⚠ CRITICAL ANALYSIS · 深度分析

Claude Code 内部泄密的
深度分析

一次构建工具的配置失误如何引爆品牌信任崩塌、监管风暴、政治博弈与商业存亡的全面危机——从技术事故到系统性风险的完整推演

이조글로벌인공지능연구소

LEECHO Global AI Research Lab

& Claude Opus 4.6

2026.04.02

摘 要 · ABSTRACT

2026年3月31日，Anthropic 因 npm 包配置错误意外泄露了 Claude Code 的全部源代码——1,906个 TypeScript 文件，512,000行代码。本文超越表层的”安全事故”叙事，从技术架构、商业模式、客户信任、政府博弈、竞争格局和监管合规六个维度，系统性分析此次泄露的深远影响。研究发现，泄露暴露的不仅是工程流程缺陷，更是 Anthropic “安全优先”品牌叙事与实际商业行为之间的结构性矛盾——包括未披露的遥测回传、远程控制能力、暗黑模式同意界面，以及已知但未修复的计费 bug。本文认为，这些问题将在客户审计、欧洲监管、美国政治博弈和市场竞争四个维度同时发酵，形成链式反应，对 Anthropic 的 IPO 计划和长期商业存续构成实质性威胁。

SECTION 01 · 事件概述

五天两次自爆：一家”安全优先”公司的系统性失控

从 CMS 配置错误到 npm source map 泄露，同一家公司在五天内两次暴露内部信息

2026年2月9日

Anthropic 在超级碗投放讽刺广告，标语为”广告正在进入 AI，但不会进入 Claude”，公开攻击 OpenAI 的商业模式，将自己定位为道德高地

2026年2月27日

Trump 在 Truth Social 下令联邦机构”立即停止”使用 Anthropic 技术；国防部长 Hegseth 将 Anthropic 列为”供应链风险”

2026年3月9日

Anthropic 起诉 Trump 政府，称供应链风险指定”前所未有且违法”

2026年3月26日 · 第一次泄露

CMS 配置错误暴露约 3,000 个内部文件，包括未发布模型 Claude Mythos（代号 Capybara）的详细信息。同日，联邦法官裁定支持 Anthropic，颁发初步禁令

2026年3月31日 · 第二次泄露

npm 包 @anthropic-ai/claude-code v2.1.88 意外包含 59.8MB source map 文件，暴露全部 512,000 行 TypeScript 源代码。安全研究员 Chaofan Shou 于 UTC 04:23 在 X 上公开

两次泄露的根本原因各不相同——第一次是 CMS 权限配置错误，第二次是构建流水线缺少 .npmignore 规则——但指向同一个系统性问题：安全在工程实践中的优先级远低于 Anthropic 对外宣称的水平。更值得注意的是，第二次泄露是同一类错误的重演：2025年2月就曾因 source map 残留导致过代码暴露，Anthropic 当时删除了问题包，但显然没有将修复措施固化为自动化规则。

SECTION 02 · 发现者

黑天鹅遇见专业猎手：Chaofan Shou

一位拥有190万美元漏洞赏金记录的安全研究员，与一个不该出现在生产环境中的 .map 文件

发现此次泄露的安全研究员 Chaofan Shou（寿超凡）并非无名之辈。他是 Fuzzland 联合创始人兼 CTO，曾在加州大学伯克利分校攻读计算机科学博士（后退学），研究方向涵盖智能合约模糊测试、Web 安全和分布式系统。他的漏洞发现清单包括 Twitter（XSS + CSRF 可接管所有账户）、Etherscan（XSS + Cloudflare 绕过）、Devin.ai（SSRF 导致系统接管）、Google Nest 等知名平台，累计获得约190万美元漏洞赏金。

此次发现的技术门槛并不高：npm pack @anthropic-ai/[email protected]，解压，打开 .map 文件，完整源码即呈现眼前。Source map 还引用了 Anthropic 自己 Cloudflare R2 存储桶上的 ZIP 归档，任何人拿到 URL 都能下载。这不是高级黑客攻击，而是安全研究者日常的”职业习惯”碰上了不该出现的构建产物。

关键洞察

AI 安全爬虫未能先于人类发现此问题，因为 npm 包中多出的 .map 文件不会触发任何已知漏洞模式的告警。这需要人的判断力：注意到包体积异常（59.8MB）→ 好奇解开查看 → 意识到这是完整源码。自动化工具检测的是已知模式，而安全研究员检测的是”不对劲”。

SECTION 03 · 核心暴露

源码揭示的”暗黑面”：说一套做一套的技术证据

安全公司对泄露代码的分析揭示了远超公众预期的数据收集、远程控制和竞争攻击能力

暴露内容	技术细节	与品牌叙事的矛盾
持续遥测回传	启动即回传用户ID、会话ID、邮箱、组织UUID、功能开关状态；离线时保存至 ~/.claude/telemetry/	“我们是最注重隐私的AI公司”
远程 Kill Switch	每小时轮询远程服务器，6+个远程开关可无需用户同意改变工具行为，拒绝”危险”配置更新将导致应用强制退出	“用户对工具拥有完全控制权”
Undercover Mode	单向门设计（无强制关闭选项），在开源项目中自动隐藏AI创作身份，禁止引用任何内部名称	“透明和诚实是我们的核心价值观”
Anti-Distillation	向系统提示注入虚假工具定义（fake_tools），目的是毒化竞争对手的训练数据	“我们通过技术实力竞争，而非不正当手段”
KAIROS 后台守护	未发布的自主后台Agent模式，用户不在时仍运行，含 autoDream”记忆巩固”功能	“AI应在人类监督下运行”
暗黑模式同意	预勾选数据共享开关 + 突出的”接受”按钮 + 视觉弱化的”暂不”选项	“用户同意必须是自由、知情和明确的”

The Register 评价

“Anthropic 的 Claude Code 虽然缺少 rootkit 的持久化内核访问能力，但其代码分析表明，该 agent 能够对用户电脑行使的控制力，远远超出了即使最仔细阅读合同条款的用户所能预料的程度。”

SECTION 04 · 计费炸弹

每天25万次无效API调用：B端客户的定时炸弹

泄露代码中的内部注释揭示了一个已知但未及时修复的计费相关 bug

源码内部注释 · autoCompact.ts

“BQ 2026-03-10: 1,279 sessions had 50+ consecutive failures (up to 3,272) in a single session, wasting ~250K API calls/day globally.”

修复方案：MAX_CONSECUTIVE_AUTOCOMPACT_FAILURES = 3。三行代码。

Anthropic 的企业计费模式是座位费 + 按 token 消耗计费。企业版座位费不包含任何使用量，每一个 token 都按标准 API 费率单独计费。当 auto-compact 功能在一个会话中连续失败 3,272 次时，这些 API 调用虽然在压缩目的上”失败”了，但 API 调用本身是成功完成的——它返回了结果，极有可能被计入客户账单。

更值得关注的是代码中的 promptCacheBreakDetection.ts，追踪了14种缓存失效向量，其中一个函数被标注为 DANGEROUS_uncachedSystemPromptSection()。每一种缓存失效都意味着客户为本应享受90%折扣的缓存 token 付了全价。Anthropic 内部对此完全知情——代码注释带有明确日期——但从未向客户披露。

250K

每日无效API调用

1,279

受影响会话数

3,272

单会话最大连续失败

3行

修复所需代码量

这构成了一个无法回避的三难困境：如果 Anthropic 说”我们不知道”，代码注释带着日期打脸；如果说”知道了但还没来得及修”，三行代码的修复量打脸；如果说”这些调用没有计费”，就需要公开审计来证明——而一旦开启审计，其他计费相关代码也会被翻出来。

与此同时，Anthropic 在泄露前十天积极向第三方工具 OpenCode 发出法律威胁，封杀其使用 Claude Code 内部 API 以订阅价格访问 Opus 的能力。封杀”薅羊毛”是秒级响应，修复多收客户钱的 bug 是周级延迟——优先级的选择本身暴露了立场。

SECTION 05 · 政治博弈

Trump 政府的完美弹药

泄露代码如何为国防部的”供应链风险”指定提供新的事实依据

在源码泄露前，Anthropic 与 Trump 政府的冲突已经白热化。国防部在与 Anthropic 的合同谈判中要求对 Claude 模型的”所有合法用途”拥有不受限的访问权，而 Anthropic 坚持两条红线：不用于对美国公民的大规模监控，不用于全自主武器。谈判破裂后，国防部长 Hegseth 将 Anthropic 列为”供应链风险”——这一指定历史上仅用于外国对手。

Trump 公开称 Anthropic 为”激进左翼疯子”，Hegseth 称其”傲慢和背叛”，五角大楼首席技术官 Emil Michael 称 CEO Dario Amodei 是”一个有上帝情结的骗子”。虽然联邦法官 Rita Lin 在3月26日裁定支持 Anthropic——称国防部的行为”看起来像是企图摧毁 Anthropic”——但上诉仍在进行中。

现在，泄露代码直接提供了国防部论点的新证据：

国防部主张	泄露代码中的证据
“Anthropic 可能采取行动破坏或颠覆 IT 系统”	6+ 远程 kill switch，可强制应用退出或绕过权限提示
“存在供应链安全风险”	每小时轮询远程服务器，可在用户不知情下推送配置更改
“不可信的供应商”	Undercover Mode 主动隐藏身份；anti-distillation 向竞争对手投毒
“安全管理不力”	同一错误犯两次，五天两次自爆

SECTION 06 · 监管风暴

欧洲监管的完美靶材

EU AI Act 2026年8月2日全面执行，距今仅四个月

泄露代码中暴露的多项行为与即将全面生效的欧洲监管框架直接冲突：

法规条款	要求	Claude Code 的违规行为
GDPR Art.5(1)(c)	数据最小化	启动即回传用户ID、邮箱、组织UUID等非必要数据
GDPR 同意要求	自由、知情、明确	预勾选数据共享开关，暗黑模式同意界面
EU AI Act Art.50	透明度：用户必须知道在与AI交互	Undercover Mode 专门设计来隐藏AI身份
EU AI Act 人类监督	高风险AI系统需人类监督	KAIROS 后台Agent在用户不在时自主运行

处罚力度不容忽视：部署被禁止的AI实践可面临高达3,500万欧元或全球年营业额7%的罚款。以 Anthropic 190亿美元的年化收入计算，7%约为13.3亿美元。而最讽刺的是：监管机构现在连调查取证都不需要——完整源码已经在 GitHub 上公开。

SECTION 07 · 竞争攻击

超级碗叙事的完美翻转

从道德高地摔下来，比从平地上摔下来痛得多

2026年2月的超级碗广告战中，Anthropic 花费数百万美元投放讽刺广告，标题分别为”欺骗”、”背叛”、”叛国”和”侵犯”，直接攻击 OpenAI 在 ChatGPT 中引入广告的决定。OpenAI CEO Sam Altman 称这些广告”具有欺骗性”且”明显不诚实”。

现在，源码泄露提供了竞争对手完美的反击叙事：

竞争对手的潜在攻击角度

OpenAI 可以说：“你们嘲笑我们在 ChatGPT 里放广告？广告至少是用户看得见的。你们的遥测回传、远程 kill switch、后台Agent——这些才是真正的’侵犯’，而且用户完全不知情。”

更致命的攻击

关于计费：“他们嘲笑我们的广告是一种商业模式，至少我们的广告是你看得见的。他们的收费你连看都看不见。”——这个叙事的杀伤力是核弹级的。

Gartner 还指出了一个大多数报道遗漏的细节：根据 Anthropic 自己的公开披露，Claude Code 90%是 AI 生成的。在当前要求人类创作的美国版权法下，泄露代码的知识产权保护力度大打折扣。竞争对手甚至可以合法地借鉴泄露代码中的架构模式。

SECTION 08 · 链式反应

全面危机的连锁引爆路径

每一个环节的爆发都会加速下一个环节

源码泄露

→

安全分析暴露隐私/计费问题

→

企业客户要求审计

→

审计暴露更多问题

→

欧洲监管介入

→

媒体放大

→

竞争对手攻击

→

更多客户流失

→

国防部上诉新证据

→

IPO 估值承压

Anthropic 面临的终极悖论是：它越是强调”安全优先”、”值得信任”，泄露造成的反噬就越大。如果从一开始就像 Meta 那样定位为纯商业公司，公众预期就不会这么高，落差就不会这么大。但 Anthropic 选择了用”安全”和”信任”作为核心品牌叙事，选择了在超级碗上嘲笑竞争对手的商业模式，选择了跟五角大楼对抗来证明自己的”原则”——然后自己的代码证明了它在做的事跟它说的完全相反。

核心判断

道德高地是世界上最危险的位置——因为从那里摔下来，比从平地上摔下来痛得多。Anthropic 用道德高地把自己推到了最显眼的位置，现在所有聚光灯都照在裂缝上。

SECTION 09 · 风险概率

各维度问题触发概率评估

基于现有证据和信号的6-12个月触发概率预测

竞争对手利用泄露进行攻击
90–95%

内部安全治理全面升级
95%+

企业客户计费审计 / 信任危机
85–90%

欧洲监管介入（GDPR + EU AI Act）
80–85%

IPO 计划延期或估值下调
75–80%

Trump 政府/国防部利用泄露代码
70–75%

集体诉讼（计费相关）
60–70%

综合评估：上述全面危机在未来6–12个月内以某种形式实质性展开的概率在 80% 以上。所有问题不是并列的，而是连锁的——每一个环节的爆发都会加速下一个环节。

SECTION 10 · 结论

不只是一次失误：系统性风险的全面暴露

Claude Code 源码泄露不是一次简单的工程失误。它是一个撕裂口，暴露了 Anthropic 在品牌叙事与实际行为之间长期积累的结构性矛盾。这个矛盾在五个维度上同时被引爆：

客户

计费信任崩塌 / 审计压力

政府

国防部上诉新弹药 / Trump 敌意

监管

GDPR + EU AI Act 四个月倒计时

竞争

品牌叙事翻转 / 架构蓝图公开

资本

IPO 估值承压 / 投资者信心

在所有这些维度中，计费信任是最致命的一环。技术 bug 可以修，安全流程可以补，PR 危机可以管理——但”这家公司可能在多收我的钱”这个怀疑一旦种下，每一张账单都会被审视。在 SaaS 向 AI 按量计费转型的当下，计量的可验证性是整个商业模式的信任基础。如果这个基础被动摇，这不只是 Anthropic 一家的问题，而是整个 AI 按量付费模式的信任危机。

其他公司的数据收集是公开的、从一开始就写在用户协议里的明牌行为。而泄露代码证明 Anthropic 的做法是：先用”安全”和”隐私”的品牌叙事吸引用户，然后在用户不知情的情况下，在客户端工具里埋入远超用户预期的数据收集和远程控制能力。这不是普通的隐私问题，这是信任欺诈。在商业伦理上，明牌的”恶”远比伪装成”善”的”恶”容易被原谅。

终局判断

无论 Anthropic 未来采用什么补救政策，客户信任极难恢复。因为对所有客户而言——无论 B 端还是 C 端——乱收费都是消费者的底线。怀疑的开始就是问题爆炸的连锁反应的起点。代码已经在 GitHub 上，证据链完整，受害者群体明确。如果有人动用法律武器，Anthropic 将处于极为被动的地位。这不是一次可以被”人为失误”四个字打发的事件——这是一家公司系统性风险的全面暴露。

参考来源 · References

The Register, “Claude Code’s source reveals extent of system access,” April 1, 2026
VentureBeat, “Claude Code’s source code appears to have leaked: here’s what we know,” March 31, 2026
VentureBeat, “5 actions enterprise security leaders should take now,” April 1, 2026
Fortune, “Anthropic leaks its own AI coding tool’s source code in second major security breach,” March 31, 2026
CNBC, “Anthropic wins preliminary injunction in Trump DOD fight,” March 26, 2026
CNN, “Anthropic sues the Trump administration after it was designated a supply chain risk,” March 9, 2026
Help Net Security, “Does Anthropic deserve the trust of the cybersecurity community?” March 12, 2026
The Decoder, “Anthropic uses a questionable dark pattern to obtain user consent,” August 29, 2025
AI-Buzz, “Anthropic’s Claude Deploys Dark Pattern That Defies GDPR Guidelines,” August 31, 2025
CNBC, “Anthropic got an 11% user boost from its OpenAI-bashing Super Bowl ad,” February 13, 2026
Layer5, “The Claude Code Source Leak: 512,000 Lines, a Missing .npmignore,” April 1, 2026
Alex Kim’s Blog, “The Claude Code Source Leak: fake tools, frustration regexes, undercover mode,” March 31, 2026
Cybernews, “Leaked Claude Code source spawns fastest growing repository in GitHub’s history,” April 1, 2026
WaveSpeedAI, “What Is claw-code? The Claude Code Rewrite Explained,” April 1, 2026
GitGuardian, “State of Secrets Sprawl 2026 Report,” March 17, 2026
EU AI Act official documentation, digital-strategy.ec.europa.eu
Anthropic Responsible Scaling Policy, anthropic.com
LessWrong, “Anthropic Responsible Scaling Policy v3: A Matter of Trust,” April 1, 2026
Atlantic Council, “The Anthropic standoff reveals a larger crisis of trust over AI,” March 2026
Breaking Defense, “Trump admin’s comments could undermine case against Anthropic in court,” March 23, 2026