首先要跟大家說一句，這并非愚人節(jié)的惡搞故事，而是在大洋彼岸真實發(fā)生的事故。

2026年3月31日，一位名叫Chaofan Shou的小伙兒，在馬斯克旗下的X社交平臺上披露了Anthropic公司旗下大模型工具Claude Code的源代碼，引發(fā)全球程序員的廣泛關(guān)注。

Claude Code的在npm注冊表中發(fā)布的公開包（@anthropic-ai/claude-code）包含一個59.8 MB的源映射文件（cli.js.map）——我不太懂技術(shù)，但據(jù)說就是這個文件直接導(dǎo)致了Claude Code超過1900個文件、總計約51.2萬行TypeScript代碼被公開。

這并非黑客攻擊行為，而是Anthropic公司內(nèi)部構(gòu)建流水線的配置疏漏。

但Chaofan Shou的發(fā)現(xiàn)立即引發(fā)全球開發(fā)者的廣泛關(guān)注，相關(guān)代碼備份倉庫在半小時內(nèi)獲得超過5000個星標(biāo)。

由于Chaofan Shou的這次曝光，全球技術(shù)人員得以一窺Claude Code的內(nèi)部架構(gòu)：

約1900個TypeScript文件、51.2萬余行代碼、內(nèi)置近40項功能工具、約50條斜杠快捷指令。

Claude Code的代碼顯示其核心包含一個長達(dá)4.6萬行的“超級大腦”文件（QueryEngine.ts）。此外，代碼中還挖掘出了從未發(fā)布的隱藏功能，如代號為“Kairos”的模塊。

Kairos是一個具備持久生命周期的自主守護(hù)進(jìn)程，支持后臺會話與記憶整合，可在用戶空閑時執(zhí)行“autoDream”記憶整合邏輯；

Undercover Mode（臥底模式）可自動抹除提交記錄中的AI痕跡，且無法手動關(guān)閉；

Buddy System則內(nèi)嵌了一個包含18個物種的電子寵物系統(tǒng)。

此外，代碼還暴露了Anthropic的內(nèi)部模型路線圖，確認(rèn)“Capybara”是Claude 4.6變體的內(nèi)部代號，相關(guān)性能指標(biāo)（如v8版本29-30%的錯誤率）也一并公開。

是的，2026年3月31日，Claude Code竟以如此戲劇性的方式向全世界開源了！

Chaofan Shou是一個年輕小伙兒

這位年輕小伙兒就是Chaofan Shou，照片來自他的個人博客。看他的長相，我猜測他可能是一名華裔。

據(jù)公開資料顯示，Chaofan Shou一直以來做的就是網(wǎng)絡(luò)安全相關(guān)的工作。

他在2021年12月畢業(yè)于加州大學(xué)圣塔芭芭拉分校（UCSB），僅用2年時間，就獲得該校計算機(jī)科學(xué)理學(xué)學(xué)士學(xué)位。

2022年起，Chaofan Shou就讀于加州大學(xué)伯克利分校（UC Berkeley）計算機(jī)科學(xué)系，攻讀計算機(jī)科學(xué)博士研究生，加入著名的加州大學(xué)伯克利分校天空計算實驗室（Sky Computing Lab），師從Koushik Sen教授。

Chaofan Shou的研究方向主要集中在程序分析、分布式系統(tǒng)以及區(qū)塊鏈安全領(lǐng)域，他原本將于2027年畢業(yè)。不過目前他已經(jīng)從加州大學(xué)伯克利分校退學(xué)創(chuàng)業(yè)，并未完成博士學(xué)位。

2021年12月到2022年6月，Chaofan Shou曾在CRM軟件公司Salesforce擔(dān)任安全工程師，應(yīng)該是實習(xí)工作。

2022年6月到9月，Chaofan Shou又在區(qū)塊鏈安全創(chuàng)業(yè)公司Veridise里任職軟件工程師，專注于模糊測試工具開發(fā)，深耕漏洞挖掘與自動化安全測試技術(shù)，也是短暫實習(xí)。

Chaofan Shou在2022年還參與創(chuàng)辦了一家網(wǎng)絡(luò)安全公司——Fuzzland，這是一家專注于Web3安全與智能合約分析的公司，致力于通過AI驅(qū)動的自動化技術(shù)（如模糊測試、形式驗證、靜態(tài)與動態(tài)分析）為區(qū)塊鏈項目、審計員和交易者提供實時漏洞檢測與防御能力。

據(jù)悉，Chaofan Shou帶領(lǐng)的Fuzzland團(tuán)隊曾防止超過4000萬美元的鏈上黑客攻擊。

2024年2月，F(xiàn)uzzland曾完成300萬美元融資，投資方包括1kx、HashKey Capital（哈希資本）、SNZ等機(jī)構(gòu)。

當(dāng)時有報道稱Chaofan Shou的年齡是23歲，以此倒推，Chaofan Shou出生于2001年。

2025年1月，F(xiàn)uzzland已經(jīng)被Solayer正式收購。

還有一個細(xì)節(jié)：

2024年，Chaofan Shou還曾聯(lián)手上海交通大學(xué)的朱浩瑾教授、陳國興副教授、孟巖副研究員、祝童等人一起發(fā)表了一篇論文，聚焦廣告欺詐溯源、系統(tǒng)攻防檢測等前沿方向，主要用于互聯(lián)網(wǎng)廣告流量反作弊項目。

這個論文所在的項目還在2024年12月15日的第31屆國際廣告節(jié)上獲得了中國廣告長城獎學(xué)術(shù)類唯一金獎。

論文作者中，朱浩瑾、陳國興、孟巖三人均為上海交通大學(xué)計算機(jī)學(xué)院人工智能與認(rèn)知安全研究所的成員。

另外，CEO來信君發(fā)現(xiàn)，Chaofan Shou在2020年曾作為交換生，在上海交通大學(xué)網(wǎng)絡(luò)安全與隱私保護(hù)實驗室（NSEC lab）學(xué)習(xí)過。當(dāng)時這個實驗室的三位教師就是朱浩瑾、孟巖和陳國興。

NSEC lab官網(wǎng)介紹中提到過Chaofan Shou

Chaofan Shou憑借其計算機(jī)技術(shù)背景，從2016年就開始做網(wǎng)絡(luò)漏洞挖掘工作，曾幫助中國互聯(lián)網(wǎng)公司（如BD、WY）、國外公司推特、谷歌Nest智能家居、三星、實時數(shù)據(jù)分析引擎RisingWave等許多平臺找到過高危漏洞或用戶隱私泄露漏洞。

Chaofan Shou靠漏洞挖掘累計獲得獎金約190萬美元。不過他也挺能賠的——

Chaofan Shou在其個人博客的末尾寫道：“我曾依托強(qiáng)化學(xué)習(xí)+大模型微調(diào)技術(shù)，開展杠桿ETF、合約、期權(quán)量化交易，最終收益率巨虧92%（苦笑）。”

有報道稱，Chaofan Shou在幣圈投資這件事上，共損失了約200萬美元。

看來再聰明的人，也很難躲得過屬于自己的“鐮刀”。

如果Chaofan Shou真的是2001年出生的，那他今年才25歲，這么年輕就已經(jīng)將一個世界級的大模型工具徹底開源了，厲害厲害！

最后是Claude Code源代碼泄露后的影響，后果還是蠻嚴(yán)重的：

Claude Code年化ARR（經(jīng)常性收入）已達(dá)25億美元，企業(yè)客戶貢獻(xiàn)80%的收入。

此次泄露可能會導(dǎo)致行業(yè)門檻被大幅拉低。

競爭對手可直接參照Anthropic的工程藍(lán)圖——從三層記憶架構(gòu)到2500+行的bash驗證邏輯，大幅壓縮了AI Agent領(lǐng)域的研發(fā)門檻。

中小型團(tuán)隊不用再從零摸索架構(gòu)，就能快速復(fù)刻同類AI編程工具，后續(xù)Claude Code的同類產(chǎn)品很可能會扎堆涌現(xiàn)，市場競爭會更快進(jìn)入白熱化。

Anthropic要小心為他人做嫁衣的風(fēng)險。

另外，盡管此次只泄露了工具層邏輯，沒泄露AI大模型本體和用戶隱私數(shù)據(jù)，不會引發(fā)大規(guī)模數(shù)據(jù)安全風(fēng)波。

但由于Claude Code本身就是被授權(quán)在用戶電腦上執(zhí)行命令的——它能讀寫文件、運行Shell命令、安裝軟件包。

用戶把Claude Code當(dāng)“可信助手”使用，授予了較高權(quán)限。如果攻擊者了解了它的安全邏輯，誘導(dǎo)Claude Code在用戶授權(quán)范圍內(nèi)執(zhí)行惡意操作，那幾乎等同于直接控制了用戶的開發(fā)環(huán)境，后患無窮。

要知道，這已是Anthropic一周內(nèi)第二次出現(xiàn)安全事故——5天前他們曾因CMS配置錯誤泄露了約3000份內(nèi)部資料。

對于一家估值3800億美元、正在籌備IPO的公司而言，Anthropic頻繁出現(xiàn)基礎(chǔ)設(shè)施配置失誤，暴露了其工程運維的系統(tǒng)性薄弱。

這次泄露讓行業(yè)第一次完整看到頂級AI Agent的工程實現(xiàn)，既為競爭對手提供了“免費教材”，也對其他AI公司的安全成熟度作出了嚴(yán)肅警示。