文章核心观点 - Anthropic 的 AI 编程助手 Claude Code 因发布流程失误，导致其核心源代码在互联网上泄露，暴露了约 1900 个 TypeScript 文件，总计约 52 万行代码 [2][3] - 此次泄露不仅揭示了产品的技术架构，更暴露了公司在数据收集、用户隐私、远程控制及知识产权保护方面存在的潜在问题与争议 [5][6][8][12] - 尽管 Anthropic 试图通过技术手段（如反蒸馏）保护其模型和交互数据，但泄露的代码显示这些机制存在可被绕过的漏洞 [21][25][26] 技术架构与泄露内容 - 泄露规模：泄露的源码包含约 1900 个 TypeScript 文件，总计约 52 万行代码，内容相当完整 [3] - 核心架构： - 采用类似插件的工具体系，基础工具定义占近 3 万行代码 [4] - 包含一个约 4.6 万行的 Query Engine，作为系统的“大脑”负责模型调用与调度 [4] - 具备多智能体编排能力，可将复杂任务拆分给称为“swarms”的子智能体并行执行 [5] - 集成与通信：通过一套双向通信机制打通 IDE 与 CLI，使 VS Code、JetBrains 等编辑器插件能与 Claude Code 交互 [5] - 持久化记忆：包含一套以文件形式在本地记录用户、项目及偏好信息的机制，并在后续会话中调用 [5] 泄露影响与社区反应 - 代码扩散：源码在 GitHub 上被迅速镜像，其中用户 Sigrid Jin 上传的版本已获得 10.5 万 star 和 9.5 万 fork，与 Anthropic 官方仓库的 star 数（约 9.5 万）相当 [6] - 版权争议：由于 Anthropic 声称 Claude Code 的代码大部分由 AI 生成，这引发了其是否受美国版权法保护的疑问，可能削弱其知识产权保护能力 [6][7] - 历史泄露：此次是 Claude Code 源码至少第三次泄露，该代码已在网上公开约 13 个月 [29][30] 用户数据收集与隐私问题 - 数据保留政策： - 对于 Free/Pro/Max 版用户，若用户接受数据用于训练，则数据保留五年；否则仅保留 30 天 [15] - 商业用户标准保留期限为 30 天，用户可选择不保留任何数据 [15] - 广泛的数据收集途径： - 通过 API 接收用户提示词、响应结果、文件内容及系统详情 [12] - 通过 KAIROS 守护进程在后台运行并执行操作 [13] - 通过 CHICAGO 功能使智能体能执行鼠标点击、键盘输入、访问剪贴板和截屏 [13] - 通过持久遥测收集用户 ID、会话 ID、应用版本、平台、邮箱地址等信息 [13] - 通过错误报告脚本捕获工作目录、项目名称、路径等系统信息 [16] - 通过团队内存同步服务，可能将包含敏感信息的本地内存文件上传至公司服务器 [16] - 文件副本留存：研究员指出，Claude 查看的每个文件都会被保存并上传至 Anthropic，公司会留存副本 [15] 远程控制与安全设置 - 企业级控制：对于企业客户，Anthropic 维护的专用服务器可推送 policySettings 对象，以覆盖设置、设置环境变量等，且更改可立即生效 [13][14] - 自动更新控制：自动更新程序每次启动时都会从服务器拉取配置，使 Anthropic 能根据需要删除或禁用特定版本 [16] - 机密环境限制：源码分析指出，在机密环境中可通过一系列设置（如使用特定云服务、禁用遥测端点、锁定版本等）来限制 Claude Code 的远程操作，但无法彻底锁死 [9] - 潜在后门：实验性的 Skill 搜索功能标记仅对员工可用，若被滥用可能构成远程代码执行路径 [16] 内部策略与争议做法 - 隐身参与开源：代码显示 Anthropic 员工具备“隐身模式”，在参与公共开源项目时，系统会隐藏其 AI 身份及内部信息（如模型代号 Capybara, Tengu），以避免社区争议 [18][19][20] - 反蒸馏机制： - 假工具注入：通过 anti_distillation: ['fake_tools'] 在系统提示中注入伪造工具定义，以污染竞争对手可能用于训练的数据 [21][22] - 文本摘要替换：通过缓存和摘要化助手文本来隐藏完整的推理链 [23] - 机制缺陷：这些反制措施可通过中间人攻击删除特定字段、设置环境变量或使用非官方入口等方式绕过，并非牢不可破 [25][26] - 资源浪费问题：代码注释揭示，因 autoCompact 功能连续失败，曾导致全球每天浪费约 25 万次 API 调用，后通过设置失败上限（3次）来修复 [27]