【文/观察者网 心智观察所】

2026年3月31日凌晨，安全研究员ChaofanShou在X上发了一条帖子，附了个zip链接，话不多，大意是：ClaudeCode的源码，通过npm仓库里的一个map文件泄露了。

几个小时之后，那条帖子快一千万浏览，GitHub上冒出一堆镜像仓库，其中一个几小时内就拿了三万星标、四万多fork。

Anthropic——估值3800亿、年化收入奔着190亿去、一直把“AI安全”挂嘴边的公司被自己随手丢出去的调试文件，扒了个底朝天。

这事跟黑客攻击没关系。没人黑进服务器，也没人破解啥加密协议。真相简单到荒唐：Anthropic往npm发ClaudeCode v2.1.88的时候，忘了把一个59.8MB的sourcemap文件从包里删掉。

Sourcemap是前端开发最基础的东西，说白了就是把压缩过的生产代码还原成人能读的源码。发布前去删掉它，是JavaScript新手教程第一周就会教的操作。Anthropic没做到。

泄露出来的东西比大家一开始想的要深。那个map文件里包含了4756个源文件，其中1906个是ClaudeCode自己的TypeScript/TSX源码，剩下的来自node_modules。提取基本没门槛——cli.js.map就是个JSON，随便写几行脚本就能把全部源码还原出来。

总共51.2万行严格模式的TypeScript代码，把ClaudeCode的底裤都翻干净了：46000行的API调用引擎、29000行的工具定义系统（大概40个权限门控的工具）、完整的系统提示词、上下文拼接逻辑、多智能体调度器、IDE桥接模块，还有一大堆还没对外发的东西。

更让社区嗨起来的是，代码里还藏了Anthropic没公开的产品路线图。44个featureflag背后，是一堆已经开发完但没放出来的功能。最抓眼球的是一个叫“KAIROS”的系统——Always-On的后台守护进程，用户走了AI还在跑，能订阅GitHubwebhook自动修代码报错，甚至夜里还能“做梦”式地整理记忆。

除此之外还有虚拟宠物“BUDDY”、远程规划模块“ULTRAPLAN”、多Agent协同调度。别人还在卷大模型跑分的时候，Anthropic已经在底下悄悄搭了一套完整的“数字员工”架子。

但最有讽刺意味的，是代码里一个叫“UndercoverMode”的子系统。系统提示词写得清清楚楚：如果检测到使用者是Anthropic内部员工，并且在操作公开的GitHub仓库，这个模式会自动激活，抹掉所有AI生成代码的痕迹，还明确要求大模型“不要暴露你的身份”。

换句话说，Anthropic专门搞了一套系统防止自己内部信息泄露——然后把这套系统连同全部源码，一起通过一个没删掉的map文件给扔了出来。

GitHub上有条评论说得挺损：“他们造了一艘防水船，然后忘了把船底的塞子塞上。”

这起事件对Anthropic最深的冲击，不在于具体技术细节被曝光，而是动摇了这家公司最核心的叙事根基。

在AI行业里，Anthropic一直有个很特殊的定位：它不是跑得最快的，也不是用户最多的，但它是“最安全”的那一个。DarioAmodei和他那批从OpenAI出走的人，创立Anthropic时讲的故事就是“负责任地开发AI”。这家公司拒绝过美国国防部的无限制使用条款，因此被国防部长PeteHegseth列为“供应链风险”；今年3月初还公开指责OpenAI与五角大楼的合作是“安全作秀”；它推的RSP（负责任扩展政策）也被业内看作是最严格的自我约束框架。

就是这套“安全”叙事，撑起了Anthropic从2024年底10亿ARR到2026年3月190亿ARR的增长曲线，撑起了3800亿的估值，也让Fortune10里有八家企业选了Claude作为核心AI供应商。

然而不到一周的时间里，Anthropic接连两次重大信息泄露。

3月26日，Fortune先曝了一起CMS配置错误：Anthropic内容管理系统里有近3000份没发布的资产被公开搜索引擎索引了，其中包括一篇关于下一代旗舰模型ClaudeMythos（内部代号“Capybara”）的博客草稿。那篇草稿不光透露了Mythos的存在和性能描述，还包含了Anthropic对该模型“前所未有的网络安全风险”的内部评估。五天后，就是ClaudeCode源码泄露。

更让人头皮发麻的是，据多家媒体报道，这已经是Anthropic第二次栽在sourcemap上——2025年2月就出过几乎一模一样的事，只不过当时ClaudeCode还没火，影响不大，Anthropic悄悄下架了那个版本，没引起什么关注。

连续两次低级失误，让“安全”这个人设变得尴尬。一家把“安全”写进名片的企业，一家为了安全原则拒掉国防合同的企业，一家CEO公开嘲讽竞争对手安全意识差的企业，在最基础的工程发布流程上反复翻车。

知乎上有条评论被顶得很高：“虱子多了不怕咬了。”话虽然刻薄，但也不是没道理。Anthropic今年年初还被曝涉嫌用Claude给竞争对手的模型训练数据“投毒”，现在又是sourcemap忘删、CMS配置裸奔，公众对它的“安全人设”信任正在一点一点被蚕食。

这些事故背后，其实是一个高速膨胀的组织很难避免的困境。Anthropic的增速在企业软件史上确实没什么先例——15个月里ARR从10亿飙到190亿，ClaudeCode9个月从零做到25亿，员工人数和工程团队规模都在猛涨。这种指数级增长下，工程管理的精细度往往是第一个被牺牲的。

sourcemap忘了排除、CMS资产默认公开、构建流水线没有自动化检查——这些都不是技术难题，都是流程治理问题。它们暴露的不是Anthropic工程师能力不行，而是组织扩张速度远远跑过了内部管理体系的迭代速度，裂缝自然会冒出来。

技术层面的原因更具体：ClaudeCode用的Bun作为运行环境，Bun的打包器默认就会生成sourcemap，除非你显式关掉。如果CI/CD流水线上没有自动化的包内容审计，每次发布都有风险。npmpublish之前跑一遍npmpack--dry-run检查文件列表，这是DevOps里最基础的实践，但在一家估值近4000亿的AI公司里，它缺位了。

Coatue的投资材料里预计Anthropic2026年要亏140亿美元（EBITDA口径），巨额亏损下的极速扩张，很可能正在让这些“不紧急”的工程治理工作一拖再拖。