Anthropic低级失误致Claude Code源码泄露 50万行代码已全网留存

2026年4月，AI独角兽企业Anthropic在发布命令行工具Claude Code时，因未删除源码映射.map文件，导致近2000份文件、超50万行TypeScript源代码泄露。开发者Chaofan Shou率先爆料，尽管官方第一时间紧急撤包补救，源码仍被备份至GitHub永久留存，还意外曝光未公开的BUDDY赛博宠物项目，引发行业广泛热议。

4月1日上午9点，这条爆料刚出现在社交平台时，几乎所有业内人都把它当成了愚人节整活——毕竟以AI安全为核心卖点的Anthropic，怎么会犯发布npm包忘删.map文件的低级错误？但随着越来越多开发者下载验证、晒出还原后的完整源码，整个AI开发圈才意识到，这是Anthropic成立以来遭遇的最严重的技术泄露事件。

这次泄露的源头是Anthropic面向开发者推出的编程辅助工具Claude Code的npm正式包，作为对标GitHub Copilot的核心商业化产品，Claude Code此前一直以代码生成准确率高于同类产品30%的优势抢占市场。按照前端开发的常规流程，TypeScript代码编译后生成的.map文件仅用于调试，正式发布时必须删除，否则用户可直接通过该文件还原出完整的原始源码。

开发者Chaofan Shou在测试Claude Code新功能时偶然发现了这个漏洞，随后将情况同步给了Anthropic官方，后者在接到反馈后仅用47分钟就完成了问题包的下架替换，但此时相关安装包已经被下载了近千次，很快就有开发者将还原后的50万行全量源码上传至GitHub，截至发稿，相关备份已经在全球多个开发者社区扩散，完全没有彻底删除的可能。

比起泄露本身，源码中挖出的未公开功能更让开发者群体兴奋。本次泄露的代码中包含了代号为BUDDY的内置功能模块，按照代码注释的描述，这是Anthropic为Claude Code打造的专属陪伴系统：系统会根据用户的唯一ID生成专属像素风赛博宠物，伴随用户的编码时长、完成项目数量升级，除了常规的鼓励提示外，还设置了“阴阳怪气值”参数，当用户连续多次写出低质量代码、或者反复调试同一问题时，宠物会给出带吐槽属性的提示。

更让业界意外的是BUDDY模块的“夜间做梦”机制：当用户工具闲置超过2小时后，系统会自动在本地轻量训练用户的历史编码数据，适配用户的编码习惯，后续的代码推荐匹配度最高可提升40%。按照Anthropic原本的规划，BUDDY功能将在2026年下半年的年度发布会上正式推出，这次意外泄露反而让该功能的期待值直接拉满，不少开发者在社交平台喊话Anthropic提前上线该功能。

作为始终将“AI安全”放在品牌宣传首位的独角兽企业，Anthropic这次的低级失误也给整个行业敲响了警钟。有AI安全专家测算，Claude Code的全量源码泄露，相当于让同行至少节省了6-8个月的开发迭代时间，其核心的代码上下文匹配、本地算力调度逻辑都可以被直接参考，对Anthropic的商业化竞争会造成不小的影响。

而事件发生后，国内多家AI企业的开发团队都在当天紧急升级了npm发布的校验规则，新增了.map文件强制检测删除的环节，避免同类问题发生。有行业分析师指出，过去AI企业的安全投入大多集中在大模型对齐、数据隐私保护等核心层面，往往忽略了开发发布流程这类基础环节的风险，这次事件也会推动整个行业补全全链路的安全管控体系。

截至发稿，Anthropic官方已经公开回应了本次泄露事件，对流程失误致歉的同时，也侧面确认了BUDDY项目的存在，并称会考虑提前开放该功能的测试名额，回应用户的期待。不少业内人士认为，虽然本次泄露暴露了Anthropic的流程漏洞，但意外出圈的BUDDY功能也给Claude Code带来了远超常规营销的曝光度，只要后续应对得当，未必不能将这次危机转化为新的增长契机。