Anthropic低级失误致Claude Code源码泄露 50万行代码已全网留存

2026年4月，AI独角兽企业Anthropic在发布命令行工具Claude Code时，因未删除源码映射.map文件，导致近2000份文件、超50万行TypeScript源代码泄露。开发者Chaofan Shou率先爆料，尽管官方第一时间紧急撤包补救，源码仍被备份至GitHub永久留存，还意外曝光未公开的BUDDY赛博宠物项目，引发行业广泛热议。

4月1日上午9点，这条爆料刚出现在社交平台时，几乎所有业内人都把它当成了愚人节整活——毕竟以AI安全为核心卖点的Anthropic，怎么会犯发布npm包忘删.map文件的低级错误？但随着越来越多开发者下载验证、晒出还原后的完整源码，整个AI开发圈才意识到，这是Anthropic成立以来遭遇的最严重的技术泄露事件。

这次泄露的源头是Anthropic面向开发者推出的编程辅助工具Claude Code的npm正式包，作为对标GitHub Copilot的核心商业化产品，Claude Code此前一直以代码生成准确率高于同类产品30%的优势抢占市场。按照前端开发的常规流程，TypeScript代码编译后生成的.map文件仅用于调试，正式发布时必须删除，否则用户可直接通过该文件还原出完整的原始源码。

开发者Chaofan Shou在测试Claude Code新功能时偶然发现了这个漏洞，随后将情况同步给了Anthropic官方，后者在接到反馈后仅用47分钟就完成了问题包的下架替换，但此时相关安装包已经被下载了近千次，很快就有开发者将还原后的50万行全量源码上传至GitHub，截至发稿，相关备份已经在全球多个开发者社区扩散，完全没有彻底删除的可能。

比起泄露本身，源码中挖出的未公开功能更让开发者群体兴奋。本次泄露的代码中包含了代号为BUDDY的内置功能模块，按照代码注释的描述，这是Anthropic为Claude Code打造的专属陪伴系统：系统会根据用户的唯一ID生成专属像素风赛博宠物，伴随用户的编码时长、完成项目数量升级，除了常规的鼓励提示外，还设置了“阴阳怪气值”参数，当用户连续多次写出低质量代码、或者反复调试同一问题时，宠物会给出带吐槽属性的提示。