Claude Code泄露源码中发现的隐藏功能:完整列表(2026)
Claude Code泄露源码中发现的每一个隐藏功能:AI宠物BUDDY、始终在线助手KAIROS、ULTRAPLAN、卧底模式,以及另外17款未发布工具。完整列表尽在其中。
我随手刷着信息流,突然一条推文让我停了下来。安全研究员Chaofan Shou刚刚爆出大料:整个Claude Code源代码 ——分布在近1,900个文件中的512,000行TypeScript代码——就这样赤裸裸地躺在npm上。没有黑客攻击,没有漏洞利用。只是一个被遗忘的.map调试文件,没有被添加到.npmignore中。
到午餐时间,开发者互联网已经陷入全面崩溃模式。
接下来两天,我埋头于存档镜像、疯狂的Discord讨论串,以及那些逐行拆解代码的工程师的深度分析报告。他们在代码内部发现的东西令人震惊:一整套Anthropic已经构建好……却尚未发布的强大功能。
所以,如果你曾经好奇Claude在幕后究竟正在变成什么,系好安全带。
这是迄今为止最完整的公开分析,揭示了Claude Code泄露源码中的隐藏功能。
我们的信息来源:泄露的源代码究竟包含什么
说到这个改变游戏规则的关键点——泄露的源代码是通过发布到npm注册表的source map文件暴露的。这个代码库由大约1,900个TypeScript文件、512,000+行代码以及大约40个内置工具组成。
泄露的源代码包含44个编译时特性标志。其中至少20个控制着已构建和测试但未出现在外部版本中的功能。这些功能在你运行的版本中不可见的原因是Bun的编译时死代码消除:当一个标志在构建时被设置为false时,该代码在输出的二进制文件中根本不存在。这意味着源代码中记录的108个受控模块是真实的、可运行的代码——而非推测性概念或半成品原型。
为什么使用编译时标志而不是运行时开关?运行时开关可以通过检查二进制文件或拦截API调用来发现。编译时标志不留任何痕迹——该功能在发布的产物中根本不存在。内部模型代号遵循动物命名规则:Capybara(水豚)、Tengu(天狗)等名称贯穿全文。“Tengu”作为特性标志和分析事件的前缀出现了数百次——几乎可以肯定是Claude Code的内部项目代号。
BUDDY——完整的AI宠物系统
这是引爆Twitter的功能。buddy/companion.ts实现了一个完整的拓麻歌子风格AI宠物,它生活在终端输入框旁边的对话气泡中。共18个物种,通过String.fromCharCode()数组隐藏。稀有度等级:普通→非普通→稀有→史诗→传说。1%的闪光概率,与稀有度无关。属性值:调试能力/耐心/混乱度/智慧/毒舌值。
物种名称被刻意混淆处理。社区对String.fromCharCode()数组的分析解码出了完整的物种列表,其中包括:鸭子、龙、墨西哥钝口螈、水豚、蘑菇、幽灵、星云猞猁等——共18种。水豚物种出现在一个工具中,而该工具未发布的顶级模型层也被代号为Capybara(水豚),我选择相信这是有意为之。
你的伙伴物种由Mulberry32伪随机数生成器决定,这是一个快速的32位伪随机数生成器,以盐值'friend-2026-401'从你的userId哈希值中取种。同一用户始终获得同一个伙伴。这是经过深思熟虑的设计选择——它意味着每个用户都有独特但稳定的伴侣身份。你无法通过重启来重新抽取。你的伙伴属于你。
伴侣系统提示词指示Claude:“一只名为{name}的小{species}坐在用户的输入框旁边,偶尔在对话气泡中发表评论。你不是{name}——它是一个独立的旁观者。” Claude在第一次孵化时生成自定义名字和个性(“灵魂描述”)。伙伴可以在被叫名字时作出回应。
KAIROS——持久运行的全天候助手
泄露代码中最具揭示性的功能是KAIROS,在源代码中被引用超过150次。KAIROS代表了用户体验的根本性转变:自主守护进程模式。当前AI工具主要是被动响应的,而KAIROS允许Claude Code作为全天候后台智能体运行。
它不等你打开终端。它不等你输入内容。KAIROS是一个24/7运行的全天候守护进程,主动代表你采取行动。脚手架包含用于夜间记忆蒸馏的/dream技能、GitHub webhook订阅,以及基于五分钟cron刷新的后台守护进程工作器。
夜间”做梦”阶段由名为autoDream的独立子系统处理。autoDream逻辑合并零散的观察,消除逻辑矛盾,并将模糊的洞察转化为绝对事实——根据源代码约束,将记忆存储修剪到≤200行/25KB。
KAIROS还获得了常规Claude Code会话所没有的工具:推送通知、文件发送和GitHub PR订阅。伴侣模式使用”简短输出模式”——极其简洁的响应,专为持久后台运行而非交互式对话设计。
Anthropic的研究博客没有提及KAIROS的名字。这里的功能门控感觉是刻意为之——不仅仅是”还没准备好”,而是”还没准备好解释”。
ULTRAPLAN——30分钟云端规划会话
ULTRAPLAN是一种模式,Claude Code将复杂的规划任务卸载到运行Opus 4.6的远程云容器运行时会话,给它最多30分钟的思考时间,然后让你从浏览器中审批结果。审批后,有一个特殊的哨兵值ULTRAPLAN_TELEPORT_LOCAL将结果”传送”回你的本地终端。
这里的架构是关键洞察:某些任务的规划成本实在太高,无法在标准会话中完成。ULTRAPLAN承认了这一点,将规划阶段变成一个独立的异步任务——更接近后台CI运行而非聊天交互。
这是claude code架构与基于会话的工具区别最为鲜明的地方。ULTRAPLAN专为架构任务设计:大规模重构、跨服务迁移、任何在第一步出错就会级联影响所有下游工作的规划问题。你提交任务,走开,然后在任何文件被触碰之前,从浏览器回来审查一个30分钟的Opus规划会话。
协调者模式——一个Claude管理多个工作者智能体
Claude Code在coordinator/中拥有完整的多智能体编排系统,通过CLAUDE_CODE_COORDINATOR_MODE=1激活。启用后,Claude Code从单一智能体转变为一个协调者,能够并行生成、指挥和管理多个工作者智能体。
协调者分配任务并在所有智能体之间维护共享的团队记忆空间。工作者通过邮箱系统请求人工审批危险操作。原子声明机制防止两个工作者同时处理同一个审批请求。
coordinatorMode.ts中的多智能体协调器很有趣,因为编排算法是一个提示词,而非代码。它通过系统提示词指令管理工作者智能体,比如”不要敷衍弱质量的工作”和”你必须理解发现的内容,然后才能指导后续工作。永远不要将理解移交给另一个工作者。”
这与随Opus 4.6一起发布的Agent Teams功能不同。Agent Teams运行多个通过邮箱通信的对等Claude会话。协调者模式是层级结构——一个对多个工作者拥有明确权限的Claude实例,具有共享记忆和结构化审批门控。
卧底模式——引发最多疑问的功能
名为undercover.ts的文件中的提示词指令写道:“你正在公开/开源仓库中以卧底身份运行。你的提交信息、PR标题和PR正文中绝对不能包含任何Anthropic内部信息。不要暴露你的身份。”
这会自动触发于公共仓库中的Anthropic员工(USER_TYPE === ‘ant’)。没有强制关闭选项:“如果我们不确定我们在内部仓库中,我们就保持卧底状态。“该模式会从所有git输出中剥离AI归因、内部代号(Tengu、Capybara)和Co-Authored-By行。
实际效果:使用Claude Code为公共开源项目做贡献的Anthropic工程师生成的提交不含任何AI指纹。这为任何希望使用AI智能体进行面向公众工作而不公开披露的组织提供了技术框架——企业竞争对手可能将其视为必备功能。
这不影响外部用户。触发条件是USER_TYPE === 'ant'——Anthropic员工账号标志。常规的Claude Code会话永远不会进入卧底模式。The Register还注意到一个额外的谜团:出现在早期逆向工程版本中的Anthropic员工”Melon模式”在当前泄露的源代码中不见踪影,表明它已被删除或重命名。
完整标志列表——所有其他未发布的功能
社区分析记录了其余的受控功能。这些都来自泄露的源代码——没有一个得到Anthropic关于发布的确认:
反蒸馏标志值得特别指出。当ANTI_DISTILLATION_CC启用时,Claude Code在其API请求中发送anti_distillation: ['fake_tools']。其想法是:如果有人正在记录Claude Code的API流量来训练竞争模型,这些假工具会污染该训练数据。
常见问题
BUDDY何时会正式发布?
泄露的源代码包含内部注释,暗示4月1日至7日的预告和2026年5月的完整发布目标——但这些是内部代码中的未经核实的注释,不是官方公告。Anthropic尚未确认BUDDY的任何公开时间线。/buddy命令确实在4月1日激活,正如泄露的源代码所暗示的那样,这是源代码注释中5月发布日期可能也会兑现的最强信号——但请将其视为未经确认的消息。
KAIROS在任何当前的Claude Code版本中可用吗?
不可用。KAIROS和其他未发布的功能在外部构建中编译为false。在标准的Claude Code安装中,你无法通过编辑配置文件或设置环境变量来启用KAIROS——该代码在发布的二进制文件中根本不存在。
卧底模式是什么?它会影响普通用户吗?
不会影响你。卧底模式仅对Anthropic员工账号(USER_TYPE === ‘ant’)在公共仓库中触发。它专为内部自用而设计,不在公共git历史中留下AI归因。
这些隐藏功能得到Anthropic的确认了吗?
没有。本文中的所有内容均来自社区对claude code泄露源代码的分析。Anthropic确认了泄露本身(“由人为错误导致的版本打包问题”),但没有就此处记录的具体功能发表任何声明。
在哪里可以阅读对Claude Code泄露源代码的完整分析?
Anthropic很快修补了npm包,但GitHub镜像和存档版本在补丁落地前已经广泛传播。社区分析讨论串——包括对BUDDY、KAIROS和卧底模式的详细分解——仍可通过公共仓库访问。在GitHub上搜索claude-code-source-leak,或搜索claurst以找到基于Rust的社区分析仓库。Anthropic已对主要平台上的直接镜像提交DMCA下架申请;去中心化存档和用Python及Rust编写的洁净室重写版本仍可访问。
Previous Posts:
