Adversa AI 安全研究人员在对这份源码进行审查后发现，Claude Code 存在一个致命高危漏洞 —— 当其处理超过 50 条子命令的复合命令时，会静默绕过用户配置的拒绝规则（deny rules）。

世界是个巨大的草台班子。今天下午，开发者 Chaofan Shou 发了一条推文，直接放出了 Anthropic 最新命令行工具 Claude Code 的完整源码压缩包 src.zip。这条推文迅速在开发者圈子里炸开，几个小时内浏览量突破 530 ...

Anthropic 官方随后回应，此次事件属于「打包环节的人为失误」，并非安全入侵，没有任何用户数据或凭证遭到泄露。 Claude Code 之父 Boris Cherny 也在 X 上简短留言，确认这只是「开发者的操作失误」。

Claude Code 源代码通过 npm 注册表中的一个 map 文件惨遭泄露，全部在线裸奔。 这次泄露的规模令人咋舌：超 1,900 个文件，总计 51.2 万行 TypeScript 代码被公之于众。 就连 Claude Mythos 5.0，代号「卡皮巴拉」，也在代码中现身。

快速阅读：通过对 Claude Code CLI 的逆向工程发现，多个 Bug 叠加导致了额度消耗异常。最严重的漏洞在于：一旦进入 Extra Usage 模式，客户端会自动将缓存时间从 1 小时降至 5 ...

事情的起点，是 npm 上发布的 Claude Code 2.1.88 安装包。包里混进了一个本不该公开的 map 文件。这类文件原本只是开发阶段的调试工具，用来在代码被压缩、打包之后，依然能把报错信息对应回原始源码中的具体位置。

王喜文认为，从技术层面看，此次泄露的源代码相当于一份完整的技术参考范本。AI企业与科研机构可借此深入拆解国际主流大模型的架构设计、训练策略与工程优化方案，快速掌握全球前沿技术路线的核心逻辑。不过，AI研发应始终以自主创新为核心，将泄露源代码作为技术参考与学习借鉴的辅助手段，而非依赖的核心资源。

过去一年，中国 AI 编程工具赛道明显加速。字节的 Trae 已经从最初的 MarsCode 演进为一个 AI 原生 IDE，集成了 Agent 模式，支持从需求理解到代码编写再到测试的全流程自动化。智谱的 CodeGeeX ...

索尼将继续上调 PlayStation Plus 订阅价格，微软确认将为 Windows 11 开发纯原生系统应用等。