一个叫 Chaofan Shou 的安全研究员在 X 上发了条帖子,大意是:嘿,Claude Code 的安装包里有个调试文件忘删了,顺着它能把整个源码下下来。 这条帖子三个小时破了 310 万浏览。我先说这个文件是怎么回事。 代码写完要上线,一般会把它压缩打包,变成人看不懂的样子,防止别人抄。但开发时你自己得能看懂,所以打包工具会额外生成一个「对照表」文件,帮你把压缩后的代码还原回来。 这种文件是内部用的,上线之前必须删掉。Anthropic 没删。 不光没删,里面附了一个链接,点进去,一个压缩包,解压出来就是完整源码。 我看到这儿的时候想了想,这大概是所谓的「百密一疏」吧。但更绝的是,泄露出来的代码里面,有一个叫「Undercover Mode」的子系统,专门用来防止 Claude 在写代码的时候不小心暴露 Anthropic 的内部信息。 你品品这个讽刺感,他们造了一整套防泄密机制。结果源码本身被一个忘删的文件端了。 那到底泄了啥呢? 先说工程规模。看完源码才知道,光核心引擎就好几万行代码,40 多个工具模块,140 个界面组件。这是一个正经的中型应用。 然后是重头戏:一批从没公开过的隐藏功能。第一个,KAIROS。名字来自希腊语,意思是「关键时机」。 这是一个常驻后台的模式。你关了终端窗口,Claude 还能继续跑,跨会话记住你说过的话,后台自己干活;说白了就是「永远在线的 Claude」。你睡了,它没睡。 第二个,BUDDY。这个真的离谱。 Anthropic 在 Claude Code 里藏了一个电子宠物系统,拓麻歌子那种。18 个物种可以选,鸭子、龙、水豚、蘑菇、幽灵都有。稀有度分级,最高 1% 传说级。还能戴帽子,还有闪光皮肤。 五项属性值:调试力、耐心值、混沌值、智慧值、毒舌值。 一帮搞 AI 安全的人,下班了在代码里养电子宠物。挺好的。 第三个,ULTRAPLAN。这个偏硬核。 Claude Code 可以把一个复杂任务甩到云端,调最强的 Opus 模型,给它最多 30 分钟慢慢想。你在浏览器里看结果、点批准,然后结果「传送」回你本地终端。 第四个,Coordinator Mode。 一个 Claude 同时指挥多个 Claude 并行干活,多智能体协同。代码里的 prompt 还专门写了一条规矩:不许说「根据你的发现」,你自己去读那些发现,说清楚具体要干什么。 连 AI 管 AI 都得防甩锅。 另外还扒出来一个新模型代号:Capybara,水豚。三个层级,大概率是下一代模型的内部命名。 再说个有意思的细节。 代码显示 Claude Code 会追踪用户的一些行为信号。比如你骂它脏话的频率,在系统里被标记为「挫败信号」。还有你输入「continue」的次数,因为它经常自己把回答截断,你得催它继续。 这些数据会上报到后台。代码里写了防护措施,说是不会传你的代码内容和文件路径,用户也可以手动关掉。但这些细节之前从来没公开过。 总之,骂它骂多了,它是知道的。 还有个背景值得一提。 五天前,3 月 26 号,Anthropic 刚因为另一个配置错误泄露了大约 3000 份内部文件,里面包含还没发布的新模型草稿。当时官方回应说「人为操作失误,跟 AI 无关」。 五天后,又来了。有人评论说:他们忘了在 system prompt 里加一句不要犯低级错误。 还有人说:Anthropic 天天宣传 Claude 写代码多牛,结果自己的代码因为最基础的配置没写对就全漏了。用 Claude 来 review 一下自己的发布流程,可能就不会出这事儿。 不过也有冷静的声音。 有开发者指出,其实 Claude Code 的客户端代码一直在安装包里,只不过是压缩过的,一般人读不了。这次的调试文件只是把它变成了人能读的版本。Anthropic 真正的护城河是模型本身,不是这个工具。 说得对。但「看到」和「读懂」差距很大。带注释的、有功能开关的、有内部代号的完整源码,信息量完全不在一个级别。 所以呢?泄露的东西不包含模型核心,不包含训练数据,不包含任何用户信息。对你我普通用户来说,没有直接安全风险。 Anthropic 反应也快,发现之后马上推了更新把文件删了,旧版本也下架了。但来晚了,GitHub 上三个镜像已经存好了。互联网不忘事儿。 我认为,真正值得关注的,是藏在代码里的那些未来功能。 KAIROS 的常驻后台、BUDDY 的虚拟伴侣、ULTRAPLAN 的云端深度思考、多智能体协同,如果这些全部落地,Claude Code 就不只是一个编程工具了。它在往「一直陪着你的数字工作伙伴」那个方向走。 只不过这个消息,不是通过产品发布会告诉你的。是通过一个忘删的文件。
