Anthropic 在 npm 設定錯誤中揭露 Claude Code 的原始碼

人為疏失導致 Anthropic 於 2026 年 3 月 31 日在發布 @anthropic-ai/claude-code 套件版本 2.1.88 時，因誤設的 source map 檔案被作為內容的一部分上傳至 npm 註冊表，因而意外揭露了其 Claude Code AI 代理程式的完整原始碼。

該 59.8 MB 的檔案包含約 512,000 行的 TypeScript，分布於 1,906 個檔案中，揭示了該代理程式的三層記憶架構、名為 KAIROS 的自主 daemon 模式、內部模型代號（包含 Capybara（Claude 4.6）與 Fennec（Opus 4.6）），以及一項可在不揭露 AI 參與的情況下，讓人能以「臥底」方式向開源儲存庫貢獻的功能。

原始碼外洩揭示 Claude Code 的三層記憶架構

外洩的原始碼詳述 Anthropic 如何透過精密的記憶系統來管理長時間的編碼工作。核心是一個名為 MEMORY.md 的輕量檔案，它存放的是簡短參照而非完整資訊；更詳盡的專案註記則會被分別保存，只有在需要時才會被取用。系統會對過往會話歷史進行選擇性搜尋，而非一次性全部載入。系統也會在採取行動之前，將其記憶與實際程式碼進行比對；此設計旨在降低錯誤與錯誤假設。

洩露顯示，該代理程式被指示要將自身記憶視為「提示」，並在繼續之前必須對照程式碼庫進行驗證。這種做法被描述為「Strict Write Discipline（嚴格寫作紀律）」，可避免模型用失敗嘗試污染其內容。記憶架構的目標，是解決開發者所稱的「情境熵（context entropy）」：當 AI 代理在長時間、且隨著會話複雜度提高時，容易變得困惑或產生類幻覺的傾向。

揭露 KAIROS 自主模式與臥底功能

原始碼中反覆提及一項功能，其名稱為 KAIROS，描述為 daemon 模式；在此模式下，代理程式可在背景持續運作，而不必等待直接提示。相關流程稱為 autoDream，能在閒置期間進行記憶鞏固：透過調和矛盾，並將暫定觀察轉換為已驗證的事實。

其中最敏感的揭露之一，是一項被描述為 Undercover Mode（臥底模式）的功能。復原出的系統提示指示 Claude Code 在不揭露 AI 參與的前提下，向公開的開源儲存庫貢獻；並附有具體指示，要求避免在提交訊息或公開的 git 記錄中揭露內部識別項，包括 Anthropic 的代號。審閱洩露內容的開發者也發現了數十個隱藏的功能旗標，其中包含透過 Playwright 進行瀏覽器自動化的參照。

揭露內部模型效能指標與開發路線圖

洩露的內容揭露了內部模型名稱與效能資料。依據原始碼，Capybara 對應 Claude 4.6 的某個變體，Fennec 對應 Opus 4.6 的發行版本，而 Numbat 仍處於啟動前測試階段。內部基準測試顯示最新一代 Capybara 的「虛假主張率」為 29% 到 30%，相較於先前迭代的 16.7% 上升。原始碼也提及了一種「果斷度（assertiveness）抵消」機制，用於在對使用者程式碼進行重構時，防止模型變得過於強勢。

洩露的材料同時也揭露了 Anthropic 的權限引擎、多代理程式工作流程的編排邏輯、bash 驗證系統，以及 MCP 伺服器架構，讓競爭者得以更詳細了解 Claude Code 的運作方式。據報導，截至 2026 年 3 月，Claude Code 已達成年化經常性收入 25 億美元；其中企業採用貢獻其收入的 80%。

併發的 npm 供應鏈攻擊進一步加深資安風險

原始碼曝光恰逢另一宗供應鏈攻擊：在 2026 年 3 月 31 日，於 00:21 到 03:29（UTC）之間散布了被惡意修改的 axios npm 套件版本。開發者若在該期間透過 npm 安裝或更新 Claude Code，可能會拉到已受妥協的 axios 版本（1.14.1 或 0.30.4），該版本包含遠端存取木馬。

Anthropic 在一份聲明中確認了洩露，表示某次 Claude Code 版本包含部分內部原始碼，且未涉及或未遭到揭露任何敏感的客戶資料或憑證。公司將此問題歸因於發行打包中的人為錯誤，而非資安入侵；並表示正在推行措施以防止再發。發生該事件後，Anthropic 指定其獨立二進位安裝器為安裝 Claude Code 的首選方法，因其可繞過 npm 相依性鏈。

常見問題（FAQ）

Anthropic 先前意外揭露了哪些原始碼？

Anthropic 透過上傳至 npm 的、設定錯誤的 source map 檔案，意外揭露了約 512,000 行用於 Claude Code（其 AI 編碼代理）的 TypeScript 原始碼。洩露內容揭示了該代理程式的記憶架構、名為 KAIROS 的自主 daemon 模式、內部模型代號，以及一項可讓人以「臥底」方式向開源儲存庫貢獻的功能。

洩露之後，使用者會面臨哪些資安風險？

在 3 月 31 日三小時的時間窗內，若使用者透過 npm 安裝或更新 Claude Code，可能已無意間安裝了含有遠端存取木馬的惡意 axios 相依套件。資安研究人員建議檢查鎖檔（lockfiles）以確認是否存在遭到攻擊的版本、輪替憑證，並考慮對受影響的機器進行完整的 OS 重新安裝。

Claude Code 的使用者應如何降低風險？

Anthropic 建議使用獨立二進位安裝器而不是 npm 安裝，因其可繞過 npm 的相依性鏈。使用 npm 的使用者應解除安裝版本 2.1.88，並固定（pin）至已驗證的安全版本。此外，使用者在尚未檢查設定檔與自訂 hooks 之前，應避免在不受信任的儲存庫中執行該代理程式。