Anthropic Claude Code 代码泄露事件引发大量开发者从 GitHub 等平台下载测试，但安全厂商 Zscaler 的研究人员警告，此举可能导致恶意程序植入、新漏洞被利用，引发供应链攻击或本地开发环境被破坏等严重后果。

本周，Anthropic 的 Claude Code 源代码发生泄露。由于内部人员操作失误，误将源代码映射文件（source map file）指向 NPM 包并公开发布，该文件指向一个包含完整未混淆 TypeScript 源代码的压缩包（.zip）。该压缩包大小为 59.8 MB，对应 Claude Code 2.1.88 版本，内含约 51.2 万行代码。还原后可全面了解 Anthropic 的 AI 技术细节与未来开发方向。消息曝光后，大量开发者已从 Anthropic 的 Cloudflare R2 存储桶下载该文件，并在 GitHub 上建立镜像或分叉。部分 GitHub 仓库甚至获得超过 8.4 万颗星标和 8.2 万次分叉。尽管 Anthropic 已向多个镜像站点发送数字千年版权法（DMCA）通知要求下架，但源代码的扩散已难以遏制。

Zscaler 指出，GitHub 上数千个被分叉的仓库可能带来两大风险：一是供应链攻击，攻击者可在分叉仓库中植入后门、窃密程序或挖矿程序；二是利用 Claude Code 已知或未知漏洞进行武器化攻击。目前已知漏洞如 CVE-2025-59536、CVE-2026-21852 可能被攻击者通过恶意配置文件、钩子（hooks）、MCP 服务器等方式利用。攻击者还可通过分析代码，构建精心设计的恶意项目文件，实现任意命令执行或窃取凭证。此外，用户若直接下载未经审查的代码至本地工作站，可能引入不安全的依赖项或执行路径。本周早些时候发生的 Axios NPM 供应链攻击事件，攻击者正是试图在 Windows、macOS 和 Linux 开发环境中植入木马程序，与此类行为如出一辙。

除理论分析外，Zscaler 研究人员还发现，由用户 idbzoomh 发布的名为“Claude Code leak”的 GitHub 仓库，其下载的 ZIP 文件实为携带窃密程序的恶意软件。该仓库的 README 文件甚至宣称，该文件是通过 Claude Code 的 NPM .map 文件下载并分叉而来，声称具备“无限制”企业功能，且无消息限制。

Zscaler

该恶意 ZIP 文件内含用 Rust 编写的加载器程序 ClaudeCode_x64.exe，运行后会加载窃密工具 Vidar 和网络流量代理工具 GhostSocks。Zscaler 发现攻击者在短短 13 小时内对该恶意文件进行了两次更新。此外，另有账户通过“Download ZIP”方式分发同一组恶意程序。今年三月初，另一家安全公司 Huntress 也监测到类似攻击活动，显示有不法分子正利用开发者对 Claude Code 泄露代码的好奇心实施网络攻击。

为防止被“木马化”的 Claude 代理程序演变为隐蔽的 AI 执行实例，威胁企业安全，安全厂商建议企业用户部署零信任架构，降低安全风险，并部署安全工具，防范恶意程序利用合法 Claude 代理的已知漏洞。