Anthropic 核心源码意外泄露：Claude Code 因打包失误在 npm 公开“裸奔”

2026年3月31日，AI编程领域的明星产品Claude Code遭遇了一场堪称“魔幻现实主义”的意外泄露。Anthropic在一次常规的npm包更新中，不慎将一个本应被严格保密的“cli.js.map”文件公开发布。这个59.8MB的.map文件，如同一把万能钥匙，使得Claude Code的核心工程源码——包括4756个文件、超过1800个核心源码文件以及开发者手写的详细注释——瞬间暴露在全球开发者面前。安全研究员Chaofan Shou的发现，让这家以“闭源”和“AI安全”为傲的巨头，以一种极其尴尬的方式站到了开源世界的聚光灯下。

此次泄露的细节令人震惊。技术人员通过该.map文件可以轻易还原出Claude Code完整的顶级AI Agent工程底座，其中包括一个长达4.6万行的核心文件“QueryEngine.ts”。消息迅速在GitHub发酵，无数备份仓库涌现，星标数在几小时内冲破5000。这款被誉为“封神级”、日处理超13万次GitHub提交的AI编程神器，其技术“底牌”竟因一个被网友戏称为“低级失误”的打包疏忽而彻底公开。这与其母公司Anthropic所标榜的“安全”核心使命形成了尖锐的讽刺。

事件远不止于一次技术事故。它直接拷问着顶级AI产品的真实护城河究竟何在，并可能为激烈的行业竞争格局带来新的变数。当一家公司的核心工程机密因一个.map文件而成为全球开发者的“公共财产”时，所有AI公司头顶那把关于“安全与治理”的达摩克利斯之剑，显得前所未有的沉重。这次泄露不仅是对Anthropic内部流程的一次重大打击，更可能引发整个行业对代码发布、供应链安全与知识产权保护的重新审视与压力。