Claude Code外洩後，程式碼庫露出什麼

7 小時，51 萬行程式碼，1906 個源文件。Claude Code 一次發佈失誤，把整包內部細節攤開。這不是單純的 UI 外洩。這是本地 CLI 的核心邏輯外流。

更麻煩的是，這類工具不是跑在雲端頁面。它直接碰本機檔案、命令列、權限和會話。你看到的不是幾個按鈕。你看到的是它怎麼判斷、怎麼執行、怎麼防呆。

講白了，這次不是八卦。這是產品工程的體檢報告。只是報告是被社群自己翻出來的。

一次 source map 失誤，能掀開多少東西

導火線很單純。大約 60MB 的 source map 被打進 npm 發佈包。source map 原本是給除錯用的。它會把壓縮後的程式，映回原始碼結構。

問題在於，它不該跟正式版本一起出貨。只要它進了包，原本難讀的建置產物，就會變成接近原始工程的樣子。對前端網站來說，這通常只是多看見一些邏輯。對 Anthropic Claude Code 這種本地編程工具來說，影響大很多。

因為它的命令執行、檔案讀寫、上下文壓縮、會話管理，很多都在客戶端完成。這些東西不是配角。這些就是產品本體。外面的人一旦看得到，就能直接研究它怎麼做事。

• 外洩規模：約 51 萬行程式碼
• 源文件數量：1906 個
• 外洩檔案：約 60MB source map
• 社群備份庫短時間衝到 2 萬+ 星標

這件事最值得回頭看的，不是誰先鏡像了倉庫。真正該問的是，為什麼一個除錯檔案，能把整個內部結構掀開。答案很直白。發佈流程少了一道硬檢查。

只要這道關卡不補，類似事故就還會再來。AI 工具越複雜，這種錯就越貴。

社群挖出的隱藏功能，比想像中多

程式碼一公開，社群就開始跑靜態分析。有人還做了 ccleaks.com 來整理發現。裡面挖出 35 個編譯時特性標誌、120 多個隱藏環境變數、200 多個遠端控制開關。

最吸睛的，不是小修小補。是一些看起來已經接近產品化的新模組。這代表團隊早就把很多想法寫進去了，只是還沒正式對外說。現在好了，社群先幫它說了。

其中一個最有話題的功能叫 Buddy。它是終端機裡的電子寵物系統。風格很像 Tamagotchi。它可以在命令列顯示不同物種的 ASCII 圖案。

“A release is only as good as its last automated test.” — Kent Beck

這句話雖然不是為這次事故寫的，但很貼。只要發佈流程少一個測試，後果就不是一個小 bug。它可能是整包不該公開的內容。

Buddy 也不是唯一的東西。社群還看到幾個更像未來產品方向的模組。輪廓已經很清楚了。

• Kairos：持久化助手模式，主打跨會話記憶
• Ultraplan：用更強模型做長時間任務規劃
• 多 Agent 協調：同時跑多個實例處理任務
• 跨會話通信：不同 Claude 會話可互傳訊息
• 守護進程模式：讓會話管理器背景常駐

這些功能透露一件事。Claude Code 不想只當聊天視窗。它想做的是本地工作台。會話、記憶、規劃、並行執行，全都想揉在一起。

我覺得這方向很合理。只是產品還沒正式講清楚，程式碼就先被攤在陽光下。這對競品來說，等於免費拿到路線圖。

安全架構很硬，但程式碼品質不是每塊都漂亮

如果只看安全設計，Claude Code 的內部工程其實不差。每次工具呼叫，都要先過 6 級權限驗證。之後還有 4 層決策管道，再往下才進執行。

外部命令和插件，也被丟進獨立沙箱。輸入輸出則走單獨的非阻塞緩衝區。這些設計都很像一套面向高頻互動的本地代理系統。要快，也要控風險。

它還會在上下文變長時自動壓縮內容。這很實用。因為長會話最怕兩件事。第一是 Token 爆掉。第二是前文脈絡散掉。這種壓縮機制，就是在跟這兩個問題硬碰硬。

但外洩的價值，也在於它會把優點和缺點一起照亮。社群翻到 src/cli/print.ts 時，看到一個函式寫了 3000 多行，巢狀層數到 12 層。這就很難不皺眉。

• 工具呼叫前要過 6 級權限驗證
• 執行前還有 4 層決策管道
• 外部命令和插件在獨立沙箱中跑
• 上下文超過門檻會自動壓縮
• 單一函式超過 3000 行，巢狀 12 層

另外，情緒檢測甚至沒有上模型。它直接用正則去抓字詞。像 ffs、shitty 這類字眼都會被掃到。這種做法很省資源，但也很土炮。

這組對比很有意思。一邊是嚴格的安全層和隔離機制。一邊是超長函式和簡單字串匹配。大型 AI 工具的真實程式碼庫，通常就是這樣。不是全都優雅。也不是全都亂。它是兩者混在一起。

跟競品比，這次外洩看出什麼

如果把視角拉遠，Claude Code 不是唯一在做本地 AI 開發工具的玩家。OpenAI Codex、Gemini CLI，還有 Windows Terminal 加上各種擴充方案，都在搶開發者工作流入口。

但 Claude Code 的路線比較特別。它不是只做一個 API 包裝器。它在意的是本機操作、長會話、任務分派和安全控管。這讓它的程式碼密度很高，也讓外洩後能挖到更多東西。

若把這次外洩當成觀察樣本，幾個對比很清楚。不是每個產品都會把這麼多邏輯放在客戶端，也不是每個產品都會把這麼多隱藏開關寫在同一包裡。

• Claude Code：本地 CLI 深，安全層多，內部狀態多
• Codex：更偏 API 與工作流整合
• Gemini CLI：走 Google 生態，工具鏈整合是重點
• 傳統 IDE 外掛：多半只碰編輯器，不碰太多系統層

這也解釋了為什麼社群會這麼有興趣。因為這不是單純看見一個產品。是看見整套設計哲學。

而且說實話，這次外洩還讓人看到一個現實：AI 工具越往本地走，越容易把產品策略寫進程式碼。那就代表，別人不只看得到功能，還看得到你接下來想做什麼。

Anthropic 的安全敘事，被自己人打斷了

這次事件不是孤例。就在幾天前，Anthropic 還因為第三方 CMS 設定錯誤，讓近 3000 個內部資產被公開存取。那次事件裡，外界還看到了代號 Claude 4 相關材料。

再往前看，Claude Code 在 2025 年 2 月首發時，也出過一次 source map 外洩。也就是說，這不是第一次。對一家把 AI 安全寫進品牌敘事的公司來說，反覆出現同類錯誤，真的很傷。

因為這暴露的不是模型有沒有聰明，而是流程有沒有守住。產品再強，只要發佈線上有洞，整個故事就會被打折。

這幾個數字很直白：

• 3 月 26 日：近 3000 個內部資產因 CMS 錯誤暴露
• 幾天後：Claude Code 發佈包再度洩露 source map
• 2 月首發時：同類問題已經發生過一次
• 本次外洩：1906 個源文件、51 萬行程式碼可讀

有人會說，模型權重沒丟，訓練資料也沒外洩。這話不能說錯。可對本地 CLI 工具來說，產品邏輯、隱藏開關、執行策略，本身就是資產。競品拿到這些，已經夠做很多事。

說白了，這次不是單點失誤。這是流程控制的警訊。

這次事故真正提醒了什麼

Claude Code 的外洩，不只是多塞了一個檔案。它提醒大家，AI 工具一旦把更多能力放到本地，發佈鏈就會更脆。build 設定、打包流程、除錯產物，任何一個環節鬆掉，都可能把內部實作整包送出去。

更現實的判斷是，類似問題只會更常見。因為 AI Agent 已經開始參與寫程式、跑測試、生成 commit、管理發佈。自動化越高，錯誤也越容易被批量放大。

所以真正該盯的，不是某家公司這次丟了多少行。該盯的是，它能不能把 source map 檢查、產物掃描、權限審計，做成不能跳過的硬門檻。這種事沒有捷徑。

我自己的看法很直接。接下來 12 個月，AI 開發工具的競爭，不會只比模型分數。會更比誰的發佈流程更乾淨，誰的本地架構更小心，誰敢把檢查做得更硬。你如果也在做 CLI、Agent 或內部工具，現在就該回頭查一次打包設定。真的，別等社群幫你查。