Anthropic 自曝源代碼後發出 8000+ 版權撤除請求，「安全至上」人設遭遇最尷尬一週

作者：深潮 TechFlow

Anthropic 因一次 npm 發佈配置失誤，將旗下最賺錢產品 Claude Code 的全部源代碼意外公開。約 51.2 萬行 TypeScript 代碼在數小時內被數萬名開發者鏡像、拆解、用 AI 改寫成 Python和 Rust 版本。Anthropic 隨即向 GitHub 發出 DMCA 版權撤除請求，波及約 8100 個代碼倉庫，但因誤傷大量無關項目引發社區強烈反彈，最終被迫撤回絕大部分請求，僅保留對 1 個倉庫及 96 個分叉的撤除。這是 Anthropic 一週內第二次重大洩露事故，距其 Mythos 模型信息洩露僅隔五天。

以「AI 安全」為品牌核心的 Anthropic，正經歷創立以來最難堪的一週。

據《華爾街日報》4月 1 日報道，Anthropic 在3月 31 日的一次常規版本更新中，因構建流程中的人為操作失誤，將 Claude Code 的完整源代碼隨 npm 包一同發佈。安全研究員 Chaofan Shou 於美東時間凌晨 4:23在 X 平臺公開了下載鏈接，帖子瀏覽量迅速突破 2100 萬。數小時內，代碼被鏡像至 GitHub 並獲得數萬顆星標，一位韓國開發者 Sigrid Jin 甚至在天亮前就用 AI 工具將整個代碼庫改寫為 Python 版本，該項目兩小時內收穫 5 萬顆 GitHub 星標，很可能創下該平臺歷史上增長最快的紀錄。

Anthropic 發言人向 CNBC 確認了洩露事實，稱「這是一次由人為錯誤導致的發佈打包問題，不是安全漏洞。未涉及或暴露任何敏感客戶數據或憑證。」

一個缺失的配置項，洩露了 51.2 萬行核心代碼

洩露的技術原因並不複雜。Claude Code 基於 Bun（Anthropic 於2025 年底收購的 JavaScript 運行時工具）構建，Bun 默認會生成 source map 調試文件。發佈團隊在推送 npm 包時，未在.npmignore 配置中排除該文件，導致一個 59.8MB的 source map 文件隨 Claude Code 2.1.88 版本一同上線。這個文件包含了約 1900個 TypeScript 源文件的完整內容，總計約 51.2 萬行代碼，可讀、有註釋、未經任何混淆處理。

Claude Code 負責人 Boris Cherny 承認，「我們的部署流程有幾個手動步驟，其中一步沒有正確執行。」他補充說，團隊已經修復了問題並正在增加更多自動化檢查，同時強調這類錯誤指向流程或基礎設施問題，而非某個人的責任。

這並非首次發生。2025年 2 月，一次幾乎相同的 source map 洩露曾暴露過 Claude Code 早期版本的源代碼。同一類事故在 13 個月內重演，令外界對這家估值約 3800 億美元、正籌備 IPO 的公司的運營成熟度產生疑問。

開發者從洩露代碼中發現了什麼

洩露的代碼庫相當於 Anthropic 從未打算公開的一份產品路線圖。據 VentureBeat 和多位開發者的分析，代碼中包含 44 個功能開關（feature flag），其中超過 20 項是已完成開發但尚未發佈的功能。

其中最受關注的包括：一個名為「KAIROS」的自主守護進程模式，允許 Claude Code 在用戶空閒時作為後臺持續運行的智能體自主工作，能週期性地修復錯誤、執行任務並向用戶發送推送通知；一套三層「自愈式記憶」架構，通過名為「dreaming」的記憶整合過程，在後臺合併分散的觀察結果、消除邏輯矛盾；以及一個完整的多智能體協調系統，可將 Claude Code 從單一智能體轉變為能並行生成、指揮和管理多個工作智能體的協調器。

爭議最大的發現是一個名為 undercover.ts 的文件。據 The Hacker News 報道，該文件約 90 行代碼，在 Anthropic 員工使用 Claude Code 向開源項目提交代碼時，會注入系統提示，指示 Claude 絕不透露自己是 AI，並剝除所有 Co-Authored-By 歸屬標註。代碼中寫道：「你正在一個公共/開源代碼倉庫中執行臥底任務。你的提交信息、PR 標題和 PR 正文絕不能包含任何 Anthropic 內部信息。不要暴露你的身份。」

此外，代碼還包含一個 ANTI_DISTILLATION_CC 標記，會向 API 請求中注入偽造的工具定義，目的是汙染競爭對手可能截獲的訓練數據。代碼中同樣出現了 Anthropic 內部模型代號：Capybara 對應一個尚未發佈的新模型層級，Fennec 對應現有的 Opus 4.6。這與五天前 Anthropic因 CMS 配置失誤洩露的 Mythos 模型信息相互印證。

網絡安全公司 Code Wall 創始人 Paul Price對 Business Insider 表示，此次洩露「與其說造成了實際損害，不如說令人尷尬。真正有價值的核心是其內部模型權重，那些並未洩露。」但他也指出，Claude Code 是「目前設計最好的智能體工具架構之一，現在我們能看到他們如何解決那些困難問題了」，這對競爭對手而言具有明顯的情報價值。

8100 個倉庫遭誤封，DMCA 撤除「翻車」引發更大反彈

代碼擴散後，Anthropic 迅速依據美國《數字千年版權法》（DMCA）向 GitHub 提交版權撤除請求。據 GitHub 公開記錄，該請求最初波及約 8100 個代碼倉庫。但問題在於，被撤除的倉庫不僅包含洩露代碼的鏡像，還包括 Anthropic 自身公開發布的 Claude Code 官方倉庫的合法分叉。

大量開發者在 X 平臺表達憤怒。開發者 Danila Poyarkov 報告稱，自己僅僅是分叉了 Anthropic 的公開倉庫就收到了撤除通知。另一位用戶 Daniel San 收到的 GitHub 郵件顯示，被撤除的倉庫僅包含技能示例和文檔，與洩露代碼毫無關係。有開發者直言：「Anthropic 的律師剛醒過來就在撤除我的倉庫。」

面對社區反彈，Anthropic 在4月 1 日部分撤回了請求。據 GitHub 上的撤回記錄，Anthropic 將撤除範圍縮減至 1 個倉庫（nirholas/claude-code）及原始通知中單獨列出的 96 個分叉 URL，其餘約 8000 個倉庫的訪問權限已由 GitHub 恢復。

Anthropic 發言人向 TechCrunch 表示：「通知中指定的倉庫屬於與我們公開 Claude Code 倉庫相連的分叉網絡，因此撤除波及的倉庫超出了預期。我們已撤回除一個倉庫外的所有通知，GitHub 已恢復對受影響分叉的訪問。」

代碼已在去中心化平臺永久存檔，DMCA 效力有限

Anthropic 的版權撤除行動面臨一個根本性困境：代碼已經不可逆地擴散。

據 Decrypt 報道，去中心化 Git 平臺 Gitlawb 已鏡像了完整原始代碼，附註稱「永遠不會被撤除」。DMCA 對中心化平臺（如 GitHub）有效，因為後者必須依法執行，但對去中心化基礎設施無法施加管轄權。洩露發生數小時內，代碼就已通過足夠多的鏡像和不同類型的基礎設施實現了事實上的永久公開。

更具諷刺意味的是，韓國開發者 Sigrid Jin 用 AI 編排工具 oh-my-codex 將整個代碼庫從 TypeScript 改寫為 Python，項目名為 claw-code。The Pragmatic Engineer 創始人 Gergely Orosz在 X 平臺指出，這是「乾淨室改寫」（clean-room rewrite），構成獨立的創作作品，在設計上就是 DMCA 無法觸及的。如果 Anthropic 主張 AI 改寫的代碼仍然侵權，這恰恰會削弱 AI 公司在訓練數據版權訴訟中的核心抗辯邏輯——即 AI 從受版權保護的輸入生成的輸出構成合理使用。

版權立場的尷尬：自己打臉還是法律必需？

此次事件中最受社區關注的張力在於版權立場的矛盾。Anthropic 在2025年 9 月被法院判決因使用盜版書籍和影子圖書館訓練 Claude 而賠償 15 億美元；Reddit 於2025年 6 月起訴 Anthropic 未經授權抓取用戶生成內容用於模型訓練。一家因訓練數據版權問題身陷多起訴訟的公司，轉身使用版權法來保護自己的代碼，社區反應可以預見。

Slashdot 上的高贊評論直接概括了這種情緒：「‘我們公開發布的、用偷來的東西賺錢的東西，你們怎麼敢偷！’——這真是個立場。」另一位用戶則認為，從法律策略角度看，DMCA 行動並非毫無道理：「如果 Anthropic 將來想追究其他公司使用其代碼的責任，而他們連讓分發者撤除都沒有嘗試過，那在法庭上說不過去。」

這一爭論還涉及 AI 生成代碼的版權歸屬這一前沿法律問題。據 Gartner和 Anthropic 此前的公開披露，Claude Code 約90%的代碼由 AI 生成。美國聯邦法院在 2025年 3 月裁定 AI 生成的作品因缺乏人類作者身份而不享有版權保護，最高法院於 2026年 3 月拒絕受理上訴。如果 Claude Code 的大部分代碼確實由 Claude 自己編寫，Anthropic 的版權主張在法律上就存在實質性的不確定性。

一週兩次洩露，IPO 前夕的運營安全警報

此次源代碼洩露距離 Anthropic 上一次洩露事件僅隔五天。3月 26 日，《財富》雜誌報道稱，Anthropic 因內容管理系統的配置失誤，導致近 3000 份未發佈的內部文件暴露在公開可檢索的數據緩存中，其中包含即將發佈的 Claude Mythos 模型的詳細信息。兩起事故均被歸因於「人為錯誤」。

這些事故的時間節點敏感。Anthropic 於2026年 2 月完成 300 億美元 G 輪融資，估值達 3800 億美元，據報道正在籌備最早於 2026年 10 月進行的 IPO，預計融資規模可能超過 600 億美元。高盛、摩根大通和摩根士丹利均已在早期接洽中。Claude Code 年化收入已超過 25 億美元，是公司最重要的收入引擎。TechCrunch 指出，對於正在準備上市的公司而言，洩露源代碼意味著幾乎必然面臨股東訴訟。

VentureBeat 在事件分析中提出了一個更尖銳的問題：Anthropic 在 3 月發生了十餘起事故，但僅公開發布過一份事後報告，第三方監控系統檢測到故障的時間比 Anthropic 自己的狀態頁面早了 15 到 30 分鐘。一家正以 3800 億美元估值駛向公開市場的公司，其運營透明度與成熟度是否匹配得上這個估值，投資者需要自己判斷。