[鸭哥 AI 手记] 2026-04-01

> 你精心设计了八层防御来对抗仿冒者，结果真正的威胁从你脚下的供应链爬了进来。

懒人包：Claude Code 泄露了 51 万行源码，暴露了一套精巧的 8 层纵深防御体系。同一周内，五个开源项目被同一个攻击者连环投毒，其中就包括 Claude Code 用的 npm 包。另一边，泄露的源码还揭示了 Claude Code 的"做梦"机制：它在你不用的时候自动整理记忆、预测你的下一步操作。AI 产品正在从"等你指令"变成"主动预判"。

Claude Code 的城墙和脚下的地道

3 月 31 日凌晨，Anthropic 的一次 npm 发布意外把 Claude Code 的完整源码（59.8MB source map 文件）送进了公共包仓库。三个小时内，逆向后的仓库在 GitHub 上冲到了 5 万颗星（Layer5）。鸭哥追踪了泄露根因：Anthropic 在 npm 包中 explicitly enabled source map，"确实是甩不掉的人祸"。

鸭哥昨天写了两篇深度分析（防御体系，后台活动），其中防御体系那篇揭示了一个关键的设计哲学：客户端做标记，服务端做决策。以 Zig 层 DRM attestation 为例，Claude Code 在请求体里埋一个占位符 cch=00000，Bun 的原生 HTTP 栈在发送前用 Zig 计算的 hash 覆写它。JavaScript 层的任何拦截手段对此完全无感知。即便有人拿到了全部源码，服务端的验证逻辑和 GrowthBook 远程开关仍然构成最后防线。

这套防御体系的真正目标是对手选择（adversary selection），而非绝对防御。每一层独立工作，攻破某一层不影响其他层。不断提高仿冒和蒸馏的技术门槛，让攻击者的成本持续上升，直到大多数潜在攻击者转向其他目标。

群里对这次泄露的评价分成了两派。胥克谦比较冷静："泄露也没啥，也就是能泄露一点未来的产品功能布局。Claude Code 的编排是云端下发的。"Maxwell 则质疑炒作："Codex CLI 自始至终是开源的，还是 Rust 内核，也没见掀起什么波澜。"

但 51 万行代码在 2 小时内变成 5 万星，说明行业对 AI agent 内部架构的饥渴程度远超表面的淡定。群友大城小胖当天就找到了三个源码学习网站（ccwiki、zread.ai、Claudeleakage），灵感之源的反应更直接："用 Claude Code 分析自己然后生成报告行不行？"

真正值得注意的是泄露的时机。就在同一周内（3 月 19 日至 31 日），一个叫 TeamPCP 的攻击者连续攻破了五个开源项目：Trivy 漏洞扫描器、Checkmarx KICS、LiteLLM、Telnyx 和 Axios。攻击链条是级联式的：先攻破 Trivy 的 CI/CD 凭证，再用它作为跳板投毒 LiteLLM（Datadog Security Labs）。LiteLLM 被投毒的版本 1.82.7 和 1.82.8 波及了 36% 的云环境（Strobes）。群里 TK 现身说法：投毒那天他正在 pull LiteLLM，幸亏 GFW 把连接中断了。群友 Song 评价："您的税款在替您工作。"

VentureBeat 的报道点明了一个细节：3 月 31 日凌晨 00:21 到 03:29 UTC 之间通过 npm 安装或更新 Claude Code 的用户，可能同时拉到了泄露的源码和被投毒的 Axios 包（VentureBeat）。Claude Code 精心设计了 8 层防御来对抗蒸馏和仿冒，却没能阻止自己的供应链在同一天被攻陷。防御者和攻击者走的是同一条路，区别在于方向相反。

---

你的 AI 在"睡觉"的时候做了什么

泄露的源码还揭示了 Claude Code 的另一面：它在你不交互的时候远比你想象的忙。

群友金松总结得很到位："到了晚上，KAIROS 会运行一个叫 autoDream 的流程，把白天学到的东西整合一遍，重新整理记忆。人类的设计太神奇了，之前谁想过，睡觉居然能是一种处理上下文膨胀的巧妙设计。"

鸭哥的分析文章详细拆解了这个机制。Auto-Dream 的触发条件是：距离上次整合超过 24 小时，且期间积累了至少 5 个会话。一个 fork 出来的子 agent 用 grep 在 transcript 文件中做窄搜索，按 Orient-Gather-Consolidate-Prune 四阶段整合记忆。

这套机制和鸭哥自己在 OpenClaw 中实现的 Heartbeat 蒸馏系统高度同构：流水账对应 conversation history，每日复盘对应 memory consolidation，长期升华对应 continual learning。两个系统独立演化，收敛到了几乎相同的认知维护节奏。

比"做梦"更激进的是推测执行。Claude Code 在每次回复后，会预测你接下来要输入的指令，然后用一个 copy-on-write overlay 文件系统真的去执行它。如果你按 Tab 接受预测，overlay 立刻合并到主文件系统，响应几乎即时返回。更精彩的是 pipelining：第一轮预测完成时，第二轮已经在路上了。如果用户连续接受多次预测，每一次的响应时间都趋近于零，因为所有计算都发生在用户思考的间隙里。

所有这些后台活动共享一个硬性约束：prompt cache。源码中记录了一次真实事故，PR #18143 试图给 fork agent 设置 effort:'low'，cache hit rate 从 92.7% 暴跌到 61%，cache write 量飙升 45 倍。所以每个后台 agent 的参数都被锁死：模型不敢换，thinking config 不敢改。这使得后台活动的边际成本极低，绝大多数 token 命中缓存。

群里炜伯伯的观察值得注意："看得出他们在哪些方面在思考。"马工补了一刀："CC 也有过失败的探索，plugin 基本失败了，slash command 被 skill 吸收。"泄露的价值恰恰在这里：你能看到一个 AI 产品的完整演化路径，包括哪些方向被尝试过又放弃了。这比任何公关博客能传递的信息都多。

从行业趋势看，AI 编程工具的竞争维度正在从"单次回复质量"转向"空闲时段的认知维护效率"。Letta（前身 MemGPT）去年提出的 sleep-time compute 概念和 Claude Code 的 auto-dream 是同一个 pattern 的两种实现（Letta）。谁更好地利用用户的思考间隙，谁就能让每一次交互从"冷启动"变成"热继续"。

---

也值得知道

Oracle 裁员约 3 万人：占全球员工 18%，部分员工在凌晨收到邮件得知失业。官方理由是"组织变革"，实际是将资源转向 AI 基础设施建设。同期大型科技公司计划在数据中心投入近 7000 亿美元。代码生成成本趋零的另一面：写代码的人也在被优化掉。（Gizmodo）

Anthropic 发布"永久在线"AI Conway：能持续在后台运行的 AI agent，与 Claude Code 的后台活动体系一脉相承。36kr 称 2026 为"AI 记忆元年"。（36kr）

12 天 5 起投毒，开源信任危机：TeamPCP 从 Trivy 一路打到 Axios，用一个泄露的 CI 凭证级联攻破了整条供应链。SANS 分析指出，攻击者甚至把安全扫描器本身变成了武器。（SANS）

---

本期素材来自 AI Builder Space 社群讨论与公开 AI 行业信息的交叉验证。

本文由AI综合领域调研和微信群聊自动生成。请注意甄别幻觉。

订阅本 newsletter：yage-ai.kit.com