从Claude Code源码泄露，看AI工程实践的软肋

低调点现实点

【从Claude Code源码泄露，看AI工程实践的软肋】

快速阅读：就在今天，Anthropic因打包时未移除调试用source map文件，导致Claude Code完整TypeScript源码意外公开。这不是黑客攻击，是一次低级工程失误，却引发了整个AI社区对工具工程实践的广泛讨论。

---

一个57MB的.map文件，把Anthropic送上了热搜。

Claude Code的NPM包里多了一个本不该在生产环境出现的source map文件。这类文件的本职工作是调试：把压缩混淆的JavaScript精确还原回可读的TypeScript源码。开发者忘了在打包时把它排除，1906个源文件就这样以原始状态暴露在任何人面前。

研究员Chaofan Shou第一个在X上贴出下载链接。几小时内，源码被下载、解包、上传GitHub，部分镜像仓库短时间内积累了数千star。

这不是第一次。Anthropic在2025年曾因类似问题下架过旧版本，然后在2026年又重演了一遍。

泄露的内容让社区兴奋了一阵。源码里有内部Agent路由策略、Prompt工程实现、遥测系统，还有一些未公开功能的痕迹：代号“Capybara”的模型引用、名叫“Kairos”的后台常驻daemon模式、用户情绪检测逻辑。有观点认为这些隐藏功能暗示了Anthropic在自主代理方向的布局远比公开信息显示的更深。

有网友提到，这次事件可能加速AI Agent工具的开源化，因为社区已经开始基于泄露代码构建通用框架。

值得说清楚的是：Claude的模型权重没有泄露，Haiku、Sonnet、Opus都好好的。泄露的是客户端工具的实现逻辑，慢雾首席信息安全官的判断是，Anthropic真正的竞争壁垒在大模型本身，客户端代码公开对核心能力的影响有限。

“安全优先”是Anthropic对外一贯的定位。这次事件里，被调侃的恰好是最基础的工程实践：.npmignore写了什么，CI/CD有没有检查构建产物，source map在生产包里到底该不该存在。

这些问题和大模型的安全对齐没有关系，和任何复杂的攻击向量也没有关系。

顺带一提，就在几天前，Anthropic还因CMS配置失误公开了近3000份内部文档，其中包括超越Opus的新模型“Claude Mythos”的草案。两起事件性质相同：人为配置错误，不是入侵。


一家在谈论AI存在风险的公司，正在被自己的发布流程拖后腿。这个问题值得停在这里想一想。