2026 年 3 月，Anthropic 在 npm 发布时不小心把 source map 一起打包进了生产版本，导致 57MB 的 cli.js.map 文件公开暴露——里面直接包含了 1906 个 TypeScript ...

Anthropic 官方随后回应，此次事件属于「打包环节的人为失误」，并非安全入侵，没有任何用户数据或凭证遭到泄露。 Claude Code 之父 Boris Cherny 也在 X 上简短留言，确认这只是「开发者的操作失误」。

如今，Fork人数直破10万，GitHub上迅速涌现了大量包含Claude Code源码的项目。 Boris Cherny承认，这次大规模封禁纯属技术失误。目前，已经撤回了绝大部分下架请求。 Anthropic 发言人在接受采访时解释道： ...

这次泄露源于一个体积约 57MB 的 cli.js.map 文件，文件中包含了 4756 个源文件的完整内容：其中 1906 个是 Claude Code 自身的 TypeScript/TSX 源码，其余 2850 个来自 node_modules ...

一家致力于AI安全的公司，专门打造了名为“Undercover Mode”系统，防止AI泄露内部机密，最终却因一个配置的疏忽，将51.2万行源码完整曝光于世。同样的错误屡次上演，Anthropic恐怕需要先把自己的安全问题搞明白。

值得注意的是，这并非Anthropic首次发生此类失误。2025年2月，该公司早期Claude Code版本曾因同一类型的source map疏忽被曝光，此次泄露，进一步引发外界对这家估值超过180亿美元的AI明星公司软件供应链安全成熟度的质疑。

根据 GitHub 仓库的分析，泄露的代码库远比外界想象的复杂。 这不是一个简单的 API 封装，而是一个包含 40 多个权限控制工具、46,000 行查询引擎代码、多智能体协调系统、IDE 桥接功能和持久化记忆机制的完整生产级开发工具。

导语：下架YouTube-dl的后续来了。 YouTube-dl事件刚刚过去不久，GitHub又登上了Hacker News榜首。 原因是其源代码被全部泄露！ 从开发者Resynth 发表的一篇博客中了解到，在一个向 GitHub 官方 DMCA 仓库提交的可疑 Commit 中，一名不明身份人员利用 GitHub 应用程序中的bug ...