源码已经开放。长达13个月,经历了363次更新。
Antrophic去年的2月推出了AI编码工具Claude Code,从第二天起,整个源代码就向外部公开了。在开发者包分发平台npm上上传的安装文件中,完整地包含了source map(源图)。
source map是将压缩代码还原为原本的恢复钥匙。这是为了方便开发用的工具,但却被误放进了分发文件中。任何人都可以下载这个包并解压查看全部源码。
Antrophic意识到这一点后,在大约2小时内删除了该版本。然而,已经为时已晚。
发现当天,代码已经在网上传播。
在删除的前一天,即去年的2月25日凌晨5点08分(当地时间),AI初创公司INVISR的首席技术官Daniel Nakov提取的源码被公开在GitHub上。同一天,开发者社区Hacker News上出现了相关线程,数百人蜂拥而至。
第一次打开文件的是房地产平台Zillow的工程师Dave Schumaker,他在当日外出后返回时,确认代码已消失。不仅在npm的存储库中,而且在缓存中也被删除了。不过,当他按下文本编辑器Sublime Text的撤销功能时,代码又恢复了。他在2月27日将这一过程公布在博客上。
随后,分析迅速积累。3月1日,使用AI将压缩JavaScript逆向转换为TypeScript的方法论被公开。3月7日,系统提示、语言解析结构和AWS Bedrock的连接方式全部被整理。3月30日,作业执行循环、内置工具列表和权限体系的详细技术分析陆续发布。
2025年同样情况再次发生。今年3月30-31日,来自UC Berkeley的安全研究员Chaofan Shou在Claude Code的最新版本(2.1.88)中发现了一个大小为59.8MB的source map文件。去年这些文件还藏在内部,而这次则被光明正大地放在了一个单独的文件中。目前还未能确认在363次更新中何时再次混入。
研究人员发现了许多官方尚未发布的内容。1月24日,开发者Mike Kelly在2.1.19版本中发现了名为“TeammateTool”的多代理系统。
代码名称是“Swarms”。两天后,社区中出现了详细的分析,而Antrophic的正式发布则是在两周后的2月6日。产品路线图实际上是先被公布于众。
还有更多未公开的功能被研究人员发现。“Kairos”是助手模式,“Buddy System”是愚人节用的Tamagotchi功能,“Undercover mode”是内部信息隐藏模式。未文档化的环境变量多达83个。系统提示总体和18个内置工具说明按照版本从GitHub的存储库中自动更新。
安全漏洞也首先由外部发现。今年2月,Checkpoint Research公开了两个漏洞。通过简单复制恶意存储库就可远程控制开发者计算机或窃取API密钥。Antrophic对其进行了修正,但源码泄露作为漏洞发现的线索则无法排除。
为什么没能制止这种情况的出现?答案在于结构。
即便代码公开,产品仍在增长,因为Claude Code的结构如此。Claude Code是客户端程序,将用户命令发送至Anthropic服务器并接收响应。
关键的AI模型在服务器内部。即便获取了整个源码,没有API访问权限,什么都做不了。这就如同即便复制了电视遥控器,没有电视也无法改变频道。
竞争对手不复制这段代码。AI编码代理Cline、Goose、Aider等工具只参考结构,自行实现。它们查看源码后会说:“哦,原来是这样做的”,然后从头开始编写自己的代码。
建筑师可以通过观察竞争对手的建筑获取设计灵感,但复制其设计图纸进行建造属于侵犯版权。
Claude Code是独占许可的软件,而非任何人都可修改和分发的开源软件。如果擅自复制代码并加以利用,将承担法律责任。
Antrophic也在并行开展法律应对。本月19日,针对第三方工具“OpenCode”提起诉讼,该工具绕过了Claude Code内部API,让花费200美元/月的订阅者能够更便宜地使用代币。今年2月,他们修订了使用条款,明确禁止通过第三方工具使用Claude。OpenCode已在其1.3.0版本中删除了相关插件。
意义在于:AI时代的新透明度模型。
这次事件不仅是简单的安全失误,也是关于AI产品应该如何存在的问题。
在传统软件世界中,源代码泄露是致命的,因为竞争对手可以直接使用代码。然Claude Code的案例则不同。如果服务器上的模型是竞争力的本质,源代码公开则不是威胁,而是用于形成生态系统的材料。实际上,Claude Code周边已经发展出大量内部工具目录、版本追踪系统和可视化工具等,并获数千个星标的第三方生态系统。
这对于AI企业来说是值得参考的结论。这证明了不是全面开源,也不是全面封闭的中间地带是可行的。模型和基础设施可以是封闭的,客户端代码实际上是开放的,同时允许社区的贡献和监控。
当然,仍然存在挑战。外部发现安全漏洞的事实暴露了内部验证机制的局限性。源码越开放,恶意行为者就越能轻易了解结构。Antrophic未能正式解释为何再次分发source map这一情况稍令人失望。
代码是开放的,但所有权是封闭的。13个月的实验验证了一点:AI时代产品护城河不在代码,而在于模型和基础设施。