一場打包失誤,撕開了 AI 代理的完整藍圖

2026 年 3 月 31 日,資安研究員 Chaofan Shou 發現 Anthropic 旗下的 AI 編程工具 Claude Code 在 npm 套件庫上出現異常——v2.1.88 版本中附帶了一個 59.8 MB 的 source map 檔案(cli.js.map),將完整的原始碼暴露在公開環境中。

這不是一般的小型程式碼片段外洩。被揭露的內容涵蓋 512,000 行 TypeScript 程式碼、橫跨 1,906 個檔案,包含 44 個隱藏的 feature flag,其中至少 20 個指向尚未發布的功能。數小時內,原始碼被備份至 GitHub,獲得超過 84,000 顆星標與 82,000 次 fork。Anthropic 雖迅速將套件下架,但程式碼已永久流入公共領域。

Anthropic 官方回應稱這是「人為打包錯誤,非安全漏洞」,並強調未涉及客戶資料或憑證。但對整個 AI 產業而言,這場洩漏的價值不在於安全事故本身——而是它意外揭開了 AI 編程工具的下一代架構全貌。

KAIROS:24/7 自主運行的 AI 代理模式

洩漏程式碼中最引人注目的發現是 KAIROS(取自古希臘語,意為「恰好的時機」),這個名稱在原始碼中出現超過 150 次。KAIROS 代表了一種根本性的使用體驗轉變:從被動回應指令,轉向全天候主動運行的背景代理。

KAIROS 的核心運作邏輯

  • 背景常駐(Daemon Mode): KAIROS 設計為一個 24/7 運行的背景服務程序。系統以固定間隔向代理發送心跳(Heartbeat)訊號,詢問「現在有什麼值得執行的任務?」
  • 主動介入工作流: 它可以監控開發環境狀態。當偵測到伺服器異常,能主動修復程式碼並重啟服務;當收到 GitHub PR 更新,能自動審閱並回報結果。
  • 獨佔工具集: KAIROS 擁有普通模式下不具備的能力,包括推送通知(直接在行動裝置上提醒開發者)與 PR 訂閱(主動追蹤程式碼庫的變動)。

autoDream:AI 在你睡覺時「做夢」

KAIROS 框架中還包含一個名為 autoDream 的記憶整合機制。當使用者處於閒置狀態時,代理會啟動記憶整理流程——合併分散的觀察筆記、消除邏輯矛盾,並將模糊的推測轉化為確定性的事實記錄。

這套機制的設計哲學值得關注:代理被指示將自身記憶視為「提示」而非「真相」,在行動前需對照實際程式碼庫進行驗證。這種「懷疑自己的記憶」的架構設計,揭示了目前 AI 代理在可靠性上的核心挑戰與解決方向。

44 個 Feature Flag:一份被意外公開的產品路線圖

洩漏的程式碼中包含 44 個 feature flag,這些功能已經完成編譯,僅透過條件開關阻止對外發布。這等同於一份完整的產品路線圖被攤在陽光下。關鍵發現包括:

已完成但未發布的重點功能

  • 多代理協作架構(Multi-Agent Orchestration) 多個 AI 代理可協同處理不同子任務,具備任務分派與結果彙整的完整邏輯。
  • Memory MD 記憶系統: 一種輕量化的自癒式記憶架構。不同於將所有資料塞入上下文視窗的傳統做法,Memory MD 僅儲存資料位置的索引指標,需要時才透過識別碼檢索原始內容。這種設計大幅降低了 token 消耗與營運成本,其架構思維與企業級 AI 平台的資源管理邏輯不謀而合。
  • Undercover Mode(隱身模式): 約 90 行程式碼實現的功能,用於在非內部專案中自動清除所有 Anthropic 內部痕跡——包括禁止提及內部代號(如「Capybara」「Tengu」)、內部 Slack 頻道與儲存庫名稱。
  • 原生客戶端認證(Native Client Attestation): 一套防止第三方工具冒用 Claude Code 身份取得訂閱級 API 存取的驗證機制。

內部模型代號曝光

洩漏同時揭露了 Anthropic 的內部模型代號對照:

  • Capybara = Claude 4.6 變體
  • Fennec = Opus 4.6
  • Numbat = 仍在測試中的未發布模型

內部註解顯示 Capybara 已迭代至 v8 版本,但仍面臨 29-30% 的錯誤聲明率(相較 v4 的 16.7% 反而是退步),並設有「assertiveness counterweight」機制防止模型在重構時過於激進。這些內部指標為業界提供了前沿模型的效能天花板參考,也與其他主流模型的已知侷限形成有趣對照。

同日的完美風暴:axios 供應鏈攻擊

讓這起事件雪上加霜的是,就在同一天,npm 套件庫上的 axios HTTP 函式庫也遭受了供應鏈攻擊。在 3 月 31 日 00:21 至 03:29 UTC 期間,惡意版本的 axios(1.14.1 與 0.30.4)被上傳,內含遠端存取木馬(RAT)。

由於 Claude Code 依賴 axios 套件,任何在該時段透過 npm 安裝或更新 Claude Code 的開發者,都可能下載到受感染的依賴項。攻擊者隨後進一步利用洩漏事件作為社交工程誘餌,在 GitHub 上建立偽冒的「官方洩漏版」儲存庫,散佈 Vidar Stealer 竊取程式與 GhostSocks 代理工具。根據 Zscaler ThreatLabz 的分析報告,這些攻擊已形成一條完整的惡意供應鏈。

這場時間上的巧合凸顯了一個嚴肅的產業議題:當 AI 開發工具的架構被完整揭露,攻擊者便能精準設計針對性的攻擊向量,繞過已知的安全防線。

對產業的深層影響:後指令時代的加速到來

這場洩漏的最大價值,不在於安全醜聞或競爭情報,而在於它以最直接的方式向全世界展示了 AI 編程工具的技術天花板正在被推向何處。

從「對話框」到「隱形基礎設施」

KAIROS 的存在證實了一個產業趨勢:AI 正在從使用者主動輸入指令的「對話工具」,演變為在背景持續運行的「隱形基礎設施」。在這個「後指令時代」(Post-Prompting Era),大型語言模型退居幕後,成為系統的底層水電工程。

這意味著開發者的角色將從「逐行編寫程式碼的執行者」轉變為「審閱與決策的策展人」。AI 會在你發現問題之前先行解決,在你提出需求之前先行準備。

開源生態的加速追趕

洩漏的程式碼被多位開發者形容為「有史以來最詳盡的生產級 AI 代理架構參考手冊」。這將不可避免地加速開源社群對同類架構的複製與改良,縮小閉源工具與開源替代方案之間的差距——正如 DeepSeek 的開源策略 Gemini 3 的多模態突破已經展示的那樣。

企業信任與 IPO 時程

對 Anthropic 而言,五天內發生兩起洩漏(模型規格文件與完整原始碼)對其以「AI 安全」為核心的品牌敘事構成挑戰。市場分析認為這可能將其 IPO 時程從原定的 2026 年底推遲至 2027 年——而其最大競爭對手 OpenAI 的 IPO 之路同樣充滿變數

寫在最後:你準備好交出主導權了嗎?

Claude Code 洩漏事件的本質,是一次關於 AI 發展方向的意外預演。KAIROS 所代表的自主代理模式、autoDream 的記憶整合、多代理協作架構——這些不是概念驗證,而是已經完成編譯、等待發布的生產級功能。

當 AI 從等待你打字的對話框,變成在你背後 24 小時運轉的隱形隊友,我們每個人都需要重新思考:在工作流中,哪些主導權值得交出去,哪些必須牢牢握在手裡?

這是後指令時代留給每一位技術從業者的核心命題。