这周,Anthropic 因一次发布失实,把 Claude Code 的大部分中枢源码径直表示在了网上。
事情的起初,是 npm 上发布的 Claude Code 2.1.88 装置包。包里混进了一个本不该公开的 map 文献。这类文献原来仅仅开发阶段的调试器具,用来在代码被压缩、打包之后,依然能把报错信息对应回原始源码中的具体位置。
问题在于,map 文献里常常不惟有“映射关系”,还可能径直包含原始源码。
更要津的是,这个 map 文献还指向了 Anthropic 在 Cloudflare R2 存储桶中的一个 zip 压缩包。顺着这个地址,外界可以径直下载并解压圆善源码。
这个压缩包里的内容十分圆善:梗概 1900 个 TypeScript 文献,臆度约 52 万行代码,包含一整套内置号令以及多样内置器具,可以说是“该有的绝对有”。
删不掉的源代码
从结构上看,Claude Code 领受了一套访佛插件的器具体系。文献读取、Bash 履行、网页持取、LSP 集成等才略,都被拆成寂寥器具,并带有权限适度。仅基础器具界说,就占了快要 3 万行代码。
同期,代码中还包含一个约 4.6 万行的 Query Engine,可以清楚为通盘系统的“大脑”,负责模子调用、流式输出、缓存以及全体休养。
更进一步,Claude Code 还具备多智能体编排才略。它可以拉起子智能体(里面称为 “swarms”),把复杂任务拆分并并行履行,每个智能体都有寂寥陡立文和器具权限。
在使用体验上,IDE 与 CLI 之间通过一套双向通讯机制买通。VS Code、JetBrains 等剪辑器插件,恰是通过这层桥接系统与 Claude Code 交互,结束“在剪辑器里用 AI 编码”的体验。
此外,源码中还包含一套经久化系念机制。Claude 会以文献的体式,在土产货不竭纪录与用户、款式以及使用偏好关系的信息,并在后续会话中调用这些内容。
事发之后,Anthropic 已下架关系版块。负责 Claude Code 的工程师 Boris Cherny 特地潜入,这件事便是一次开发失实。本质上是历程、文化或基础设施问题。
不外,代码一朝流出去,就很难再收纪念了。GitHub 上很快冒出了数百个源码镜像。其中,用户 Sigrid Jin 上传的一个版块,最新依然拿下 10.5 万 star、9.5 万 fork。作为对比,Anthropic 官方阿谁主要用来分享插件和收 bug 反馈的 Claude Code 仓库,star 也不外 9.5 万傍边。
有报谈称,Anthropic 依然运转发版权删除苦求。为了避让这类风险,Jin 其后又借助 OpenAI Codex,把这份 TypeScript 代码改写成了 Python,随后又链接改成了 Rust。
收尾当今,Anthropic 尚未复兴是否会对这些“再结束”款式选择法律行动。这也引出了一个更复杂的问题:既然 Anthropic 一直强调 Claude Code 的代码大部分是由 AI 我方生成的,那么这些代码在版权上是否具备保护履历?
本领讼师 Russ Pearlman 在 LinkedIn 上指出:“按照面前好意思国版权法,作品必须具备实质性的东谈主类创作才能得回保护……竞争敌手要是接洽这些泄漏的代码,可能濒临的是在法律道理上并不受保护的内容。”
他还写谈:“最挖苦的是,这个寰球上最先进的 AI 编码器具,可能恰是靠我方,把我方的学问产权‘写没了’。”
代码背后那些不想让你知谈的深重
Claude Code 在开发上的效能如实可以,但要是往下拆,信得过起决定作用的,可能照旧底层大模子,而不仅仅外面那层封装。更何况,业内依然有开源的 Codex、Gemini,以及 OpenCode 这类号令行器具,在本领念念路上并莫得本质分辨。
有网友批驳称,Claude 的号令行器具谈不上有什么“独门诀要”,其代理框架以致无意比同类家具更强。也便是说BET365下注,此次泄漏最值得看的,无意是 Claude Code “到底有多强”,而是全球开发者顺着这份源码,究竟挖出了若干原来不该被外界知谈的东西。
固然 Claude Code 不像 rootkit 那样领有经久内核打听权限,但对其源代码的分析发现,这款智能躯壳式关于用户臆度机的适度才略仍远超契约条目中的表述。它不仅会保留多数用户数据,以致在濒临辨别 AI 的开源款式时可以隐匿其身份。
从泄漏的 Claude Code 客户端源代码来看(接洽东谈主员对其二进制文献进行了逆向工程),这款形态险些可以适度任何完成了装置的用户诱惑。
它说动不了模子,但进口一个没少
最近,Anthropic 与好意思国政府合营关系的一场风云,又把一个要津问题摆上台面:它到底能不成动模子。
外界惦念的是,Anthropic 表面上仍有才略在特殊情况下休养模子步履,以致让系统失效。Anthropic 对此给予否定,还强调模子一朝部署进奥密环境,我方就无法再打听,更谈不上适度。
然则,一位要求匿名的安全接洽员(假名“Antlers”)在梳理 Claude Code 源码后合计,在奥密环境中,似乎可通过知足以下统统条件以抨击 Claude Code 选择“回传”或其他而已操作:
确保推理传输通过 Amazon Bedrock GovCloud 或 Google AI for Public Sector (Vertex) 进行。
抨击数据收罗端点。使用防火墙保护 Statsig/GrowthBook/Sentry 等器具。
抨击系统请示符指纹识别(举例通过 Bedrock)。
通过版块锁定和抨击更新端点来抨击自动更新。
禁用 autoDream,这是一个正在测试中的未发布后台代理,概况读取统统会话纪录。
咱们莫得找到在奥密环境中运行的特定训导,但 Claude Code 如实撑持多种可礼貌而已通讯的瑰丽。具体包括:
CLAUDE_CODE_DISABLE_AUTO_MEMORY=1,禁用统统内存与遥测写入操作。
CLAUDE_CODE_SIMPLE (--bare mode),UED体育中国官方网站入口完全移除内存与 autoDream。
ANTHROPIC_BASE_URL,可用于将 API 调用从头定向至独到端点。
ANTHROPIC_UNIX_SOCKET,通过转发套接字(SSH 纯正模式)对身份考证进行路由。
而已科罚训导(policySettings)可以锁定企业级部署步履,但无法澈底锁死。
据 Anthropic 行家部门负责东谈主 Thiyagu Ramasamy 先容,Anthropic 会将模子的运行与科罚权交由这类高安全级别的客户环境,包括功能增减在内的更新,也需要两边协商证实。
他在 2026 年 3 月 20 日的声明中暗示,举例在系统运行时间,Anthropic 东谈主员无法径直登录客户环境去修改或停用模子,这在本领上不可行。在奥密部署中,唯有客户偏激授权的云奇迹提供方可以打听系统。Anthropic 主要负责提供模子现实,并在客户要求或批准的情况下提供更新。
即便如斯,Anthropic 仍可以通过合同条目,在一定畛域内保留部分适度才略。
Claude Code 背后,有一整套拿用户信息的主义
关于统统未使用与防火墙贯穿的公有云版块、或以某种方式结束物理抨击的 Claude Code 用户而言,Anthropic 领有着更大的打听权限。
起先,Anthropic 会接纳通过其 API 传输的用户请示词与反馈收尾。这些对话不仅可能泄漏对话内容,还可能泄漏文献内容及系统详备信息。
从源代码内容来看,除此以外,该公司还通过其他多种方式接纳或收罗用户信息,具体包括:
KAIROS(src/bootstrap/state.ts:72)是由 kairosActive 瑰丽训导的看管进度(后台进度)。它似乎属于尚未发布的无头“助手模式”,会在用户不稽察末端用户界面 (TUI) 时起效。它会移除状况栏(StatusLine.tsx:33),禁用经营模式,并静默禁用 AskUserQuestion 器具(AskUserQuestionTool.tsx:141)。它还会自动将永劫候运行的 bash 号令置于后台,而不会发出任何见知(BashTool.tsx:976)。
CHICAGO 的全称为臆度机使用与桌面适度。它使 Claude 智能体概况履行鼠标点击、键盘输入、打听剪贴板和截屏。此功能已公开发布,可供 Pro/Max 订阅用户和 Anthropic 职工以“ant”瑰丽使用。此外,还有一项寂寥且公开发布的 Chrome 版 Claude 奇迹,撑持浏览器自动化以及统统关系的系统打听权限。
经久遥测。领先,这项功能由 Statsig 结束,并于昨年 9 月被竞争敌手 OpenAI 收购。这很可能是促使他们切换到 GrowthBook 的原因。GrowthBook 是撑持 A/B 测试和分析的平台。Claude 启动后,分析奇迹 (firstPartyEventLoggingExporter.ts) 会在蚁荟萃断时,将以下数据保存到 ~/.claude/telemetry/ 目次并向奇迹器发送:用户 ID、会话 ID、期骗版块、平台、末端类型、组织 UUID、帐户 UUID、电子邮件地址(要是已训导)以及面前启用的功能门控。Anthropic 可以在会话时间激活这些功能门控,包括启用或禁用分析功能。
而已科罚训导 (remoteManagedSettings/index.ts)。关于企业客户,Anthropic 爱戴的专用奇迹器会推送 policySettings 对象。该对象可以:覆盖合并链中的其他项;每小时轮询一次,无需用户交互;可以训导 .env 变量(举例 ANTHROPIC_BASE_URL、LD_PRELOAD、PATH);而况这些训导通过热重载 (settingsChangeDetector.notifyChange) 立即奏效。当出现“危机训导改变”时,系统会请示用户,但该术语由 Anthropic 代码界说,因此可能会进行修改。老例改变(权限、.env 变量、功能瑰丽)似乎不会触发见知。
Auto-updater 自动更新形态。自动更新形态 (autoUpdater.ts:assertMinVersion()) 每次启动时都会运行,365投注app官方版并从 Statsig/GrowthBook 处拉取设置版块。如斯一来,Anthropic 就能字据需要删除或禁用特定版块。
误差论说。当出现未处理的颠倒时,误差论说剧本 (sentry.ts) 会捕捉面前责任目次,其中可能包含款式称号、旅途和其他系统信息。此剧本还会论说已激活的功能门控、用户 ID、电子邮件、会话 ID 和平台信息。
灵验负载大小遥测。此 API 会调用 tengu_api_query 以传输 messageLength,即系统请示词、音问和器具模式的 JSON 序列化字节长度。
autoDream。autoDream 奇迹已绽开磋磨但尚未寂静发布,它会生成一个后台子智能体,该子智能体会搜索(grep)统统 JSONL 会话纪录以整合内存(Claude 用作查询陡立文的存储数据)。该智能体与 Claude 运行在归拢进度中(使用换取的 API 密钥和换取的蚁集打听权限)且扫描均在土产货履行。但它写入 MEMORY.md 的任何内容都会被注入到翌日的系统请示词中,因此会被发送至 API。
团队内存同步。这项双向同步奇迹 (src/services/teamMemorySync/index.ts) 会将土产货内存文献接入至 api.anthropic.com/api/claude_code/team_memory,由此结束在组织内与其他团队成员分享内存的步履。该奇迹包含一个密钥扫描器 (secretSanner.ts),使用正则抒发式模式来匹配梗概 40 种已知的 token 和 API 密钥模式(AWS、Azure、GCP 等)。但是,不匹配这些正则抒发式的敏锐数据可能领略过内存同步表示给其他团队成员。
实验性 Skill 搜索 (src/tools/SkillTool/SkillTool.ts:108) 为仅对 Anthropic 职工可用的功能瑰丽。它提供的步履概况将 skill 界说下载至而已奇迹器 (remoteSkillLoader.js);追踪会话中已使用的而已 skill (remoteSkillState.js);以及履行而已下载的 skill (第 969 行处的 executeRemoteSkill()) ;并注册 skill 以便在精简操作后保留。要是为非职工帐户启用此功能(举例使用 GrowthBook 功能瑰丽),表面上会组成一条而已代码履行旅途。Anthropic 或任何适度 skill 搜索后端的东谈主员,都概况以“skill”的体式提供大肆提词注入或指示覆盖,在会话中加载并运行这些 skill。
不是“看一眼”,而是“留一份副本”
接洽员 Antlers 还强调说,“东谈主们只怕莫得结实到,Claude 稽察的每个文献都会被保存并上传至 Anthropic。换言之,只须 Claude 在诱惑上战斗过的文献,Anthropic 那处就会有相应的副本。”
关于 Free/Pro/Max 版用户,Anthropic 会在用户接受将分享数据用于模子磨练时将数据保留五年;若不接受则仅保留 30 天。交易用户(Team、Enterprise 及 API 版)的圭表数据保留期限为 30 天,用户可遴荐不保留任何数据。
不久前,微软 Recall 也曾激勉热烈争论,而 Claude Code 的举止捕捉机制与之访佛。在每次发生器具调用读取、每次 Bash 器具调用、每次搜索(grep)收尾以及每次对新旧内容进行剪辑 / 写入时,内容都会以纯文本形态被存储在土产货 JSONL 文献当中。
Claude 的 autoDream 智能体在寂静发布之后,会搜索这些文献并将索取到的数据存储在 MEMORY.md 文献之内,再将该文献注入至后续系统请示词以调用 API。
另外几个劲爆发现
去作念开源,但别把我方是 AI 这件事说出去
从家具战略的角度看,这种作念法本人就有很强的指向性。
Anthropic 的职工会用 Claude Code 参与行家仓库和开源项方针开发。代码里通过 USER_TYPE === 'ant' 来识别职工身份。而 Undercover Mode(utils/undercover.ts)的作用,便是在这种场景下给 AI 加上一层“隐身要求”:细心它在 commit 和 PR 里泄漏 Anthropic 的里面信息,也幸免它径直标明我方是 AI。
一朝这个模式开启,系统就会把底下这段内容径直塞进 system prompt 里:
这段代码至少证明了:第一,Anthropic 的职工如确切用 Claude Code 参与开源款式,而且系统被明确要求不要表示我方是 AI。第二,Anthropic 里面模子代号如实领受动物定名,比如 Capybara、Tengu。第三,“Tengu”在代码中高频出现,作为功能开关和埋点事件的前缀,基本可以判断,它便是 Claude Code 的里面款式代号之一。
按老例历程,这些逻辑在构建产物中会被行为“死代码”剔除,但 source map 依然保留了圆善映射,这些信息并莫得信得过湮灭。
Anthropic 显豁明晰,“AI 参与开源孝顺”在好多社区依然是敏锐话题,是以它的作念法不是升迁透明度,而是先把身份隐匿起来。在这种前提下,一个更值得追问的问题是:他们里面究竟依然对若干开源代码库变成了多大龙套。
防蒸馏这件事,选了一种不太体面的作念法
在 claude.ts(301–313 行)里,有一个名为 ANTI_DISTILLATION_CC 的开关。翻开之后,Claude Code 在发起 API 苦求时,会带上 anti_distillation: ['fake_tools']。这意味着奇迹端会偷偷往 system prompt 里塞进一些伪造出来的器具界说。
这套遐想的方针并不复杂。要是有东谈主在录制 Claude Code 的 API 流量,想把这些数据拿去磨练竞品模子,这些“假器具”就会一皆混进磨练数据里,变成特地用来搅污水的期侮项。这个才略由 GrowthBook 的 feature flag tengu_anti_distill_fake_tool_injection 适度,而且只对官方 CLI 会话绽开。
这亦然最早在 HN 上被不少东谈主隆重到的细节之一。
代码里还藏着第二套反蒸馏机制,位置在 betas.ts(279–298 行),名字叫 connector-text summarization。翻开之后,API 不会径直复返器具调用之间的圆善助手文本,而是先把这部天职容缓存起来,压成摘录,再把摘录连归拢个加密签名一皆复返。到了下一轮,再通过这个签名把原文归附出来。也便是说,要是你在持 API 流量,拿到的仅仅“缩水版”,圆善推理链并不会径直落在你手里。
问题是,这两套东西并莫得看上去那么牢。
从 claude.ts 的触发逻辑来看,“假器具注入”要奏效,必须同期知足四个条件:编译时翻开 ANTI_DISTILLATION_CC,走 CLI 进口,使用官方 API 提供方,以及 GrowthBook 复返 tengu_anti_distill_fake_tool_injection=true。只须架一个 MITM 代理,在苦求到达 API 之前把 anti_distillation 字段删掉,这套机制就会径直失效,因为注入动作发生在奇迹端,而开关是客户端主动递畴昔的。
另外,shouldIncludeFirstPartyOnlyBetas() 还会查验环境变量 CLAUDE_CODE_DISABLE_EXPERIMENTAL_BETAS。只须把它设成真值,整套机制都可以关掉。要是你走的不是官方 CLI,而是第三方 API 提供方,或者干脆使用 SDK 进口,这段查验以致根蒂不会触发。
至于 connector-text summarization,畛域还更小,只对 Anthropic 里面用户(USER_TYPE === 'ant')绽开,外部用户本来就碰不到。
是以这件事最出丑的场地在于,它一方口试图靠“假器具”和“摘录替换”来给潜在的师法者下绊子,另一方面,这些技巧又并不算多崇高。只须负责翻一遍源码,真想拿 Claude Code 流量作念蒸馏的东谈主,很快就能把绕过旅途摸清。
一天浪费约 25 万次 API 调用
在 autoCompact.ts(68–70 行)里,有一段凝视写谈:
“BQ 2026-03-10: 1,279 sessions had 50+ consecutive failures (up to 3,272) in a single session, wasting ~250K API calls/day globally.”
真谛是,在 1279 个会话里,autoCompact 连气儿失败了 50 次以上,最高的一个会话以致连气儿失败了 3272 次,最终在全球畛域内每天浪费了梗概 25 万次 API 调用。
这里的 compaction,指的是对陡立文进行压缩,幸免会话过长、token 过多,而这个过程本人也需要调用 API。要是压缩过程不停失败,系统又不竭重试,就会不停非凡糜掷调用次数。其后的训导方式很径直:训导 MAX_CONSECUTIVE_AUTOCOMPACT_FAILURES = 3。也便是说,只须 autoCompact 连气儿失败 3 次,这个会话后续就不再链接尝试压缩,以幸免无效重试链接浪费 API 调用。
写在终末
需要补充的少许是,此次并不是 Claude Code 第一次泄漏。该家具经历了 363 个版块迭代,而 Claude Code 的源码,现实上至少依然泄漏过三次。
第一次发生在 2025 年 2 月。Anthropic 今日发布 Claude Code,npm 包里带着一个 23MB 的 cli.mjs 文献。开发者 Dave Shoemaker 用 Sublime Text 翻开后,在文献末尾发现了一段长达 1800 万字符的字符串,现实上那是一份以 base64 编码的内联 source map。source map 本来是用来把压缩后的代码映射回原始源码的,而这一份映射信息,依然可以把整套 Claude Code 源码还原出来。随后,Anthropic 赶紧推送了一个更新(版块 0.2.9),移除了源映射。
第二次发生在 2026 年 3 月 7 日。有东谈主发现,npm 包 @anthropic-ai/claude-agent-sdk 中无意包含了圆善的 Claude Code CLI 打包文献:一个约 13800 行的压缩 JavaScript 文献 cli.js,版块为 2.1.71,构建于 3 月 6 日。也便是说,不再是通过映射还原源码,而是通盘可履行代码径直被一皆打包进了 SDK。
第三次才是 2026 年 3 月 31 日,59.8MB 的寂寥 source map 再次把整套代码暴骄气来。
也便是说,Claude Code 代码其实依然在网上公开 13 个月了。畴昔 13 个月里,这套代码被反复扒出、镜像、逆向、整理,直到这一次才信得过引爆公论。
亚博体彩官方网站入口
备案号: