2026 年 3 月，Anthropic 在 npm 发布时不小心把 source map 一起打包进了生产版本，导致 57MB 的 cli.js.map 文件公开暴露——里面直接包含了 1906 个 TypeScript ...

这次泄露源于一个体积约 57MB 的 cli.js.map 文件，文件中包含了 4756 个源文件的完整内容：其中 1906 个是 Claude Code 自身的 TypeScript/TSX 源码，其余 2850 个来自 node_modules ...

Anthropic 官方随后回应，此次事件属于「打包环节的人为失误」，并非安全入侵，没有任何用户数据或凭证遭到泄露。 Claude Code 之父 Boris Cherny 也在 X 上简短留言，确认这只是「开发者的操作失误」。

一家致力于AI安全的公司，专门打造了名为“Undercover Mode”系统，防止AI泄露内部机密，最终却因一个配置的疏忽，将51.2万行源码完整曝光于世。同样的错误屡次上演，Anthropic恐怕需要先把自己的安全问题搞明白。

值得注意的是，这并非Anthropic首次发生此类失误。2025年2月，该公司早期Claude Code版本曾因同一类型的source map疏忽被曝光，此次泄露，进一步引发外界对这家估值超过180亿美元的AI明星公司软件供应链安全成熟度的质疑。

AI的世界真的没有有最离谱，只有更离谱。 今天Claude Code 源码泄漏事件，我真的看得头皮发麻。 不是黑客攻击，不是漏洞利用，而是 Anthropic 自己把 source map 打进 npm 包，直接把51 万行 TypeScript ...