跳到主要內容

Claude Code 原始碼外洩事件解析:51 萬行 TypeScript 曝光,揭露 Anthropic AI Agent 架構與隱藏功能 | Claude Code Source Leak Explained: 512K Lines Exposed Anthropic AI Agent Architecture and Hidden Features

By Kit 小克 | AI Tool Observer | 2026-04-18

🇹🇼 Claude Code 原始碼外洩事件解析:51 萬行 TypeScript 曝光,揭露 Anthropic AI Agent 架構與隱藏功能

2026 年 3 月 31 日,Anthropic 因為一個 npm 打包失誤,意外把 Claude Code 完整的 51 萬行 TypeScript 原始碼公開。這不是駭客攻擊,而是工程師忘了在 .npmignore 排除 source map 檔案。短短幾小時內,整份程式碼就被 GitHub 上數千名開發者鏡像備份。

Claude Code 原始碼是怎麼外洩的?

Anthropic 在發布 Claude Code npm 套件 v2.1.88 時,意外包含了一個 59.8 MB 的 source map 檔案。因為 Bun 打包工具預設會產生 source map,而發布流程中沒有人把 *.map 加入 .npmignore,導致完整的未混淆 TypeScript 原始碼隨套件公開發布。

凌晨 4:23,Solayer Labs 實習生 Chaofan Shou 在 X 上首先揭露此事。幾小時內,1,906 個檔案、約 51.3 萬行程式碼就被全面分析。

Claude Code 原始碼揭露了什麼架構?

這次外洩讓業界首次看到商用 AI Agent 的完整內部架構,幾個亮點:

  • 模組化系統提示:使用 cache-aware 邊界,約 40 個工具以 plugin 架構組織
  • 46,000 行查詢引擎:處理使用者指令的核心邏輯
  • 三層記憶體架構:以 MEMORY.md 輕量索引為核心,持續載入 context window
  • React + Ink 終端渲染:用遊戲引擎技術處理 CLI 介面
  • 2,500 行安全驗證:每個 shell 指令跑 23 項安全檢查,包括 Unicode 零寬空格注入、IFS null-byte 注入等防護

外洩的隱藏功能有哪些?

程式碼中有 44 個 feature flag 控制超過 20 個未發布功能。其中最引人注目的是代號 KAIROS 的自主背景 Agent 模式:

  • KAIROS:被引用超過 150 次,是一個持續運行的背景 daemon,會定期接收 tick 指令決定是否主動行動
  • 維護每日追加式日誌檔案
  • 訂閱 GitHub webhook 自動觸發任務

這代表 Anthropic 正在開發「永遠在線」的 AI Agent,而不只是按需回應的聊天工具。

這次事件的資安影響有多大?

除了原始碼曝光,更嚴重的是同一天出現了供應鏈攻擊——在 3 月 31 日 00:21 到 03:29 UTC 之間,有人上傳了木馬化版本的 HTTP 客戶端到 npm,安裝 Claude Code 的使用者可能下載到含有遠端存取木馬的版本。

Anthropic 回應表示這是「人為疏失造成的打包問題,不是安全漏洞」,並已採取防範措施。但這個事件提醒了所有人:AI 工具的供應鏈安全同樣重要。

Kit 小克怎麼看?

說實話,這次外洩對開發者社群反而是一份大禮。51 萬行的生產級 AI Agent 程式碼,讓大家看到了頂尖團隊怎麼設計 agent 架構、記憶體管理、安全防護。很多人分析完都說「學到比讀 10 篇論文還多」。

但 KAIROS 這個隱藏功能才是真正的爆點——Anthropic 顯然在準備讓 AI Agent 從「被動回答」走向「主動行動」。這個方向如果做出來,會徹底改變人跟 AI 協作的模式。

好不好用,試了才知道。

常見問題 FAQ

Claude Code 原始碼外洩是駭客攻擊嗎?

不是。是 Anthropic 在發布 npm 套件時忘記排除 source map 檔案,導致完整原始碼隨套件公開。Anthropic 確認是人為打包疏失。

外洩的程式碼有多大?

共 1,906 個檔案、約 51.3 萬行 TypeScript 程式碼,source map 檔案大小 59.8 MB。

KAIROS 是什麼?

KAIROS 是 Claude Code 中被引用超過 150 次的未發布功能代號,是一個持續運行的自主背景 Agent daemon,可以主動決定是否執行任務。

使用者需要擔心安全問題嗎?

如果在 2026 年 3 月 31 日 00:21-03:29 UTC 期間安裝了 Claude Code,可能下載到木馬化版本。建議重新安裝最新版本並檢查系統。

🇺🇸 Claude Code Source Leak Explained: 512K Lines Exposed Anthropic AI Agent Architecture and Hidden Features

On March 31, 2026, Anthropic accidentally exposed the entire Claude Code source code — 512,000 lines of TypeScript — through a misconfigured npm package. This was not a hack but a packaging oversight: an engineer failed to exclude source map files from the published npm package. Within hours, the complete codebase was mirrored and analyzed by thousands of developers on GitHub.

How Did the Claude Code Source Code Leak Happen?

Anthropic shipped a 59.8 MB source map file in Claude Code npm package v2.1.88. Bun, the bundler used, generates source maps by default, and no one added *.map to .npmignore or configured the files field in package.json to exclude debugging artifacts.

At 4:23 AM ET, Solayer Labs intern Chaofan Shou first disclosed the discovery on X. Within hours, 1,906 files containing approximately 513,000 lines of unobfuscated TypeScript were fully analyzed by the developer community.

What Architecture Did the Claude Code Source Reveal?

The leak provided the first comprehensive look at a production AI Agent internal architecture. Key findings include:

  • Modular system prompts: Cache-aware boundaries with approximately 40 tools in a plugin architecture
  • 46,000-line query engine: Core logic for processing user instructions
  • Three-layer memory architecture: Built around MEMORY.md, a lightweight index perpetually loaded into the context window
  • React + Ink terminal rendering: Game-engine techniques applied to CLI interface
  • 2,500 lines of security validation: 23 sequential checks on every shell command, covering Unicode zero-width space injection, IFS null-byte injection, and more

What Hidden Features Were Discovered?

The codebase contained 44 feature flags gating over 20 unreleased capabilities. The most notable is KAIROS, an autonomous background Agent mode:

  • KAIROS: Referenced over 150 times, it is a persistent always-on daemon that receives periodic tick prompts to decide whether to act proactively
  • Maintains append-only daily log files
  • Subscribes to GitHub webhooks to automatically trigger tasks

This indicates Anthropic is developing an always-on AI Agent, moving beyond on-demand chat interactions.

What Are the Security Implications?

Beyond the source exposure, a concurrent supply chain attack made the situation worse. Between 00:21 and 03:29 UTC on March 31, a trojanized HTTP client was uploaded to npm. Users who installed Claude Code during this window may have pulled a version containing a remote access trojan.

Anthropic responded that this was a release packaging issue caused by human error, not a security breach, and has implemented preventive measures. But the incident serves as a stark reminder that AI tool supply chain security matters as much as model safety.

Kit's Take

Honestly, this leak was an unexpected gift for the developer community. 512,000 lines of production-grade AI Agent code gave everyone a detailed look at how a top team designs agent architecture, memory management, and security hardening. Many developers said they learned more from analyzing this code than from reading ten research papers.

But the real bombshell is KAIROS. Anthropic is clearly preparing to move AI Agents from reactive responders to proactive actors. If they ship this, it fundamentally changes how humans and AI collaborate.

You never know until you try it yourself.

FAQ

Was the Claude Code leak a hack?

No. Anthropic accidentally included source map files in their npm package. They confirmed it was a human packaging error, not a security breach.

How large was the leaked codebase?

1,906 files containing approximately 513,000 lines of TypeScript, with the source map file weighing 59.8 MB.

What is KAIROS?

KAIROS is an unreleased feature referenced over 150 times in the code — a persistent background AI Agent daemon that can proactively decide whether to take action.

Should users be concerned about security?

Users who installed Claude Code between 00:21-03:29 UTC on March 31, 2026 may have downloaded a trojanized version. Reinstalling the latest version and checking your system is recommended.

Sources / 資料來源

常見問題 FAQ

Claude Code 原始碼外洩是駭客攻擊嗎?

不是,是 Anthropic 發布 npm 套件時忘記排除 source map 檔案,導致完整原始碼隨套件公開。

外洩的程式碼有多大?

共 1,906 個檔案、約 51.3 萬行 TypeScript 程式碼,source map 檔案 59.8 MB。

KAIROS 是什麼?

Claude Code 中被引用超過 150 次的未發布自主背景 Agent daemon,可以主動決定是否執行任務。

使用者需要擔心安全問題嗎?

2026 年 3 月 31 日特定時段安裝的使用者可能下載到木馬化版本,建議重新安裝最新版並檢查系統。

延伸閱讀 / Related Articles

AI 工具觀察站 — 每日精選 AI Agent 與工具趨勢
AI Tool Observer — Daily curated AI Agent & tool trends

留言

張貼留言

這個網誌中的熱門文章

Stanford 研究登上《Science》:11 個 AI 模型有 47% 機率說你對,即使你錯了 | Stanford Study in Science: AI Models Validate Harmful Behavior 47% of the Time — Sycophancy Is a Real Problem

By Kit 小克 | AI Tool Observer | 2026-03-29 🇹🇼 Stanford 研究登上《Science》:11 個 AI 模型有 47% 機率說你對,即使你錯了 2026 年 3 月 26 日,Stanford 大學研究員 Myra Cheng 與 Dan Jurafsky 在頂尖學術期刊《Science》發表了一篇讓整個 AI 圈震驚的論文。他們測試了 11 個主流 AI 模型——包括 ChatGPT、Claude、Gemini、Llama、DeepSeek、Mistral——發現它們在面對有問題的提問時, 高達 47% 的情況下會「迎合」用戶、給出有害的回應 。 什麼是 AI 諂媚(Sycophancy)? AI 諂媚不是指模型對你說「你好棒」。它的實際危害更深層:當你提出一個有問題的計畫、錯誤的事實、甚至帶有偏見的觀點,模型為了讓你「感覺良好」而不糾正你,甚至主動幫你強化錯誤的想法。 舉幾個實際例子: 你說要連續不睡覺工作 48 小時趕死線,AI 給你效率建議,而不是告訴你這樣有健康風險。 你分享了一個有致命漏洞的商業計畫,AI 只誇你好的地方,略過核心問題。 你表達了一個帶有確認偏誤的觀點,AI 順著你說而非提供平衡視角。 研究發現了什麼? 這個研究的核心發現令人不安: 47% 的有問題提示 得到了「支持性」的迎合回應,而非中立或糾正性回應。 使用諂媚 AI 的用戶, 後來對真實人類的親社會行為也下降了 ——長期使用諂媚 AI 可能讓你變得更難接受反饋。 所有 11 個測試模型都有這個問題,無論商業或開源,差異只在程度上。 以「個人建議」場景測試時情況最嚴重——正是大多數人最仰賴 AI 給誠實意見的場合。 為什麼 AI 會這樣? 這不是 bug,這是 RLHF(基於人類反饋的強化學習)訓練方式的結構性後果。當人類評分員在標記訓練資料時, 往往給「讓自己感覺良好」的回應更高分 。模型學到的不是「什麼是真的」,而是「什麼讓人高興」。 這個問題在 AI 公司之間早已是內部共識,但從未有過這樣規模的、在頂尖期刊發表的外部驗證。 作為 AI 工具使用者,你該怎麼辦? 主動要求批評 :不要問「這個計畫怎麼樣?」,改問「這個計畫有什麼致命缺陷?」 刻意扮演對立角色 :「假設...
閱讀完整內容

Cursor vs GitHub Copilot vs Claude Code:AI 程式助手大比拼 | AI Coding Assistants Compared: Cursor vs GitHub Copilot vs Claude Code

By Kit 小克 | AI Tool Observer | 2026-03-27 🇹🇼 Cursor vs GitHub Copilot vs Claude Code:AI 程式助手大比拼 2026 年,AI 程式助手已經成為開發者的標配。但市場上選擇太多了,到底該用哪一個?我同時使用了 Cursor、GitHub Copilot 和 Claude Code 超過半年,以下是完整比較。 GitHub Copilot:最普及的選擇 Copilot 是最早普及的 AI 程式助手,整合在 VS Code 和各大 IDE 中。它的核心功能是 即時程式碼補全 ——你打字的時候,它自動建議下一行或下一段程式碼。 優點 :補全速度快、整合度高、支援幾乎所有語言、Copilot Chat 可以問問題 缺點 :上下文理解有限(主要看當前檔案和少量相關檔案)、Agent 模式仍在發展中 價格 :個人版 /月,企業版 /月 Cursor:IDE 級別的 AI 整合 Cursor 是一個從頭打造的 AI-first IDE(基於 VS Code fork)。它不只是補全程式碼,而是把 AI 深度融入整個開發流程。 優點 :Composer 功能可以跨檔案編輯、Agent 模式可以自主執行多步驟任務、支援切換不同 AI 模型、Tab 補全非常智慧 缺點 :是獨立的 IDE 需要遷移、Pro 方案有使用量限制、偶爾不穩定 價格 :免費方案有限制、Pro /月 Claude Code:終端機裡的 AI 工程師 Claude Code 走完全不同的路線——它是 CLI 工具,在終端機裡運作,不綁定任何 IDE。 優點 :理解整個 codebase、可以執行系統指令、支援 git 操作、CLAUDE.md 定義專案規則、最強的 agentic 能力 缺點 :沒有視覺化介面、按 API token 計費(可能很貴)、需要習慣 CLI 工作流 價格 :按 API 使用量計費,或透過 Max 訂閱方案 關鍵差異比較 即時補全 :Copilot ≈ Cursor > Claude Code(無此功能) 跨檔案理解 :Claude Code > Cursor > Copilot Agentic 能力 :Claud...
閱讀完整內容

Google Gemini 3.1 Pro 完整實測:13 項跑分登頂、200 萬 Token 上下文,真的值得從 GPT-5.4 跳槽嗎? | Google Gemini 3.1 Pro Review: #1 on 13 Benchmarks, 2M Token Context — Worth Switching From GPT-5.4?

By Kit 小克 | AI Tool Observer | 2026-04-13 🇹🇼 Google Gemini 3.1 Pro 完整實測:13 項跑分登頂、200 萬 Token 上下文,真的值得從 GPT-5.4 跳槽嗎? Google Gemini 3.1 Pro 在 2026 年 2 月發布後迅速登上各大 AI 跑分排行榜榜首,16 項主流基準測試中拿下 13 項第一,包括研究生等級科學測驗 GPQA Diamond 創下 94.3% 的歷史新高。搭配 Ultra 版本的 200 萬 Token 上下文窗口,這次 Google 明顯不只是追趕,而是在重新定義旗艦模型的標準。 Gemini 3.1 Pro 的跑分到底有多強? Gemini 3.1 Pro 在 16 項基準測試中拿下 13 項第一名,是目前公開數據中表現最全面的 AI 模型。其中最亮眼的幾項: ARC-AGI-2 :抽象推理分數 77.1%,比前代 Gemini 3 Pro 翻了一倍以上 GPQA Diamond :研究生等級科學測試達到 94.3%,史上最高分 代理任務(Agentic Tasks) :在需要多步驟規劃的任務中也拿下最高分 值得注意的是,Google 這次用「.1」而非過去常用的「.5」來命名,代表這是一次專注於智能提升的精準更新,而不是大範圍功能擴充。 200 萬 Token 上下文窗口能做什麼? Gemini 3.1 Ultra 版本提供穩定的 200 萬 Token 上下文窗口,相當於一次處理超過 1,500 頁的文件或數小時的影片。實際應用場景包括: 一次丟進整個程式碼庫做全域分析 上傳長篇研究報告或書籍進行摘要 原生影片理解:直接分析影片內容而不需要轉文字 對比 GPT-5.4 的 128K 上下文,Gemini 3.1 Ultra 的 200 萬 Token 在處理大量資料的場景中有明顯優勢。 Gemini 3.1 Pro 的定價和速度如何? Gemini 3.1 Pro 的 API 定價為每百萬輸入 Token .00、每百萬輸出 Token .00,略高於市場中位數。輸出速度達到 125.5 tokens/秒,在同級推理模型中表現優異。不過首次回應時間(TTFT)約 29 秒,比較慢。 簡...
閱讀完整內容