Claude Code 源碼泄漏：Anthropic 沒丟客戶資料，但把工程藍圖暴露給了全行業

有些泄漏會讓普通用戶立刻緊張，有些泄漏則更值得競爭對手仔細看。這次 Claude Code 源碼泄漏，更接近後者。

根據 Axios 在 2026 年 3 月 31 日 的報導，Anthropic 在一次例行的 Claude Code 發版中，意外把內部調試文件一起打進了公開下載包，讓外界得以重建 Claude Code 的大段源碼、功能旗標和部分內部性能資訊。Anthropic 對 Axios 的回應也很明確：沒有客戶敏感資料或憑證被暴露，這是一次由人工失誤造成的發版打包問題，不是外部入侵。

這句回應很重要，因為它幫我們先劃清了邊界：這不是資料庫被拖走，也不是帳號系統被攻破。但如果因此把事情看小了，也不太對。因為 Claude Code 本身就是 Anthropic 近一年最重要的產品化入口之一，而這次被外界看到的，恰恰是它最不想公開的那部分工程細節。

先把已確認的事實擺出來

到 2026 年 4 月 1 日 為止，能比較穩地確認下來的資訊有幾個：

• Axios 報導稱，這次泄漏來自一個被意外打包進公開更新的調試文件，並指向接近 2,000 個文件、50 萬行以上代碼 的源材料。
• Anthropic 對 Axios 表示，沒有客戶資料或憑證被涉及或暴露，而且這次事件屬於 release packaging issue caused by human error。
• Anthropic 官方文檔一直把 Claude Code 描述成一個安裝自 npm、運行在本地、但會透過網路和 Anthropic API 互動的終端編碼代理。
• 我在 2026 年 4 月 1 日 本地查了 npm 包元資料，當前最新公開版本是 2.1.89。版本列表目前會從 2.1.87 直接跳到 2.1.89。
• 我也本地解包了 @anthropic-ai/claude-code@2.1.89，包裡能看到 cli.js，但沒有再看到 cli.js.map。

最後這一點不代表事情沒發生，而是說 Anthropic 至少已經在公開包層面做了第一輪收口。

真正泄漏的是什麼，沒泄漏的又是什麼

先說沒泄漏的。

截至目前，Anthropic 對外最核心的說法仍是：沒有客戶數據，也沒有憑證。 如果這句話屬實，那麼這次事件就不應該被寫成一場傳統意義上的「大規模資料外洩」。

但泄漏的東西依然夠重。

Axios 的描述很直白，外界看到的是 Claude Code 的：

• 源碼結構
• 尚未正式推出的功能旗標
• 產品路線圖線索
• 部分內部模型性能資料

這些東西對普通用戶可能不如「帳號被盜」那麼直接，對競爭對手卻非常有價值。因為 AI 編碼工具打到今天，大家比拼的早就不只是聊天能力，而是整套工程產品怎麼包裝、怎麼調度、怎麼記憶、怎麼做長任務、怎麼安排代理協作。把這一層暴露出去，等於把很多本來應該靠時間和試錯才摸到的路，直接攤給了市場。

這件事為什麼會讓 Anthropic 尷尬

如果泄漏發生在一個本來就不太講安全敘事的公司身上，輿論可能只會把它當成一次普通失誤。但 Anthropic 不一樣。

在它自己的 Claude Code 安全文檔 裡，官方寫得很完整：

• 預設是嚴格的唯讀權限
• 執行額外動作時需要顯式批准
• Claude Code 只能訪問啟動目錄及其子目錄
• 需要警惕 prompt injection 和 MCP 伺服器風險

這些保護都不是假的，而且對日常使用確實有意義。可這次出問題的地方，不在互動層，不在權限層，也不在 prompt injection，而是在 發布與供應鏈層。說得更白一點：Claude Code 在教大家怎麼安全地用 agent，可 Anthropic 自己先在打包流程上翻車了。

這種反差，會比單純的 bug 更傷品牌。

因為它會讓市場重新追問一個問題：一家把「安全第一」當成核心賣點的 AI 公司，真正需要守住的，到底只是模型行為，還是整個產品鏈條？

這次泄漏也順手拆掉了一個神話

另一個我覺得很值得寫清楚的地方是，Claude Code 的護城河可能本來就不完全在「神秘源碼」裡。

Anthropic 官方對 Claude Code 的定位其實一直很明確。根據 Claude Code overview，它是一個住在終端裡的 agentic coding tool，能編輯文件、執行命令、接入 MCP、協助 CI，而且本質上是建立在 Anthropic API 和模型能力之上的產品化外殼。

這意味著就算有人看到了更多工程細節，也不等於隔天就能複製出一個等價的 Claude Code。因為真正構成產品體驗的，還包括：

• 模型質量
• 響應速度與穩定性
• 上下文管理
• 產品默認設計
• 付費與帳戶體系
• 團隊內部的迭代速度

但話說回來，源碼被看到仍然會帶來兩種很實際的後果。

第一，競爭對手可以少走一些彎路。
第二，外部開發者會更清楚 Anthropic 打算把 Claude Code 往哪裡推。

所以這次事件最微妙的地方在於：它未必會直接削弱 Claude Code 當前的產品力，卻會削弱 Anthropic 對產品節奏和敘事節奏的控制力。

這件事還有一層更大的諷刺

TechCrunch 在 2025 年 4 月 25 日 曾報導，Anthropic 對一位試圖逆向 Claude Code 的開發者發過 DMCA takedown notice。當時的背景是，Anthropic 對 Claude Code 採取的是更封閉、更商業化的授權與發佈方式，也明顯不希望外界把它當成開源工具對待。

這就讓現在這次事件顯得格外諷刺。

一年前，Anthropic 還在努力阻止外界逆向。
一年後，它自己把更完整的工程材料打進了公開包裡。

我不是在說這兩件事是同一個性質。DMCA 是版權和授權問題，這次則是發布事故。可兩者放在一起看，確實會把一個尷尬事實照得很亮：你可以控制授權條款，卻不代表你就能控制實際分發出去的東西。

普通開發者真正該看的是什麼

對大多數開發者來說，這件事最值得關注的，不是 leaked repo 裡又挖出了什麼八卦功能，而是後面這三個問題：

1. Anthropic 會不會公開寫 postmortem

如果它只是默默把 2.1.89 推上去，卻不講清楚打包流程哪裡出了錯，那這件事留下的陰影不會很快消失。對基礎設施型產品來說，修掉 bug 和 解釋 bug，是兩回事。

2. 它會不會把發版檢查做得更硬

這次事件最像傳統軟體工程裡的一種老問題：該排除的 artifact 沒排除，該攔截的文件沒攔截。對 Anthropic 來說，後續能不能補上：

• publish allowlist
• source map 禁止規則
• pre-publish 審計
• 自動化 artifact 檢查

這些比任何 PR 聲明都更重要。

3. Claude Code 的路線圖會不會因此加速變透明

Axios 提到泄漏暴露了未上線功能與更長期的 agent 方向。這件事未必全是壞事。對開發者生態來說，過去大家對 Claude Code 的很多推測，現在會更快轉成明確預期。壞的一面是 Anthropic 被迫失去主導節奏；好的一面是市場會更早知道它打算做什麼。

我的結論

這次 Claude Code 源碼泄漏，不是那種會讓普通用戶立刻去改密碼的事故，但也絕對不是一句「沒有客戶數據泄漏」就能輕鬆帶過的小插曲。

它真正暴露出來的，是 Anthropic 在產品供應鏈和發布紀律上的脆弱點。更直接一點說：你可以把模型安全做得很漂亮，但如果公開分發流程出錯，整個“安全優等生”的敘事一樣會掉分。

我不覺得這件事會把 Claude Code 打下來。產品太強，黏性也已經夠高。可它確實改變了外界看這家公司的方式。

從現在開始，大家評價 Anthropic 的「安全」，不會只看模型會不會亂說話，也會看它能不能把自己的產品包，先打對。

參考來源

• Axios：Anthropic leaked 500,000 lines of its own source code
• Anthropic Docs：Claude Code overview
• Anthropic Docs：Claude Code security
• Anthropic Docs：Claude Code data usage
• TechCrunch：Anthropic sent a takedown notice to a dev trying to reverse-engineer its coding tool
• npm：@anthropic-ai/claude-code