Anthropic源码泄露案反转：冒名替罪羊实为初创公司营销手段

2026年4月，此前引发行业热议的Anthropic旗下Claude Code源码泄露事件迎来反转。自称因操作失误被开除的工程师Kevin Naughton Jr.并非Anthropic员工，其发布的道歉信实为推广初创公司Ferryman的营销手段。虽然身份造假属实，但本次源码泄露确为Anthropic在npm发布代码包时因.map文件未脱敏导致的真实事故，事件也暴露出开源社区的防护短板。

4月1日上午，一条标题为「我把Anthropic的源码泄露了，已经被开除」的帖子在X平台和开发者社区Reddit登上热榜，发帖人Kevin Naughton Jr.在千字长文中详细描述了自己上传代码包时漏删脱敏文件的全过程，言辞恳切的表述很快获得了大量开发者的共情，相关话题的阅读量半天内就突破了2000万。

事实上，早在这篇帖子发布的前一天，就有独立开发者在npm平台下载Claude Code的官方SDK时发现，代码包中附带的.map文件可以逆向还原出大量未编译的核心源码，涉及Claude Code的核心逻辑、接口调用规则等敏感内容，相关漏洞已经被提交到了Anthropic的安全应急响应中心。

Kevin正是抓住了这个还未被大规模公开的安全事件，伪造了Anthropic员工的身份出面“认领”责任，甚至在帖子的评论区隐晦放出了自己旗下初创公司Ferryman的产品折扣码，引导感兴趣的开发者跳转购买。直到Anthropic官方发布辟谣声明，称公司员工名录中不存在Kevin的相关记录，这场精心策划的营销才被戳穿，不少网友事后调侃，这堪称是今年愚人节最有技术含量的恶作剧。

社区安全专家分析指出，这次营销闹剧之所以能获得如此高的传播度，本质上是踩中了当前大模型行业的安全焦虑。近半年来，包括OpenAI、谷歌DeepMind在内的多家头部大模型企业都先后爆出过内部代码泄露、员工操作失误导致的安全事故，公众对这类事件的可信度阈值已经降到了低点。