Anthropic 原始程式碼洩漏 2026：透過 npm 原始地圖錯誤暴露 Claude Code CLI

Anthropic 因疏忽意外將其 Claude Code CLI 的完整原始碼上傳到一個公開的 npm 套件中，讓任何有留意的人都能看到大約 512,000 行的 Typescript。

Claude Code npm 洩漏揭露未發布功能，包括 KAIROS、BUDDY 與 Agent Swarms

該公司在 2026 年 3 月 31 日確認了這起事件，接受 Venture Beat 採訪時表示，這是由於發布封裝流程中的人為錯誤所致。@anthropic-ai/claude-code 的 2.1.88 版隨附了一個 59.8 MB 的 Javascript source map 檔案。基本上這是一種除錯痕跡：它能把被最小化（minified）的正式程式碼還原回原始的 Typescript，並且直接指向放在 Anthropic 自己的 Cloudflare R2 儲存桶內、可公開存取的壓縮檔（zip）存放位置。

沒有人需要去駭入什麼東西。檔案只是就那樣放在那裡。

區塊鏈安全公司 Fuzzland 的實習研究員 Shou Chaofan 發現了這個問題，並在 X 上發布了該儲存桶的直接連結。數小時內，鏡像倉庫就出現於 Github，其中一些在 Anthropic 的 DMCA 下架動作影響之前就累積了數以萬計的讚數。社群成員已經開始移除遙測（telemetry）、切換隱藏的功能旗標（feature flags），並著手以 Python 與 Rust 進行乾淨室（clean-room）重寫，以規避著作權疑慮。

根本原因很簡單：Bun 的打包器預設會生成 source maps，而在發布之前沒有任何構建步驟排除或停用這個除錯用的產物。若在 .npmignore 中缺少一項，或在 package.json 的 files 欄位中遺漏了相應設定，本來就可以避免整件事。

開發者在裡面找到的內容非常具體。這些約 1,900 個 Typescript 檔涵蓋工具執行邏輯、權限架構（permission schemas）、記憶體系統、遙測、系統提示（system prompts）以及功能旗標——完整呈現 Anthropic 如何打造一個達到量產等級的「agentic coding tool」。遙測會掃描提示（prompts）中的髒話，作為挫折訊號，但不會記錄完整的使用者對話或程式碼。所謂的「undercover mode」會指示 AI 從 git 的 commit 與 pull requests 中移除對內部代號（internal codenames）與專案細節的引用。

多項未發布功能都被旗標（flags）所保護。KAIROS 被描述為一個常駐運作的背景守護程序（always-on background daemon），會監控檔案、記錄事件，並在閒置時間執行一個「夢境」（dreaming）記憶整合（memory-consolidation）流程。BUDDY 是一個終端機寵物，具備 18 種物種——包含水豚（capybara）——並攜帶諸如 DEBUGGING、PATIENCE 與 CHAOS 這類屬性（stats）。COORDINATOR MODE 允許單一代理（agent）產生並管理平行的 worker 代理（agents）。ULTRAPLAN 則會安排長達 10 到 30 分鐘的遠端多代理（multi-agent）規劃（planning）會話。

Anthropic 告訴 Venture Beat，這起事件並未涉及任何敏感客戶資料、沒有憑證（credentials），也沒有破壞模型權重或推論基礎設施。公司表示：「這是一次由人為錯誤導致的發布封裝問題。」並補充稱它正在推行措施以避免再次發生。

這些措施可能必須很快。因為這是同樣錯誤發生的第二次。2025 年 2 月，先前版本的 Claude Code 也發生了幾乎相同的 source map 洩漏。

3 月 31 日的事件也同時發生在另一項針對 axios 套件的 npm 供應鏈攻擊之旁，攻擊活躍時間在 00:21 到 03:29 UTC 之間。建議在該時段透過 npm 安裝或更新 Claude Code 的開發者，審查其依賴項（dependencies）並輪替憑證（rotate credentials）。Anthropic 建議未來改用其原生安裝器（native installer），而非 npm。

這裡需要考量上下文。早在 5 天前，也就是 3 月 26 日，Anthropic 的一項 CMS 設定錯誤就曾讓約 3,000 個內部檔案暴露，內容涵蓋未發布的「Claude Mythos」模型細節，同樣也是被歸因於人為錯誤。一週內在不到一週的時間裡出現兩次重大且意外的資訊外洩，讓人對該公司在「發布衛生」（release hygiene）方面提出疑問——尤其是該公司的工具正被積極用於以規模化方式撰寫與交付程式碼。

即使持續執行下架（takedown）要求，洩漏的原始碼仍以已歸檔與鏡像形式保持可取得。除了其對 Venture Beat 的評論之外，Anthropic 尚未發布更完整的事後檢討（post-mortem）或公開聲明。

沒有暴露任何使用者資料。核心 Claude 模型不受影響。然而，用於打造 Claude Code 競品的藍圖，如今變得相當容易組裝起來。

FAQ 🔎

• Q: Claude Code 的原始碼洩漏是駭入（hack）嗎？ 否——Anthropic 已確認這次暴露是封裝錯誤，而非安全漏洞或未經授權的存取。
• Q: 在 Anthropic 的 npm 洩漏中，實際上暴露了什麼？ 約 512,000 行的 TypeScript，涵蓋 Claude Code CLI，包括遙測（telemetry）、功能旗標（feature flags）、隱藏功能與 agent 架構——而不是模型權重或客戶資料。
• Q: 由於 Claude Code 的 npm 事件，我的資料有風險嗎？ Anthropic 表示沒有暴露任何使用者資料或憑證；在與 axios 供應鏈攻擊同時發生的時間窗期間曾透過 npm 安裝的開發者，應審查依賴項並輪替憑證。
• Q: Anthropic 之前是否曾洩漏原始碼？ 是——2025 年 2 月曾發生一次幾乎相同的 source map 洩漏，涉及較早的 Claude Code 版本；因此這是大約 13 個月內第二次出現此類事件。