一個(gè)中國00后，把AI巨頭Anthropic的底褲扒個(gè)精光

事情是這樣的。

2026年3月31號(hào)，一個(gè)叫Chaofan Shou的小伙子在X上發(fā)了條帖子，輕描淡寫地說自己從Claude Code的npm包里扒出來了51萬行源碼。

就這一條帖子，炸了。

全球科技圈，從硅谷到深圳，從Hacker News到V2EX，所有跟AI沾邊的人都在討論這件事。因?yàn)檫@個(gè)被扒出來的不是什么邊角料，是Anthropic旗下最核心的AI編程工具Claude Code的完整源代碼，一字不落。

而且扒出來之后，Chaofan的態(tài)度是，太沒意思了。

他說Claude的代碼亂七八糟的，遠(yuǎn)不如看OpenCode和Codex有意思。

我當(dāng)時(shí)看到這個(gè)態(tài)度就笑了。

這人不是什么普通的技術(shù)宅，這人是個(gè)狠角色。

Claude Code，你如果沒用過的話，我簡單說一下。它是Anthropic做的AI編程助手，用命令行操作的那種，很多開發(fā)者天天離不了它，可以說是目前市面上最好的AI寫代碼工具之一。你讓它幫你寫個(gè)函數(shù)、修個(gè)bug、重構(gòu)個(gè)項(xiàng)目，它干得比大多數(shù)初級(jí)程序員還好。

所以這51萬行源碼的泄露，基本就等于Anthropic把自家的核心配方給公布到了大街上。

而干這事的人，是個(gè)中國00后。

Chaofan Shou，中文名壽超璠，今年25歲。

這哥們的人生履歷你聽完可能會(huì)有點(diǎn)懵。

上海人，小時(shí)候讀的是上海平和雙語學(xué)校。然后去了美國加州大學(xué)圣塔芭芭拉分校讀計(jì)算機(jī)，三年畢業(yè)，GPA 4.0滿分。接著去了加州大學(xué)伯克利分校讀博士，讀了兩三年，輟學(xué)了。

你沒看錯(cuò)，UC Berkeley的CS博士，讀了兩年多，不讀了。

為啥呢，因?yàn)樗l(fā)現(xiàn)了更重要的事。

在伯克利讀書期間，他順手做了點(diǎn)副業(yè)，挖安全漏洞。就是那種幫大公司找系統(tǒng)安全問題的白帽黑客，找到了公司給你錢的那種。

Twitter，他挖過。Google Chrome，他挖過。上海市政府的系統(tǒng)，他也挖過。

2020年到2022年，兩年多的時(shí)間，光靠挖漏洞拿到的賞金，累計(jì)大約190萬美元。

190萬美元。純靠一個(gè)人，一臺(tái)電腦，找漏洞。

很多朋友可能對(duì)漏洞賞金沒什么概念。這不是你提交一個(gè)bug就能拿錢的，你得找到別人找不到的、足夠嚴(yán)重的安全漏洞，而且是在Facebook、Twitter、Google這種全球最頂尖的安全團(tuán)隊(duì)眼皮底下找到的。

能做到這個(gè)水平的白帽黑客，全世界也沒幾個(gè)。

但Chaofan的故事不止于此。

他后來創(chuàng)辦了一家叫Fuzzland的公司，做Web3安全，幫客戶追回了超過3000萬美元的被盜資產(chǎn)。這家公司后來被Solayer Labs收購了。他還去過Salesforce做安全工程師，也創(chuàng)過業(yè)做智能合約自動(dòng)化測試工具。

你注意到?jīng)]有，這哥們從頭到尾就沒在一家公司老老實(shí)實(shí)上過班，全是搞自己的事，搞安全、搞區(qū)塊鏈、搞創(chuàng)業(yè)。

直到2026年3月31號(hào)，他做了一件讓整個(gè)AI行業(yè)都記住了他的名字的事。

那天，他發(fā)現(xiàn)Anthropic發(fā)布了一個(gè)新版本的Claude Code，版本號(hào)v2.1.88。

這個(gè)版本有個(gè)問題。

Anthropic用了他們收購的一家公司開發(fā)的打包工具叫Bun，這個(gè)工具在打包的時(shí)候犯了個(gè)低級(jí)錯(cuò)誤，把一個(gè)大約60MB的source map文件一起打包發(fā)布到了npm上。

source map是什么東西呢，我簡單解釋一下。前端開發(fā)的時(shí)候，代碼經(jīng)過壓縮和編譯之后會(huì)變得面目全非，變量名全變成了a、b、c，根本看不懂。source map就是一張「對(duì)照表」，能把壓縮后的代碼和原始代碼一一對(duì)應(yīng)起來。

Anthropic不小心把這個(gè)對(duì)照表給放出去了。

60MB的對(duì)照表里，包含了Claude Code近2000個(gè)源碼文件、超過51萬行TypeScript代碼。

完整的。一字不落的。

任何人都可以從npm上下載這個(gè)包，然后通過source map還原出全部源代碼。

Chaofan看到了，覺得這事兒挺有意思的，就在X上發(fā)了條帖子。

然后，全球的AI安全研究員、開發(fā)者、好奇寶寶們，全部涌入npm下載這個(gè)包。

緊接著，有人把還原出來的源代碼傳到了GitHub上，好幾個(gè)倉庫的Star數(shù)在幾小時(shí)內(nèi)就沖到了幾萬。

Anthropic慌了。

他們趕緊發(fā)了一個(gè)官方聲明，確認(rèn)泄露屬實(shí)。然后火速發(fā)布了一個(gè)新版本v2.1.90，刪掉了source map文件。

但源代碼已經(jīng)傳遍全網(wǎng)了，刪npm包根本沒用。

所以Anthropic做了一個(gè)后來被證明更加愚蠢的決定。

他們啟動(dòng)了DMCA投訴，向GitHub發(fā)起了大規(guī)模的下架請(qǐng)求。

DMCA，數(shù)字千年版權(quán)法，是美國用來保護(hù)知識(shí)產(chǎn)權(quán)的。簡單說就是，你覺得有人侵犯了你的版權(quán)，可以向平臺(tái)投訴，平臺(tái)會(huì)把內(nèi)容下架。

聽起來很正常對(duì)吧。

但Anthropic的操作是，用自動(dòng)化腳本批量投訴，只要檢測到倉庫里有關(guān)鍵詞匹配就直接投訴。

結(jié)果呢。

8100個(gè)GitHub倉庫被波及。

8100個(gè)。

其中絕大多數(shù)根本不是泄露代碼的鏡像，而是普通開發(fā)者的合法項(xiàng)目。有些是基于Claude Code官方API做的開源工具，有些甚至只是Anthropic自己公開倉庫的合法fork。

一個(gè)做AI編程工具的公司，用自動(dòng)化腳本把自己用戶的項(xiàng)目給刪了。

這種操作，你敢信？？？

開發(fā)者們?cè)赥witter上炸了鍋，憤怒到不行。很多人打開GitHub發(fā)現(xiàn)自己的項(xiàng)目直接404了，連個(gè)預(yù)警都沒有。有些人在上面做了幾個(gè)月的項(xiàng)目，一夜之間就沒了。

Anthropic后來不得不承認(rèn)這是個(gè)「意外」，撤回了大部分DMCA通知，只保留了最初那個(gè)泄露倉庫和它的96個(gè)直接fork。

Claude Code的負(fù)責(zé)人Boris Cherny出來回應(yīng)說，這個(gè)誤刪是因?yàn)橥ㄖ付ǖ膫}庫是他們自己公開倉庫的分支網(wǎng)絡(luò)的一部分，所以影響范圍超出了預(yù)期。

但說實(shí)話，這個(gè)解釋我聽完就覺得有點(diǎn)蒼白。

你在做AI編程工具，你自己的維權(quán)工具卻智障到連目標(biāo)倉庫都選不準(zhǔn)，這就很諷刺了。

而且這事發(fā)生在一家據(jù)說正在籌備IPO的公司身上。這種級(jí)別的合規(guī)失誤，在上市公司里是要吃官司的。

不過這都不是最精彩的部分。

最精彩的是源代碼泄露之后，大家扒出來的那些Anthropic藏起來的秘密功能。

第一個(gè)，叫Kairos。

這是一個(gè)后臺(tái)守護(hù)進(jìn)程，就算你把Claude Code的終端窗口關(guān)了，它也能在后臺(tái)持續(xù)運(yùn)行。它有一個(gè)周期性的心跳檢查機(jī)制，會(huì)自己判斷有沒有新操作需要執(zhí)行。還有一個(gè)叫AutoDream的記憶系統(tǒng)，在你不用的時(shí)候，它會(huì)「做夢(mèng)」，對(duì)當(dāng)天的對(duì)話記錄進(jìn)行反思，提取有價(jià)值的信息，整理成持久記憶，為下一次會(huì)話做準(zhǔn)備。

你品品這個(gè)設(shè)計(jì)。Claude Code不光在幫你寫代碼的時(shí)候在「思考」，你不在的時(shí)候它也在「思考」，在整理關(guān)于你的記憶。

這玩意有個(gè)專門的名字叫PROACTIVE標(biāo)志，意思就是它可以主動(dòng)給你推送「你沒問但它覺得你應(yīng)該看看」的內(nèi)容。

第二個(gè)，叫Undercover Mode。

臥底模式。

這個(gè)功能的設(shè)定是，允許Anthropic的員工或者Claude Code這個(gè)AI，在開源社區(qū)里提交代碼的時(shí)候，隱藏自己是AI的身份。不準(zhǔn)在提交里提到Claude Code，不準(zhǔn)使用「Co-Authored-By: AI」這種標(biāo)簽，不準(zhǔn)暴露任何跟Anthropic相關(guān)的信息。

我就不說是誰了，但開源社區(qū)對(duì)這種事的容忍度是零。

你想想看，你在GitHub上一個(gè)開源項(xiàng)目里認(rèn)真做代碼review，對(duì)面有個(gè)看起來跟你一樣的人類開發(fā)者，但其實(shí)是AI在模擬人類提交代碼，而且還不告訴你。

這種事一旦坐實(shí)，整個(gè)開源社區(qū)的信任體系都會(huì)動(dòng)搖。

第三個(gè)叫Buddy。

是個(gè)虛擬寵物小助手，類似微軟Office里那個(gè)經(jīng)典的回形針Clippy，但用ASCII藝術(shù)做的小動(dòng)物形象，有18種不同的造型，戴個(gè)小帽子，在你寫代碼的時(shí)候偶爾蹦出來冒個(gè)泡。

這個(gè)倒沒什么爭議，就是挺可愛的。

除了這些，代碼里還暴露了一個(gè)讓開發(fā)者集體暴怒的bug。

Claude Code在恢復(fù)會(huì)話的時(shí)候，會(huì)錯(cuò)誤地出現(xiàn)「緩存未命中」。聽起來是個(gè)技術(shù)細(xì)節(jié)對(duì)吧，但這個(gè)bug的后果很嚴(yán)重。

緩存命中和全量推理之間的Token價(jià)格差10倍。

10倍。

也就是說，你本來可以用1塊錢解決的問題，因?yàn)檫@個(gè)bug變成了10塊錢。你充了100塊想著能用10天的額度，可能1天就燒完了。

更關(guān)鍵的是，開發(fā)者回溯之后發(fā)現(xiàn)，這個(gè)bug從v2.1.69版本就已經(jīng)存在了。直到源碼泄露被公開指出來之后，Anthropic才在v2.1.90版本里修了。

更耐人尋味的是，有人發(fā)現(xiàn)Claude Code會(huì)在系統(tǒng)提示詞的隱藏塊里插入一個(gè)x-anthropic-billing-header字符串，這個(gè)字符串會(huì)讓每一個(gè)新對(duì)話的系統(tǒng)提示詞前綴都變得不一樣。

不一樣就代表緩存永遠(yuǎn)命中不了。

這是不是故意的，我不知道。但很多開發(fā)者看完之后都在問同一個(gè)問題。

所以你看，這一串事情連起來就很有意思了。

一個(gè)25歲的中國小伙子，因?yàn)閷?duì)Anthropic早有不滿，去年就公開指責(zé)他們借著安全審查的幌子竊取用戶代碼，然后今年3月底偶然發(fā)現(xiàn)了Claude Code的源碼泄露，一發(fā)帖子就引爆了全球。

然后Anthropic在慌亂中用自動(dòng)化腳本亂刪了一堆合法倉庫，引發(fā)了更大的信任危機(jī)。

然后大家在源碼里發(fā)現(xiàn)了臥底模式、發(fā)現(xiàn)了Token計(jì)費(fèi)的疑點(diǎn)、發(fā)現(xiàn)了Anthropic一直在藏著的未來計(jì)劃。

如果Chaofan去年沒有公開懟Anthropic，今年他又偶然發(fā)現(xiàn)了源碼泄露，但只是默默報(bào)告給了Anthropic，你覺得會(huì)發(fā)生什么。

Anthropic會(huì)悄悄發(fā)布一個(gè)新版修復(fù)，然后感謝他的報(bào)告，給他發(fā)一封郵件，也許給他一筆漏洞賞金。

51萬行源碼的秘密功能，Undercover模式，Kairos守護(hù)進(jìn)程，Token計(jì)費(fèi)的bug，這些全部會(huì)被永遠(yuǎn)埋在Anthropic的內(nèi)部。

沒有一個(gè)人會(huì)知道。

但是Chaofan不是那種人會(huì)做的事。

他去年就在公開場合指責(zé)Anthropic竊取用戶代碼，說明他早就對(duì)這家公司「有話說」了。今年發(fā)現(xiàn)源碼泄露，他選擇公開，而不是私下報(bào)告。

我個(gè)人覺得，這兩種選擇各有各的道理。私下報(bào)告是白帽黑客的傳統(tǒng)做法，公開披露則是想讓所有人都知道發(fā)生了什么。

不管你支持哪種做法，有一點(diǎn)是確定的。

Chaofan Shou這個(gè)人，用一種最直接的方式，給了AI行業(yè)一記響亮的耳光。

他在告訴我們，這些市值幾百億美元的AI公司，他們的安全措施可能還不如一個(gè)25歲的中國小伙子的檢查仔細(xì)。他們口口聲聲說要保護(hù)用戶數(shù)據(jù)、要推動(dòng)AI安全，結(jié)果自己的源碼因?yàn)榇虬ぞ叩牡图?jí)錯(cuò)誤就泄露了，事后還用自動(dòng)化腳本誤刪了8100個(gè)無辜開發(fā)者的倉庫。

而Anthropic，一家被廣泛認(rèn)為是對(duì)AI安全最「認(rèn)真」的公司，在這次事件中暴露出來的問題，遠(yuǎn)不止源碼泄露本身。

從安全審查功能被指竊取用戶代碼，到Undercover臥底模式，到Token計(jì)費(fèi)的疑點(diǎn)，到DMCA維權(quán)的無差別轟炸。

這一連串的事情，讓我想起一句話。

黑暗森林里，你以為你是獵人，其實(shí)你一直是獵物。

只不過這次，獵物自己把自己暴露了。