2026年3月31日,安全研究员 Chaofan Shou 在公共 npm registry 上执行了一次常规的依赖审计。他发现 Anthropic 旗舰开发者工具 Claude Code CLI v2.1.88 的发布包中,赫然躺着完整的 source map 文件——约1900个 TypeScript 源文件、51.2万行代码,包括40余个内部工具定义、多 Agent 协调逻辑、未发布功能代号(KAIROS 自主守护模式、ULTRAPLAN 云端规划引擎),甚至内部模型代号映射表(Capybara = Claude 4.6、Fennec = Opus 4.6)。所有这些信息,任何执行 npm install @anthropic-ai/claude-code 的开发者都能直接获取。(来源: InfoQ, 2026-04-07)

Anthropic 的官方回应是:”这是一个由人为错误导致的发布打包问题,而非安全漏洞。” 这句话值得反复咀嚼。一家年化收入刚突破300亿美元、正与 Google 和 Broadcom 签署多 GW 级算力协议的公司(来源: Anthropic 官方博客, 2026-04-06),其核心开发者工具的发布流程中,竟然缺乏最基本的 source map 剥离检查。这不是一个孤立事件,而是 AI 工具供应链安全中一个结构性矛盾的缩影:当闭源 AI 公司越来越依赖开源生态(npm、PyPI、GitHub)分发其商业产品时,传统软件供应链的每一个薄弱环节都会被放大为新的攻击面。

一、事件复盘:source map 是如何成为”定时炸弹”的

1.1 source map 的技术本质

Source map 是 JavaScript/TypeScript 生态中一种标准化的调试辅助文件,格式遵循 Source Map Revision 3 Proposal。其核心功能是在编译、压缩、混淆后的产物代码与原始源代码之间建立映射关系。一个典型的 .js.map 文件包含以下关键字段:

  • sources:原始文件路径数组
  • sourcesContent:原始文件的完整内容(可选但常见)
  • mappings:Base64 VLQ 编码的位置映射

关键在于 sourcesContent 字段。当构建工具(如 webpack、esbuild、tsc)配置为 inlineSources: truesourcesContent: true 时,编译产物的 source map 文件中会直接嵌入完整的原始源代码。这意味着即使你只发布了混淆后的 JavaScript bundle,只要 source map 文件随包一同发布,任何人都可以通过标准工具(如 source-map npm 包或 Chrome DevTools)完整还原原始 TypeScript 代码。

1.2 Claude Code 的发布链路缺陷

Claude Code 是 Anthropic 于2025年推出的命令行 AI 编程助手,直接与 Claude 模型 API 交互,支持代码生成、重构、调试等功能。其分发渠道是 npm——全球最大的 JavaScript 包管理器,月下载量超过2000亿次。

从泄露的源码结构推断,Claude Code 的构建流程大致如下:

  1. TypeScript 源码编写(约1900个 .ts 文件)
  2. 通过构建工具(大概率是 esbuild 或 tsup)编译为 JavaScript
  3. 构建过程中生成 source map 以供内部调试
  4. 打包为 npm 发布格式(npm pack
  5. 发布至 npm registry(npm publish

问题出在第4步和第5步之间:source map 文件未被从发布包中剔除。npm 的 .npmignore 文件或 package.json 中的 files 字段本可以轻松排除 .map 文件,但这一步骤被遗漏了。更深层的问题是,整个 CI/CD 流水线中没有设置自动化检查来验证发布包中是否包含敏感文件。

这不是一个复杂的攻击向量。不需要逆向工程,不需要漏洞利用,不需要社会工程学。只需要 npm pack 然后解压查看内容。

1.3 泄露内容的战略价值

51.2万行代码的泄露远不止是”代码被看到了”这么简单。从已公开的分析来看,泄露内容至少包含以下几个维度的战略信息:

工具架构与能力边界:40余个内部工具的定义暴露了 Claude Code 的完整能力图谱——它能调用哪些系统命令、如何处理文件系统操作、如何管理上下文窗口、如何实现多轮对话中的状态保持。对于竞争对手而言,这相当于拿到了一份详尽的产品架构蓝图。

多 Agent 协调逻辑:这是当前 AI 工程中最前沿也最具竞争壁垒的领域。Claude Code 如何在多个 Agent 之间分配任务、如何处理 Agent 间的通信协议、如何实现任务的分解与聚合——这些实现细节的泄露,对于正在构建类似系统的 OpenAI Codex、Google Jules、Amazon CodeWhisperer 等竞品团队而言,价值不可估量。

未发布功能与产品路线图:KAIROS(自主守护模式)和 ULTRAPLAN(云端规划引擎)两个代号的出现,暴露了 Anthropic 尚未公开的产品方向。KAIROS 暗示 Claude Code 正在开发一种持续运行的后台 Agent 模式,而 ULTRAPLAN 则指向云端复杂任务规划能力。这些信息对投资者、竞争对手和潜在合作伙伴的决策都有直接影响。

内部模型代号映射:Capybara = Claude 4.6、Fennec = Opus 4.6 的映射关系泄露,不仅暴露了 Anthropic 的模型命名体系,更重要的是确认了尚未发布的模型版本号,为外界提供了 Anthropic 模型迭代节奏的精确参照。

二、npm 生态的结构性安全问题:不是 Anthropic 一家的困境

2.1 npm 发布机制的”默认不安全”设计

npm 的发布机制存在一个根本性的设计哲学问题:它默认包含项目目录中的几乎所有文件,除非开发者主动排除。具体来说:

  • 如果没有 .npmignore 文件,npm 会回退到 .gitignore 的规则
  • .gitignore 通常排除 node_modules 和构建产物,但不会排除 source map
  • 如果使用 package.jsonfiles 字段做白名单,开发者需要精确列出所有需要发布的文件——但 source map 文件通常与编译产物同名(如 index.js 对应 index.js.map),容易被通配符规则(如 dist/**)意外包含

这意味着,对于任何使用 TypeScript 编写并编译为 JavaScript 发布到 npm 的项目,source map 泄露都是一个”默认风险”——除非开发者有意识地、主动地采取排除措施。

npm 官方在2023年引入了 npm publish --dry-runnpm pack --list 命令来帮助开发者在发布前检查包内容,但这些都是可选步骤,没有任何强制机制。npm registry 本身也不会对上传的包进行敏感文件检测。

2.2 历史先例:这绝非首次

Claude Code 的 source map 泄露并非 npm 生态中的孤例。过去几年中,类似事件反复发生:

  • 2022年,多个主流 React 组件库被发现在 npm 包中包含完整的 source map,暴露了商业组件的完整实现逻辑
  • 2023年,一家知名 SaaS 公司的 CLI 工具通过 source map 泄露了内部 API 端点和认证逻辑
  • 2024年,npm 生态中被发现超过15000个包包含不必要的 source map 文件,其中约3000个包含 sourcesContent(即完整原始代码)

但 Claude Code 事件的独特性在于其规模战略敏感度。51.2万行代码、涉及未发布产品功能和内部模型代号——这不是一个普通的开源组件泄露,而是一家估值超过600亿美元的 AI 公司核心产品的完整技术资产暴露。

2.3 AI 工具分发的特殊矛盾

AI 工具的分发面临一个传统软件不曾遇到的结构性矛盾:

分发渠道的开放性 vs. 代码的机密性。npm、PyPI、Homebrew 等包管理器的设计初衷是为开源软件服务的。它们的安全模型建立在”代码本身是公开的,需要保护的是包的完整性(防止篡改)和作者身份(防止冒充)”这一假设之上。但当闭源商业 AI 工具选择通过这些渠道分发时,它们需要的安全保障维度完全不同——它们需要保护代码本身不被查看。

这就产生了一个悖论:你把一个需要保密的东西放在一个设计上就不保密的平台上分发。npm 包本质上就是一个 tarball 压缩文件,任何人都可以下载并解压查看其中的所有内容。即使不包含 source map,编译后的 JavaScript 代码也远比 C/C++ 编译产物容易逆向——因为 JavaScript 保留了大量语义信息(变量名可能被混淆,但函数结构、控制流、字符串常量都清晰可见)。

Source map 只是把”困难的逆向”变成了”零成本的阅读”,但根本问题是:通过 npm 分发的闭源代码,其保密性从一开始就是脆弱的

三、AI 工具供应链的攻击面全景

Claude Code 的 source map 泄露只是 AI 工具供应链安全问题的冰山一角。要理解这一事件的深层含义,需要将视野扩展到整个 AI 工具供应链的攻击面。

3.1 依赖链攻击:从 node_modules 到模型权重

一个典型的 AI 开发工具(如 Claude Code、GitHub Copilot CLI、Cursor)的依赖链包含以下层次:

  1. 语言运行时层:Node.js / Python 解释器
  2. 包管理器层:npm / pip / conda
  3. 直接依赖层:HTTP 客户端、CLI 框架、文件系统工具等
  4. 间接依赖层:直接依赖的依赖(通常数量是直接依赖的10-50倍)
  5. API 通信层:与 AI 模型服务的通信协议
  6. 模型层:远程模型的行为(prompt injection、对抗样本)

传统的供应链攻击(如 2021年的 ua-parser-js 事件、2022年的 colors.js 事件)主要针对第3和第4层。但 AI 工具引入了第5和第6层的全新攻击面:

  • Prompt 注入通过依赖传播:如果一个 AI 编程助手在处理代码时读取了被污染的依赖包中的注释或文档,恶意 prompt 可能被注入到 AI 的上下文中,导致生成包含后门的代码
  • 模型行为劫持:如果 AI 工具的 API 通信未经充分验证,中间人攻击可以篡改模型响应,在生成的代码中植入漏洞
  • 工具定义泄露导致的精准攻击:Claude Code 的40余个工具定义泄露后,攻击者可以精确了解该工具能执行哪些系统操作,从而设计更有针对性的攻击向量

3.2 MCP 协议:新的攻击面放大器

值得特别关注的是 Model Context Protocol(MCP)在 AI 工具生态中的快速扩散。Salesforce 在2026年4月6日发布的 Slack 重大更新中,明确将 MCP 客户端集成为核心功能,可路由至其 Agentforce 平台。(来源: Salesforce 官方博客, 2026-04-06)

MCP 的设计目标是让 AI Agent 能够与外部工具和数据源进行标准化交互。但这也意味着:

  • 攻击面从单一工具扩展到整个工具链:一个被入侵的 MCP 服务器可以向所有连接的 AI Agent 注入恶意指令
  • 权限边界模糊化:当 AI Agent 通过 MCP 获得文件系统、数据库、API 调用等能力时,一次成功的 prompt 注入可能导致远超传统漏洞的破坏
  • 审计困难:MCP 交互通常是自然语言格式的,传统的安全审计工具难以对其进行有效的静态分析

Claude Code 源码泄露中暴露的多 Agent 协调逻辑,恰恰为攻击者提供了理解这些交互模式的完美蓝图。

3.3 开发者工具的特权地位

AI 编程助手在开发者工作流中占据着极其特殊的位置:它们通常拥有对整个项目代码库的读取权限,能够执行 shell 命令,能够修改文件,甚至能够代表开发者与 Git、CI/CD 系统交互。

这意味着一个被入侵或行为异常的 AI 编程助手,其潜在破坏力远超传统的开发工具。它不仅可以在代码中植入漏洞,还可以修改构建配置、篡改测试用例(使漏洞不被测试覆盖)、甚至直接推送恶意代码到版本控制系统。

Claude Code 的源码泄露让外界第一次完整看到了这类工具的内部安全边界是如何设计的——或者更准确地说,看到了这些边界在哪些地方可能存在缺口。

四、Anthropic 的矛盾处境:安全叙事与工程实践的裂隙

4.1 “AI 安全公司”的品牌承诺

Anthropic 自成立以来,一直以 “AI safety” 作为核心品牌叙事。其创始人 Dario Amodei 和 Daniela Amodei 从 OpenAI 离职创办 Anthropic 的核心理由就是对 AI 安全的更高追求。Constitutional AI、RLHF 的改进、模型能力评估框架——Anthropic 在模型层面的安全投入确实业界领先。

但 Claude Code 的 source map 泄露暴露了一个令人不安的事实:模型安全和工程安全是两个完全不同的维度,而 Anthropic 在后者上的表现与其品牌承诺之间存在明显落差

一家将 “safety” 写入使命宣言的公司,其旗舰开发者工具的发布流程中竟然缺乏基本的敏感文件检查——这不是一个技术问题,而是一个组织优先级问题。它表明,在 Anthropic 的工程文化中,”安全”可能更多地指向模型行为的安全性(alignment、harmlessness),而非软件工程意义上的安全性(supply chain security、secure SDLC)。

4.2 高速增长的代价

这一矛盾的背景是 Anthropic 正处于史无前例的高速增长期。根据其2026年4月6日的官方公告,Anthropic 的年化收入已突破300亿美元,较2025年底的90亿美元增长超过3倍。年消费超过100万美元的企业客户从500家翻倍至1000+。同时,Anthropic 刚与 Google 和 Broadcom 签署了多 GW 级的下一代 TPU 算力协议,预计2027年上线。(来源: Anthropic 官方博客, 2026-04-06; Reuters, 2026-04-06)

在这种增长速度下,工程团队面临着巨大的交付压力。Claude Code 作为 Anthropic 吸引开发者生态的核心产品,其迭代速度极快——v2.1.88 的版本号本身就说明了频繁的发布节奏。在”快速发布、快速迭代”的文化中,安全审查往往成为被牺牲的环节。

这并非为 Anthropic 辩护,而是指出一个行业性的结构问题:AI 公司的增长速度与其工程安全成熟度之间存在系统性的不匹配。传统软件公司经过数十年的安全事件积累了成熟的 DevSecOps 实践,而 AI 公司——即使是估值最高的那些——在软件供应链安全方面仍处于相当初级的阶段。

4.3 “人为错误”的说辞为何站不住脚

Anthropic 将事件定性为”人为错误导致的打包问题”,这一说法在技术上是准确的,但在安全分析框架下是不充分的。

在成熟的安全工程实践中,”人为错误”恰恰是安全控制应该防范的对象。一个健壮的发布流程应该包含:

  1. 构建时检查:构建脚本中自动检测并删除 source map 文件(或确保构建配置不生成 source map)
  2. 发布前扫描:CI/CD 流水线中的自动化步骤,扫描发布包中的敏感文件模式(.map.env、私钥等)
  3. 发布后验证:自动下载刚发布的包并验证其内容是否符合预期
  4. 双人审核:关键包的发布需要至少两人确认

这些都不是新技术。npm 生态中有成熟的工具(如 npm-packlistpublintarethetypeswrong)可以实现这些检查。Anthropic 没有使用它们,说明问题不在于技术能力,而在于安全流程的缺失。

将此事件与 Anthropic 在模型安全上的投入进行对比,反差尤为刺眼:Anthropic 愿意投入数千万美元进行模型红队测试和安全评估,却未能在 CI/CD 流水线中添加一个简单的文件检查步骤。这揭示了 AI 行业对”安全”的理解存在严重的偏科——重模型安全,轻工程安全。

五、开源 vs. 闭源 AI 工具:代码保护的结构性矛盾

5.1 闭源分发的脆弱性

Claude Code 事件凸显了闭源 AI 工具在开源生态中分发时面临的根本困境。让我们对比几种主流 AI 编程工具的分发模式:

工具 分发渠道 代码保护方式 保护强度
Claude Code npm JavaScript 编译 + 混淆(失败) 极低
GitHub Copilot VS Code 扩展商店 JavaScript 编译 + 混淆
Cursor 独立客户端(Electron) JavaScript 编译 + 混淆 + 原生模块 中低
JetBrains AI IDE 插件 Java 字节码
Devin SaaS(纯云端) 无客户端代码

可以看到,所有基于 JavaScript/TypeScript 技术栈并通过包管理器或扩展商店分发的 AI 工具,其代码保护能力都先天不足。JavaScript 的动态特性和解释执行模型决定了它几乎不可能实现真正的代码保护——混淆只是增加了逆向的时间成本,而非技术壁垒。

5.2 开源的替代路径

一个值得深思的问题是:Claude Code 是否应该干脆开源?

支持开源的论点

  • 安全透明性:开源代码接受社区审查,安全漏洞更容易被发现和修复。Claude Code 的 source map 泄露本质上是”被动开源”——如果主动开源,至少可以控制叙事
  • 信任建立:对于一个需要在开发者本地执行 shell 命令、读写文件系统的工具,代码透明性是建立信任的最有效方式
  • 生态效应:开源可以吸引社区贡献,加速功能迭代。Claude Code 的 “caveman” 插件在 Hacker News 爆火并获得20000+ GitHub Star(来源: 36kr, 2026-04-07),已经证明了社区对 Claude Code 生态的热情
  • 竞争壁垒不在客户端:Claude Code 的真正竞争壁垒是后端的 Claude 模型能力,而非前端的 CLI 工具逻辑。开源 CLI 不会削弱 Anthropic 的核心竞争力

反对开源的论点

  • 产品路线图暴露:开源意味着所有未来功能都在公开的 commit 历史中可追踪,竞争对手可以提前布局应对
  • 内部架构暴露:多 Agent 协调、工具编排等架构设计是重要的工程知识产权
  • 安全攻击面增加:完全开源的代码让攻击者可以更精确地寻找漏洞
  • 商业模式考量:如果 CLI 工具开源,可能出现第三方修改版绕过 Anthropic 的计费系统

5.3 我的判断:半开源是最优解

综合以上分析,我认为 Anthropic 应该采取半开源策略

  1. 开源核心 CLI 框架和工具接口:让社区可以审查安全关键代码、贡献插件、定制工作流
  2. 闭源 Agent 协调逻辑和高级功能:保护核心工程知识产权
  3. 开源安全相关组件:权限管理、沙箱机制、输入验证等安全关键模块应该接受社区审查

这种模式已经有成功先例。VS Code 的核心编辑器是开源的(MIT 许可),但 Microsoft 的 VS Code 发行版包含闭源的遥测、扩展市场等组件。Chromium 与 Chrome 的关系也是类似模式。

然而,Claude Code 源码已经泄露的既成事实,使得这一讨论变得更加紧迫。51.2万行代码已经在互联网上流传,任何试图”收回”的努力都是徒劳的。Anthropic 现在面临的选择是:要么正式拥抱开源,将被动泄露转化为主动的社区建设;要么继续闭源路线,但必须彻底重构发布安全流程,并接受代码已经被竞争对手分析的现实。

六、行业影响:AI 工具安全的”SolarWinds 时刻”?

6.1 为什么这比普通的代码泄露更严重

2020年的 SolarWinds 事件之所以成为供应链安全的分水岭,不是因为技术复杂度,而是因为它暴露了一个系统性的信任假设错误:企业信任其软件供应商的更新,而这种信任被武器化了。

Claude Code 的 source map 泄露虽然不是恶意攻击,但它暴露了一个同样危险的系统性问题:AI 开发工具正在成为软件供应链中最具特权、却最缺乏安全审查的节点

考虑以下场景:

  1. 开发者安装 Claude Code 并授予其项目目录的完整访问权限
  2. Claude Code 通过 API 将代码片段发送给 Anthropic 的服务器进行分析
  3. Claude Code 根据模型响应自动修改本地文件、执行 shell 命令
  4. 修改后的代码被提交到版本控制系统,最终部署到生产环境

在这个链路中,Claude Code 既是一个代码消费者(读取项目代码),又是一个代码生产者(生成和修改代码),还是一个系统操作者(执行 shell 命令)。它的权限级别远超传统的开发工具(如编辑器、linter、构建工具),但它所受到的安全审查程度却远不及这些传统工具。

6.2 对企业客户的直接影响

Anthropic 报告其年消费超过100万美元的企业客户已从500家翻倍至1000+。(来源: Anthropic 官方博客, 2026-04-06) 这些企业客户中有多少在使用 Claude Code?他们的安全团队是否评估过 Claude Code 的 npm 包内容?

对于受监管行业(金融、医疗、国防)的企业客户而言,Claude Code 源码泄露事件引发了几个紧迫的问题:

  • 合规风险:如果 Claude Code 的内部逻辑中存在未披露的数据收集行为(source map 泄露使这一点可被验证),可能违反 GDPR、HIPAA 等法规
  • 知识产权风险:企业的专有代码通过 Claude Code 发送给 Anthropic API 的过程中,传输和存储的安全性如何保障?泄露的源码中是否有相关逻辑可以验证?
  • 供应链审计:企业的安全团队是否需要对 AI 开发工具进行与其他关键供应商同等级别的安全审计?

值得注意的是,Anthropic 正在积极拓展医疗领域——其计划于2026年4月23日举办 “Claude Code for Healthcare” 网络研讨会,展示医生如何使用 Claude Code 构建临床应用。(来源: Anthropic 官方网站, 2026-04-07) 在医疗这样的高度监管行业中,一个刚刚发生源码泄露事件的工具要如何获得医疗机构的信任?

6.3 对印度 IT 外包行业的间接影响

Reuters 报道指出,AI 工具(特别是 Anthropic 和 Palantir 的产品)对传统 IT 外包模式的冲击已导致印度 IT 股年内下跌20%。(来源: Reuters, 2026-04-06) Claude Code 源码泄露事件的一个讽刺性后果是:它可能暂时减缓这一冲击。

如果企业客户因安全顾虑而放慢 AI 编程工具的采纳速度,传统 IT 外包模式将获得更多喘息时间。但这只是短期效应。长期来看,AI 工具的安全性会不断提升,而传统外包模式的成本劣势只会越来越明显。

七、技术建议:AI 工具供应链安全的最佳实践

基于 Claude Code 事件的教训,以下是面向 AI 工具开发者和企业用户的具体建议:

7.1 面向 AI 工具开发者

构建流程安全

  1. tsconfig.json 中为生产构建设置 "sourceMap": false"declarationMap": false
  2. .npmignore 中显式排除 *.map*.ts(非声明文件)、.env**.pem 等模式
  3. 在 CI/CD 流水线中添加发布前检查步骤:npm pack --dry-run | grep -E '\.(map|ts|env|pem)$' 如果匹配则失败
  4. 使用 npm-packlistpublint 等工具自动验证发布包内容
  5. 实施发布后验证:自动从 registry 下载刚发布的包并检查内容

代码保护

  1. 对于必须闭源的逻辑,考虑使用 WebAssembly 或原生 Node.js 插件(N-API)进行编译,显著提高逆向难度
  2. 将敏感逻辑(如 Agent 协调、工具定义)移至服务端,客户端只保留轻量级的 API 调用层
  3. 实施代码签名,确保分发的包未被篡改

安全审计

  1. 定期对发布包进行第三方安全审计
  2. 建立漏洞赏金计划,激励安全研究员负责任地报告问题
  3. 维护 SBOM(Software Bill of Materials),让用户了解依赖链

7.2 面向企业用户

采购评估

  1. 将 AI 开发工具纳入现有的供应商安全评估框架
  2. 要求供应商提供 SOC 2 Type II 报告和渗透测试结果
  3. 评估工具的权限模型:它需要哪些系统权限?是否遵循最小权限原则?

运行时控制

  1. 在沙箱环境中运行 AI 开发工具,限制其文件系统和网络访问范围
  2. 监控 AI 工具的网络通信,确保只与预期的 API 端点通信
  3. 对 AI 工具生成或修改的代码进行额外的安全审查(代码审查、SAST/DAST 扫描)

应急响应

  1. 建立 AI 工具安全事件的响应预案
  2. 维护 AI 工具的版本锁定策略,避免自动更新引入未经审查的变更
  3. 定期审查 AI 工具的 npm/pip 包内容,检查是否包含意外文件

八、So What:这对你意味着什么

如果你是 AI 工具开发者:Claude Code 事件是一面镜子。检查你的构建流程——现在就执行 npm pack --dry-runpip sdist,看看你的发布包里到底有什么。source map 泄露只是最明显的问题;.env 文件、内部文档、测试数据中的敏感信息,都可能潜伏在你的发布包中。AI 工具的特权地位意味着你的安全标准应该高于普通软件,而不是更低。

如果你是 企业安全负责人:停止将 AI 开发工具视为”又一个 IDE 插件”。它们是拥有系统级权限的自主 Agent,其安全评估应该与你对云服务提供商的评估同等严格。Claude Code 的源码泄露证明,即使是最知名的 AI 公司,其工程安全实践也可能存在基本缺陷。不要假设品牌声誉等于安全保障。

如果你是 投资者或分析师:关注 AI 公司的工程安全成熟度,将其作为尽职调查的一部分。Anthropic 的300亿美元年化收入和多 GW 算力协议固然令人印象深刻,但一次源码泄露事件可能导致企业客户的信任危机,尤其是在受监管行业。AI 公司的”安全”叙事需要同时覆盖模型安全和工程安全——后者目前被严重低估。

如果你是 Anthropic:这是一个转危为机的时刻。与其试图淡化事件(”打包问题,非安全漏洞”),不如发布一份详尽的事后分析报告,公开你们的改进措施,甚至考虑将 Claude Code 的非核心部分开源。在 AI 行业信任尚在建立的关键时期,透明度比完美更重要。你们在模型安全上的投入已经赢得了尊重;现在是时候将同等的严肃态度应用于工程安全了。

51.2万行代码已经无法收回。但这次泄露暴露的不仅是代码,更是整个 AI 工具生态在供应链安全上的系统性盲区。当 AI Agent 越来越深入地嵌入软件开发的每一个环节——从代码生成到测试到部署——确保这些 Agent 自身的安全性,将成为决定 AI 工具行业成败的关键变量。

参考资料

  1. Claude Code Source Leak via npm Source Maps — InfoQ, 2026-04-07
  2. Anthropic Announces Google and Broadcom Partnership for Multi-GW Compute — Anthropic 官方博客, 2026-04-06
  3. Broadcom Signs Long-Term Deal to Develop Google’s Custom AI Chips — Reuters, 2026-04-06
  4. Claude Code “Caveman” Plugin Goes Viral on Hacker News — 36kr, 2026-04-07
  5. Salesforce Slackbot Agent Orchestration Update — Salesforce, 2026-04-06
  6. Claude Code for Healthcare Webinar — Anthropic, 2026-04-07
  7. Indian IT Firms Face Subdued Quarter as AI Concerns Persist — Reuters, 2026-04-06

主题分类:AI 开发生命周期