Anthropic 51万行核心源码意外泄露，Claude Code 技术护城河被“配置疏忽”击穿

一个59.8MB的源代码映射文件，让Anthropic斥巨资构建的技术壁垒瞬间瓦解。当地时间3月31日，AI安全研究员Chaofan Shou在npm包管理仓库中发现，Anthropic旗下明星AI编程工具Claude Code在发布2.1.88版本更新时，意外将一份完整的`.map`文件打包并公开分发。打开这份文件，超过51.2万行TypeScript源码、4756个源文件以及40余个工具模块，以一种极其荒诞的方式暴露在全世界面前。这并非黑客攻击，而是一场由“配置疏忽”导致的自我解除武装。

Source Map文件本用于开发者调试，能将混淆后的代码“翻译”回原始可读源码。将其留在正式发布包中，等同于在银行金库门上挂了一把开着的锁。消息在X平台迅速扩散，数小时内，已有用户将代码完整镜像到GitHub仓库，收获逾5万次Fork。尽管Anthropic随后发出DMCA版权删除请求，但各路镜像已如野草蔓延，难以清除。Anthropic发言人Christopher Nulty事后回应，将此定性为“人为错误导致的发布打包问题，非安全漏洞”，并强调“未涉及任何客户数据或凭证”。

然而，这份措辞精准的声明回避了更核心的问题：当产品的“灵魂”而非“皮肤”被暴露，能称之为没有损失吗？对于深入源码的研究者而言，这次泄露揭示了远比官方通稿更多的信息。代码中不仅包含了未发布的功能模块和内部指令，甚至还隐藏着一个类似拓麻歌子（Tamagotchi）的“电子宠物”功能——一个会对用户编码行为作出实时反应的虚拟宠物。这次事故暴露的不仅是代码本身，更是AI公司在快速迭代与安全发布流程之间存在的深层管理风险。