2026 年 3 月底,Anthropic 在替 Claude Code 推出 2.1.88 版時,犯了一個工程師噩夢級錯誤:把原本只給內部用的除錯檔,一起丟上了公開的 npm 套件。
這個檔案叫「source map」,大小 59.8 MB。照理說,它只應該幫工程師對照「壓縮後程式」和「原始碼」,方便查 bug,不該出現在正式發布版裡。
偏偏這次不但跟著出貨,裡面還藏了一個指向 Anthropic 內部 Cloudflare 儲存空間的連結,只要打開就能直接下載完整原始碼 zip。
簡單說,就是一個打包流程沒檢查好,整個產品的工程藍圖就這樣被攤在網路上。
一個打包疏失,變成「半開源」事件
最早發現的人,是 Solayer Labs 工程師 Chaofan Shou。他在 X 上貼出截圖和連結,提醒大家:Claude Code 的原始碼從 npm 套件的 map 檔「漏出來」了。
很快地,檔案被備份到多個 GitHub 倉庫,全球工程師開始拆解這個年收 25 億美元產品的內部設計。
Anthropic 隨後回應媒體,強調這不是駭客入侵,而是「打包與發布流程的人為疏失」,也重申沒有客戶資料或憑證外洩。
但對產業來說,真正重要的是:我們第一次有機會從程式碼層級,看清楚 Claude Code 這個 AI 代理工具是怎麼設計的。
Claude 怎麼避免「越用越胡扯」?
時間讓 AI 幫忙寫程式、管專案,最大風險之一是:資料累積到一定程度後,AI 的「上下文」會變得又長又亂,開始自己被自己搞糊塗,產生更多幻覺。
原始碼顯示,Anthropic的做法不是把所有歷史對話和檔案通通塞給 Claude,而是用三層記憶系統先「整理房間」:
第一層是一份
MEMORY.md索引檔,只存很多條很短的重點句(每條大約 150 字元),會固定載入到 Claude 的「工作記憶」裡。第二層是分散在不同檔案的主題知識,例如專案慣例、常見 bug 類型,需要時再依索引去抓。
第三層才是過去對話,但不是整段重播,而是用搜尋把相關片段抽出來。
再加上一個「嚴格寫入紀律」:沒有確認成功的操作、不確定的推測,不能寫進記憶。這些設計的目的很單純:讓 AI 看到的是整理過的重點,而不是一團亂麻的歷史紀錄。
44 個功能開關:被偷看的產品路線圖
更讓外界驚訝的,是工程師在程式碼裡找到 44 個隱藏功能旗標(feature flags),對應至少 20 個還沒公開的功能雛形。幾個比較有畫面感的包括:
BUDDY:像電子雞一樣的「AI 小夥伴」,常駐在輸入框旁,用對話泡泡陪你工作。
KAIROS(Always‑On Claude):讓 Claude 變成「常駐助理」,在人不在電腦前時,在背景跑一個叫
autoDream的流程,自動整理記憶、消除矛盾。ULTRAPLAN:名字暗示是更長期、更複雜的任務規劃功能,細節尚未對外說明。
多代理人協作(multi‑agent swarms):讓多個 Claude 分工處理同一個專案,而不是一個 AI 硬撐全場。
使用 JWT 的 IDE 橋接器:安全地把本機開發工具接上雲端代理。
這些功能最後會不會真的商用、什麼時候上線還未知,但方向很清楚:Anthropic 想做的,不只是「更聰明的聊天機器人」,而是長期陪跑的工作代理人,以及能跟開發工具深度整合的整套系統。
模型內部代號與「越新不一定越好」
原始碼也側面證實了幾個內部模型代號:Capybara 對應 Claude 4.6 變體,Fennec 對應 Opus 4.6,Numbat 則還在測試中。
有趣的是,註解裡寫到 Capybara v8 的「胡說比例」約 29–30%,反而比 v4 的 16.7% 還高,這提醒了大家:更新模型不等於所有指標都會變好,廠商也在「能力」與「可靠」之間反覆調整。
此外,程式碼裡還有一個「Undercover Mode」(臥底模式),專門用來幫使用者對開源專案送 PR 時,檢查提交訊息,避免不小心把 Anthropic 內部資訊或模型名稱寫進版本紀錄裡,相當於在流程上多加一道「防自己誤洩密」的安全網。
社群 2 小時重寫,供應鏈攻擊一起爆
外洩事件引爆討論後,韓國工程師 Sigrid Jin 乾脆徹夜開工,用 Python 依照公開資訊重寫一版「乾淨室」實作,並以 claw‑code 名義開源到 GitHub。
這個專案在 2 小時內就衝破 5 萬顆星,目前星數逼近 7 萬,fork 超過 7 萬,後續還有人用 Rust 再重寫一版,希望榨出更多效能。
更糟的是,幾乎同一時間,安全社群又發現 axios npm 套件遭到供應鏈攻擊。分析顯示:
如果開發者在 UTC 3 月 31 日 00:21–03:29 之間透過 npm 安裝或更新 Claude Code,很可能連帶拉進含遠端存取木馬(RAT)的惡意 axios 版本(1.14.1 或 0.30.4)。
對這批使用者,目前建議是:
立刻檢查
package-lock.json裡是否出現 plain-crypto-js依賴;若有,就要把機器當成「已完全被入侵」處理,重新安裝系統、重設憑證與密碼;
之後改用官方建議的「原生安裝方式」,避免再被 npm 供應鏈拖累。
為什麼這次事件值得記下來?
對 Anthropic 來說,這是一次昂貴的「工程實習課」:一個疏忽,讓核心產品的系統設計全被攤開給競爭對手與開發者檢視。
對整個產業來說,這次外洩則提供了難得的樣本:
大型 AI 代理工具在「記憶」「長期任務」「多代理協作」上,實際是怎麼設計的;
頂級團隊如何在「更強」與「更穩」之間取捨;
以及,一個小小的打包設定沒處理好,如何同時演變成工程事故及安全事件。
對一般使用者來說,或許不需要看懂每一行 TypeScript,但有一件事很值得記得:AI 工具再強,最後摔倒的地方,往往還是最「工程基本功」的那一層。
資料來源:VentureBeat、GitHub: instructkr/claw-code
本文初稿為AI編撰,整理.編輯/ 先泰
