Claude Code 泄露事件：不止51万行代码的秘密曝光

事件起因：npm 包中的低级失误

此次泄露事件由用户 Chaofan Shou 在 X 平台率先披露。Anthropic 官方 npm 包 @anthropic-ai/claude-code 的 2.1.88 版本中，意外包含了一个约 60MB 的 cli.js.map 文件。这个文件不仅包含了文件名，还暴露了源码内容，使得外部人员能够轻松提取代码。

几小时后，GitHub 上的镜像仓库迅速吸引了数千颗星的关注。尽管 Anthropic 立即采取措施删除相关文件并发出 DMCA 下架通知，但传播的速度已经无法遏制。

.map 文件的作用与失误原因

.map 文件原本是为调试而设计的，但如果其中包含了源码内容，就会成为安全隐患。这次事件的核心问题在于 Anthropic 在发包前未彻底清理 .map 文件，导致源码被意外发布。这种失误被认为是低级且完全可以避免的。

泄露内容：51.2 万行代码的背后逻辑

泄露的代码总量高达 51.2 万行，涉及 4756 个源文件，其中 1906 个文件为 Claude Code 自身编写，其余为调用的外部工具和库。这些代码揭示了产品的实现逻辑：

• 模块化设计：界面、执行环境、工具、中枢、记忆、权限等功能模块分离，便于后续扩展。
• 交互方式：用户输入指令后，系统直接接收处理并返回结果，符合写代码时边试边改的需求。
• 任务拆分：复杂任务会被分配给多个 agent 处理，最后统一回收结果，提升效率。

这些设计表明，Claude Code 不仅仅是一个简单的文本补全模型，而是一个功能强大的开发工具。

Buddy 功能：意外走红的愚人节彩蛋

此次泄露还意外带火了此前未公开的功能——Buddy，一个带有稀有度和属性的电子宠物。Buddy 是今年愚人节的彩蛋，具备以下特点：

• 外观与物种：包括鸭子、龙、六角恐龙等 18 种物种，稀有度分为五档，从 common 到 legendary。
• 生成机制：基于用户 ID 和固定字符串哈希生成，每个用户只能获得一只，无法重复刷取。
• 属性系统：包含 DEBUGGING、PATIENCE 等五项属性，稀有度越高，整体属性可能越强。
• 互动体验：用户可以通过输入命令与 Buddy 互动，例如 /buddy pet 会触发爱心效果。

Buddy 的未来：陪伴感与长期驻留的可能性

Buddy 的加入使 Claude Code 不再只是一个命令行工具，而是增加了陪伴感。注释显示，Buddy 功能并非一次性活动，而是会长期保留。这或许暗示着 Claude Code 正朝着长期驻留和持续交互的方向发展。

更深层次的问题：Agent 的长期信用体系

此次泄露不仅揭示了工具的实现方式，还引发了对 Agent 长期能力的思考。如何记录判断、持续检验、筛选真实结果，并将短期表现与长期信用分开，是未来需要解决的问题。NeoSoul 提出的目标正是构建一个持续反馈、结果承担和信用沉淀的系统，让 Agent 的能力可以被长期比较和积累。