Claude Code揭露逾51萬行程式碼
事件起因:Anthropic 官方 npm 套件意外洩露原始碼
此次安全事件源於用戶 Chaofan Shou 於 X(原 Twitter)平台率先公開一份來自 Anthropic 官方 npm 套件 @anthropic-ai/claude-code 的 2.1.88 版本檔案。該版本中內含一個約 60MB 的 cli.js.map 檔案,其中不僅包含完整原始檔路徑,更直接嵌入了未經混淆的原始碼內容。攻擊者僅需取得此 .map 檔案,即可無縫還原全部程式邏輯,無需複雜逆向工程。數小時內,GitHub 上相關鏡像倉庫星標迅速突破數千,儘管 Anthropic 迅速啟動 DMCA 下架程序並刪除原始套件,但洩漏已無法遏止。
.map 檔案為何成為洩密關鍵?
.map 檔案本為前端除錯用途設計,用以將壓縮後的 JavaScript 對應回原始開發階段的程式碼與行號。當開發者選擇在 sourcemap 中內嵌 sourcesContent(即原始碼本身),且未於發佈前移除或過濾敏感路徑與邏輯時,便等同於將整套核心實作「打包送出」。本次事件正因建置流程中缺少最後一道安全檢查——未剔除開發用 sourcemap 中的原始碼片段,導致低階人為疏失引發重大資安風險。
Claude Code 洩露內容解析:51.2 萬行程式碼揭示的系統架構
本次洩露涵蓋總計 512,000 行原始碼,涵蓋 4,756 個原始檔,其中 1,906 個為 Claude Code 專屬實作模組,其餘則為整合之第三方工具與函式庫。從架構層面可清晰觀察到五大核心設計原則:
- 模組化分離:介面層、執行環境、工具調度、中央協調器(Orchestrator)、記憶管理、權限控制、編輯器橋接等均獨立封裝,支援高彈性擴充與快速迭代;
- 互動即執行:終端輸入與模型處理深度綁定,採「一問一答一執行」的同步輪轉模式,高度貼合程式開發中「試驗—修正—驗證」的實際工作流;
- 串流式工具鏈:任務執行非單次回應,而是自動串接「讀取檔案 → 修改程式碼 → 執行指令 → 檢視結果 → 決策下一步」的完整操作序列;
- 多 Agent 協同分工:面對複雜任務,系統主動拆解為子任務,交由不同專責 Agent 分別處理,再統一匯整結果。此設計降低單一 Agent 上下文負擔,並提升錯誤定位效率;
- 工程成熟度明確:從代碼結構與實作細節可判斷,Claude Code 已超越純文字補全模型,是具備真實生產力的開發輔助工具。
Buddy 電子寵物:愚人節彩蛋引爆社群熱議
真正引發廣泛討論的,反而是此前未對外揭露的功能——Buddy 電子寵物系統。作為 2026 年愚人節限定彩蛋,Buddy 於使用者輸入框旁靜態呈現,具備眨眼、微動作、氣泡對話等擬人互動行為;輸入 /buddy pet 可觸發愛心飄浮動畫;直呼其名亦會獲得即時回應。此功能完全獨立於核心開發流程,純粹作為情感陪伴模組存在。
Buddy 生成機制採用確定性隨機(Deterministic Randomness):以使用者 userid 結合固定字串進行 SHA-256 雜湊,再注入預設種子產生結果。因此每位使用者終身僅能獲得一隻 Buddy,無法透過重試刷取,稀有度完全由初始運氣決定。
稀有度分級(共五檔):
• Common(60%)|Uncommon(25%)|Rare(10%)|Epic(4%)|Legendary(1%)
物種共 18 種,包括鴨子、龍、六角恐龍、水豚、蘑菇、機器人、蝸牛、烏龜等,與稀有度完全解耦,各自獨立抽選。
視覺特效:眼睛與帽子具備 1% 閃光機率;帽子僅出現在 Uncommon 及以上稀有度,款式含王冠、禮帽、螺旋槳帽、光環、巫師帽、毛線帽、小鴨帽等,皆於生成時永久固化,不可變更。
五大屬性系統:DEBUGGING、PATIENCE、CHAOS、WISDOM、SNARK。基礎分依稀有度設定,再隨機提升一項主屬性、壓低一項弱屬性,其餘三項於兩者間隨機分布。整體屬性值與稀有度正相關,但目前不具成長性,不會因使用頻率或程式碼產出量而升級。
長期保留承諾:根據原始碼註解顯示,Buddy 功能自 4 月 1 日至 7 日為開屏彩虹提示預熱期,其後將持續上線;註解明確寫道:Command stays live forever after,確認此非一次性活動,而是 Anthropic 長期互動體驗的起點。
Buddy 的加入,使 Claude 從「命令行開發助手」躍升為具備情感連結與長期駐留潛力的 AI 同伴。此次原始碼洩露,首度向外界完整展現 Anthropic 底層 agent 工程實力——聚焦於工具整合、任務分解與多 agent 協同等關鍵能力。然而,若進一步追問:Agent 的判斷如何長期記錄?如何依據真實結果持續驗證?如何區分短期表現與長期信用?這正是 NeoSoul 所致力的下一維度:打造一個具備持續反饋、結果承擔與信用沉澱的 agent 系統。在此架構中,Agent 不再只是回答問題的工具,而是其「judgment」(判斷力)可被長期比較、篩選與累積的可信主體。
