Claude Code 源码泄漏，我看到了投毒、卧底、伪造、封号

开篇前言

程序员都在使用的Claude Code里边，却包含着投毒、卧底、伪造、封号这些灰暗的代码。

Claude Code 源码泄漏，我怀着崇拜的心，在AI的帮助下阅读了它的51万行源码。这里边还真有不少有意思的设定。感叹一个伟大的产品少不了竞争，所以它的源代码里充满了商战的味道。包括隐藏AI的具体版本、封号策略、对蒸馏操作进行投毒、检测挫败感。

国外大神深度分析了这些有“意思的代码”，因为是全英文的，且全是编程术语。这里我总结一下，给你讲解全文的重点，保证你能看懂。

伪装-隐藏AI的具体版本（Undercover mode）

Claude Code源码里有一个叫 undercover.ts代码文件，功能是在Claude Code 被调用在"非内部仓库时"，主动去除所有可能暴漏的Anthropic内部背景信息。 也就是它在我们使用时伪装了自己很多信息。

这个文件会要求模型不要提及内部代号、内部 Slack 频道、内部仓库名，甚至不要提到“Claude Code”这个词。

这就是AI版卧底特工上线， 一出公司大门立刻换皮，把工牌、工服、内部暗号全藏好，生怕别人知道自己是 Anthropic 编外特工。不过这也是为了安全考虑，但没想到源代码泄漏了。

监视-封号策略

在使用Claude Code 的时候会自动产生一个Device ID ,它是256位随机值，首次运行时生成并永久存储，是所有事件上报的核心标识，Anthropic 可通过它精确关联同一设备上的所有活动。

在使用Claude Code 的时候他还会强制搜集你的 操作系统、CPU架构、Node.js版本、Linux版本和内核，你以为这就完了，在你使用它的时候，它还会在你无意识下存储你操作的关键事件。

也就是说它通过三层来监控你的一举一动，身份层，环境层和行为层。通过这三层就能得到你的完整画像。

说白了这属于表面是代码助手，背地里是私家侦探。 你用它干活，它把你从里到外扒一遍，画人像比你自拍还清晰。你以为它啥都不知道，其实它比你更清楚你每天在干嘛，封号只是顺手的事。

这也是为什么大量中国用户被封的主要原因，你以为它什么都不知道，其实它比你自己还了解你。

伪造+投毒-对蒸馏行进行插入虚假数据

在 Claude Code 源码里有一个 ANTI_DISTILLATION_CC 标志，开启后 Claude Code 在向服务端发请求时会带上 anti_distillation: ['fake_tools']，也就是告诉服务端：在系统提示词里偷偷插入一些“假的工具定义”。

也就是说如果有人通过抓包去录制 Claude Code 的 API，再拿这些数据训练竞品模型，那么训练集里就会混入伪造工具，从而“污染”蒸馏数据。

这就是一种很有针对性的“投毒式防复制”，也很符合 Anthropic 的风格。

有人会说这就是一种反盗机制，人家保护自己有什么错。但它坏在哪里？问题就是，它知道你盗版，反而不制止，人家还主动给你，让你盗，但不是你想要的。这完全就是正版仙人跳 ，属于技术圈里最损又最聪明的防盗版手段，主打一个 “让你抄了也白抄”，“你尽管抄，抄到就是亏到”。

卧底-检测挫败感

它还一直监视你的挫败感，并判断你是在骂Claude Code 还是在骂你使用的大模型。在 userPromptKeywords.ts 里有一个很长的 regex（也就是正则表达式），专门匹配 表达沮丧、愤怒、辱骂的用户输入， 有意思的是，一家做大模型的公司，居然用 regex （正则表达式）来做情绪识别。

然后把你这些沮丧行为记录下来，用来改进他们的产品。其实这是一种不错的改进策略。

最后

看到这些藏在代码深处的“暗战”，不免让人心生感慨。原来每一次对话、每一行指令，背后都有一双无声的眼睛在凝视。技术的光鲜之下，是猜忌、伪装与博弈的暗流涌动。我们以为在驾驭智能，殊不知自己也在被悄然衡量与标记。 这场人与工具之间的信任游戏，终究多了几分复杂与无奈。但愿科技的星辰大海，少一些算计，多一些坦诚的温柔。

最后还是要说Claude Code 的代码虽然为了竞争，有一些不好的代码，但还是要说它的源码值得每一个程序员阅读。

原文地址：https://alex000kim.com/posts/2026-03-31-claude-code-source-leak/