Claude Code源码遭51万行裸奔，华人辍学博士Chaofan Shou凭“击杀清单”撕开Anthropic防线

Anthropic最赚钱的产品Claude Code，其51.2万行TypeScript核心源码，因一次“纯人为”失误，已在全网彻底裸奔。安全研究员Chaofan Shou于3月31日凌晨在X平台公开了通过npm注册表泄露的源码下载链接，不到24小时，该帖浏览量突破2800万，由Sigrid Jin创建的GitHub镜像仓库被疯狂分叉超过7.7万次，其传播速度甚至让OpenClaw项目都相形见绌。这场震动AI与安全圈的泄露事件，其源头并非商业间谍，而是一位简历上标注着“退学”的华人研究员。Claude Code之父随后紧急回应，确认此次重大泄露与Bun漏洞无关，纯属人为导致。

撕开这道口子的Chaofan Shou，背景绝非寻常。他现任Solayer软件工程师，曾是区块链安全公司FuzzLand的联合创始人兼CTO。其个人主页上名为“Things I Broke”的栏目，犹如一份硅谷安全圈的“反向通缉名单”，密密麻麻记录了三十多项被他攻破的系统漏洞，累计漏洞赏金收入高达190万美元。这份“击杀清单”近年已向AI圈蔓延：2024年，他发现了AI编程工具Devin.ai的SSRF漏洞，可导致用户信息泄露与完整系统接管；此前，他还曾攻破Twitter（现X）的组合漏洞，理论上可接管全平台账户，CVS Pharmacy的内部系统也曾被他洞开。

此次事件将Anthropic及其核心产品Claude Code置于巨大的安全与声誉风险之下。超过1900个源文件的核心代码被公开审视，不仅可能暴露其技术实现细节与潜在弱点，也为竞争对手及恶意攻击者提供了前所未有的分析材料。尽管官方定性为“手误”，但由一位以发现高危漏洞著称的顶尖安全研究员率先曝光，无疑加剧了外界对Anthropic内部安全流程与代码管理严谨性的审视压力。Chaofan Shou的学术背景同样扎实——本科毕业于UC Santa Barbara计算机科学专业，曾在Salesforce担任安全工程师，后于UC Berkeley攻读博士学位（现已辍学），其行动轨迹持续游走在发现与修补互联网及AI基础设施关键漏洞的最前沿。