Claude Code 源码泄露：时间线、影响和 Claw Code 的诞生

Claude Code 源码泄露是 AI 工具历史上最重大的意外泄露事件之一。@anthropic-ai/claude-code v2.1.88 npm 包中附带的一个 59.8 MB 的 JavaScript source map 文件暴露了跨 1,906 个源文件的 512,000 行 TypeScript 代码。该事件揭示了 Anthropic 专有编程智能体的完整内部架构，并直接催化了 Claw Code 的创建。

发现

2026 年 3 月 31 日，安全研究员 Chaofan Shou（@shoucccc）发现 Claude Code npm 包包含一个 .map source map 文件，可以完全重建原始 TypeScript 源代码。Claude Code 构建管道使用的 Bun 打包工具默认生成 source map，除非明确禁用——这一配置疏忽导致完整的源代码树可读。

安全社区注意到了这其中的讽刺：被暴露的代码库中包含一个专门设计用于防止内部信息泄露给终端用户的"隐身模式"系统。

即时影响

在泄露披露后的数小时内：

• 源代码被镜像到多个 GitHub 仓库
• 数千名开发者开始分析其架构
• 内部工具系统（约 40 个工具，29,000 行 TypeScript）被完全记录
• 查询引擎（46,000 行）被逆向工程
• 多智能体群体编排模式被映射
• IDE 桥接（使用 JWT 认证）被曝光

隐藏功能曝光

泄露的源代码暴露了 Claude Code 用户看不到的几个未记录的功能：

Claw Code 的诞生

Sigrid Jin（@sigridjineth）曾在 2026 年 3 月 21 日被华尔街日报报道为最活跃的 Claude Code 用户之一，消耗了 250 亿个 token，当时已飞往旧金山参加 Claude Code 的一周年派对。得知泄露后，Jin 开始了通宵的洁净室 Python 重写。

重写使用 oh-my-codex (OmX) 构建，采用两种专门模式：

• $team 模式——用于快速迭代的并行代码审查
• $ralph 模式——用于持续开发的持久执行

由此诞生的仓库——instructkr/claw-code——成为 GitHub 上最快达到 30,000 星的仓库。截至撰写时，已积累 48,000+ 星、56,000+ fork 和 335 个关注者。

供应链攻击

在泄露引发的混乱中，3 月 31 日 00:21–03:29 UTC 之间发生了一次供应链攻击尝试。axios 包的恶意版本（1.14.1 和 0.30.4）被发布到 npm，包含一个远程访问木马（RAT），依赖于可疑的 plain-crypto-js 包。

事后，Anthropic 将 Claude Code 的分发从 npm 转向原生安装程序：

随之而来的生态系统

泄露和随后的洁净室重写催生了一个更广泛的相关项目生态系统：

架构秘密曝光

泄露的源代码提供了对生产级 AI 编程智能体实际构建方式的前所未有的洞察。关键发现包括：

• 工具系统——约 40 个工具，总计 29,000 行 TypeScript，涵盖文件操作、代码搜索、终端执行等
• 查询引擎——46,000 行代码处理提示构建、上下文管理和响应处理
• 多智能体群体——用于生成和协调多个智能体实例的专有编排
• IDE 桥接——VS Code/JetBrains 与 Claude Code 后端之间的 JWT 认证通信通道
• 多层记忆——基于 MEMORY.md 的持久化，具有会话压缩和后台整合功能

这些架构模式在保持距离的情况下被观察到，为 Claw Code 的洁净室设计提供了参考——它从第一性原理重新实现了每个子系统，没有复制任何专有代码。