3月31日凌晨，一个59.8MB的调试文件，让AI行业最炙手可热的公司之一陷入了一场始料未及的危机。

Anthropic在向公共npm注册表推送Claude Code 2.1.88版本时，意外将一份仅供内部调试使用的JavaScript源映射文件（.map）打包进去，公开发布。这份文件背后，是完整的512,000行TypeScript源代码。

凌晨4点23分，Solayer Labs实习生邵超凡在X平台发现并公开了这一漏洞，附上了直接下载链接。几小时之内，这份代码被镜像至GitHub，该仓库随即成为GitHub历史上分叉速度最快的项目之一，截至当日已被复制超过41,500次，数千名开发者同时涌入分析。

Anthropic随后确认了事故，发表声明称："此次发布打包问题由人为失误导致，并非安全入侵，未涉及任何敏感客户数据或凭证。"

但对于一家年化营收已达190亿美元、Claude Code单品年化经常性收入突破25亿美元的公司来说，这句话只是止血，不能止痛。

一套精密的"记忆操作系统"，就此公之于众

竞争对手从这次泄露中得到的最有价值的东西，不是某个具体功能，而是Anthropic解决AI代理"记忆失控"问题的完整思路。

长期运行的AI代理面临一个几乎所有团队都在暗中挣扎的难题：随着会话复杂度增加，模型越来越容易产生混乱和幻觉。泄露的源代码显示，Anthropic为此构建了一套三层记忆架构，彻底抛弃了"存储一切"的传统路线。

核心是一个名为MEMORY.md的轻量级索引文件，每行约150字符，始终加载在上下文中，但它不存储数据，只存储"数据在哪里"。具体知识分散在各个"主题文件"中，按需调取。原始对话记录从不完整地读回上下文，只被"grep"（精确检索）以提取特定标识符。更关键的一点是所谓"严格写入纪律"：代理只有在成功完成文件写入之后，才被允许更新记忆索引，从而防止失败尝试污染上下文。

这套架构的设计哲学，被分析它的开发者总结为"建立一个持怀疑态度的记忆"：代理被明确指令，将自身记忆视为"提示"而非事实，在采取任何行动之前，必须先与实际代码库核实。

泄露代码还揭开了一个名为"KAIROS"（源自古希腊语"恰当时机"）的功能，这个标志在源码中出现超过150次。KAIROS代表着一种全新的交互模式：一个始终在线的后台守护进程。它通过名为autoDream的机制，在用户空闲时执行"记忆整合"，合并零散观察、消除逻辑矛盾、将模糊推断转化为确定性结论。当用户重新回来时，代理的上下文已经经过了一次"睡眠整理"，干净而高度相关。

一个名为"Undercover Mode"（卧底模式）的特性引发了最广泛的讨论。泄露的系统提示中明确写道："你正在卧底行动……你的提交信息中绝对不能包含任何Anthropic内部信息，不要暴露你的身份。"这意味着，Anthropic使用Claude Code以匿名方式向公共开源仓库提交代码贡献，代码日志中不会留下任何AI痕迹。这一能力，对于希望在公开项目中低调使用AI的企业客户而言，几乎是刚需级功能。

泄露的内容还包含内部模型代号与测试数据：Capybara对应Claude 4.6变体，Fennec对应Opus 4.6，尚未发布的Numbat仍在测试中。更令人关注的是内部指标：Capybara v8版本的虚假陈述率高达29%至30%，相比v4版本的16.7%出现明显退步，表明Anthropic在前沿模型迭代中仍面临相当程度的可靠性挑战。

泄露之外，还有一枚真正的炸弹

然而，对普通用户而言，真正紧迫的风险，或许不是源代码泄露本身，而是同一天发生的另一起事故。

就在Claude Code泄露事件发生的数小时前，广泛使用的JavaScript HTTP客户端axios的npm包遭到供应链攻击，朝鲜黑客被认为与此次攻击有关。在3月31日世界标准时间00:21至03:25之间，恶意版本axios 1.14.1和0.30.4被推送至npm，内嵌一个跨平台远程访问木马（RAT）。

如果在上述时间窗口内通过npm安装或更新了Claude Code，极有可能同时拉入了受感染版本的axios。安全研究人员建议，应立即检查项目锁文件中是否存在上述版本或依赖项plain-crypto-js，一旦发现，需将所在主机视为完全沦陷，轮换所有密钥，并重装操作系统。

Anthropic已将Native Installer指定为推荐安装方式，原因正是它使用独立二进制文件，不依赖波动性极高的npm依赖链。对于必须留在npm的用户，应确保已卸载2.1.88版本，并固定在2.1.86等经验证的安全版本。

两起事故在同一天交叠发生，不管是否纯属巧合，都让这个原本就已高度敏感的安全事件，变得更加复杂。