件约 90 行代码，在 Anthropic 员工使用 Claude Code 向开源项目提交代码时，会注入系统提示，指示 Claude 绝不透露自己是 AI，并剥除所有 Co-Authored-By 归属标注。代码中写道：「你正在一个公共/开源代码仓库中执行卧底任务。你的提交信息、PR 标题和 PR 正文绝不能包含任何 Anthropic 内部信息。不要暴露你的身份。」

此外，代码还包含一个 ANTI_DISTILLATION_CC 标记，会向 API 请求中注入伪造的工具定义，目的是污染竞争对手可能截获的训练数据。代码中同样出现了 Anthropic 内部模型代号：Capybara 对应一个尚未发布的新模型层级，Fennec 对应现有的 Opus 4.6。这与五天前 Anthropic因 CMS 配置失误泄露的 Mythos 模型信息相互印证。

网络安全公司 Code Wall 创始人 Paul Price对 Business Insider 表示，此次泄露「与其说造成了实际损害，不如说令人尴尬。真正有价值的核心是其内部模型权重，那些并未泄露。」但他也指出，Claude Code 是「目前设计最好的智能体工具架构之一，现在我们能看到他们如何解决那些困难问题了」，这对竞争对手而言具有明显的情报价值。

8100 个仓库遭误封，DMCA 撤除「翻车」引发更大反弹

代码扩散后，Anthropic 迅速依据美国《数字千年版权法》（DMCA）向 GitHub 提交版权撤除请求。据 GitHub 公开记录，该请求最初波及约 8100 个代码仓库。但问题在于，被撤除的仓库不仅包含泄露代码的镜像，还包括 Anthropic 自身公开发布的 Claude Code 官方仓库的合法分叉。

大量开发者在 X 平台表达愤怒。开发者 Danila Poyarkov 报告称，自己仅仅是分叉了 Anthropic 的公开仓库就收到了撤除通知。另一位用户 Daniel San 收到的 GitHub 邮件显示，被撤除的仓库仅包含技能示例和文档，与泄露代码毫无关系。有开发者直言：「Anthropic 的律师刚醒过来就在撤除我的仓库。」

面对社区反弹，Anthropic 在4月 1 日部分撤回了请求。据 GitHub 上的撤回记录，Anthropic 将撤除范围缩减至 1 个仓库（nirholas/claude-code）及原始通知中单独列出的 96 个分叉 URL，其余约 8000 个仓库的访问权限已由 GitHub 恢复。

Anthropic 发言人向 TechCrunch 表示：「通知中指定的仓库属于与我们公开 Claude Code 仓库相连的分叉网络，因此撤除波及的仓库超出了预期。我们已撤回除一个仓库外的所有通知，GitHub 已恢复对受影响分叉的访问。」

代码已在去中心化平台永久存档，DMCA 效力有限

Anthropic 的版权撤除行动面临一个根本性困境：代码已经不可逆地扩散。

据 Decrypt 报道，去中心化 Git 平台 Gitlawb 已镜像了完整原始代码，附注称「永远不会被撤除」。DMCA 对中心化平台（如 GitHub）有效，因为后者必须依法执行，但对去中心化基础设施无法施加管辖权。泄露发生数小时内，代码就已通过足够多的镜像和不同类型的基础设施实现了事实上的永久公开。

更具讽刺意味的是，韩国开发者 Sigrid Jin 用 AI 编排工具 oh-my-codex 将整个代码库从 TypeScript 改写为 Python，项目名为 claw-code。The Pragmatic Engineer 创始人 Gergely Orosz在 X 平台指出，这是「干净室改写」（clean-room rewrite），构成独立的创作作品，在设计上就是 DMCA 无法触及的。如果 Anthropic 主张 AI 改写的代码仍然侵权，这恰恰会削弱 AI 公司在训练数据版权诉讼中的核心抗辩逻辑——即 AI 从受版权保护的输入生成的输出构成合理使用。

版权立场的尴尬：自己打脸还是法律必需？

此次事件中最受社区关注的张力在于版权立场的矛盾。Anthropic 在2025年 9 月被法院判决因使用盗版书籍和影子图书馆训练 Claude 而赔偿 15 亿美元；Reddit 于2025年 6 月起诉 Anthropic 未经授权抓取用户生成内容用于模型训练。一家因训练数据版权问题身陷多起诉讼的公司，转身使用版权法来保护自己的代码，社区反应可以预见。

Slashdot 上的高赞评论直接概括了这种情绪：「‘我们公开发布的、用偷来的东西赚钱的东西，你们怎么敢偷！’——这真是个立场。」另一位用户则认为，从法律策略角度看，DMCA 行动并非毫无道理：「如果 Anthropic 将来想追究其他公司使用其代码的责任，而他们连让分发者撤除都没有尝试过，那在法庭上说不过去。」

这一争论还涉及 AI 生成代码的版权归属这一前沿法律问题。据 Gartner和 Anthropic 此前的公开披露，Claude Code 约90%的代码由 AI 生成。美国联邦法院在 2025年 3 月裁定 AI 生成的作品因缺乏人类作者身份而不享有版权保护，最高法院于 2026年 3 月拒绝受理上诉。如果 Claude Code 的大部分代码确实由 Claude 自己编写，Anthropic 的版权主张在法律上就存在实质性的不确定性。

一周两次泄露，IPO 前夕的运营安全警报

此次源代码泄露距离 Anthropic 上一次泄露事件仅隔五天。3月 26 日，《财富》杂志报道称，Anthropic 因内容管理系统的配置失误，导致近 3000 份未发布的内部文件暴露在公开可检索的数据缓存中，其中包含即将发布的 Claude Mythos 模型的详细信息。两起事故均被归因于「人为错误」。

这些事故的时间节点敏感。Anthropic 于2026年 2 月完成 300 亿美元 G 轮融资，估值达 3800 亿美元，据报道正在筹备最早于 2026年 10 月进行的 IPO，预计融资规模可能超过 600 亿美元。高盛、摩根大通和摩根士丹利均已在早期接洽中。Claude Code 年化收入已超过 25 亿美元，是公司最重要的收入引擎。TechCrunch 指出，对于正在准备上市的公司而言，泄露源代码意味着几乎必然面临股东诉讼。

VentureBeat 在事件分析中提出了一个更尖锐的问题：Anthropic 在 3 月发生了十余起事故，但仅公开发布过一份事后报告，第三方监控系统检测到故障的时间比 Anthropic 自己的状态页面早了 15 到 30 分钟。一家正以 3800 亿美元估值驶向公开市场的公司，其运营透明度与成熟度是否匹配得上这个估值，投资者需要自己判断。