25岁的中国安全研究员,凭一个npm包中的source map文件,把Anthropic Claude Code整整51万行源代码摊在了全世界开发者面前。这件事瞬间引爆了整个AI圈,GitHub上一个小时就涨了超过一万颗星。
大多数人都在关注Anthropic的操作失误,可我却从这位年轻研究员的履历里,看到了不一样的东西——新一代极客的成长路径,已经和我们认知中的完全不一样了。这种不一样,会给整个全球科技产业带来什么变化?
漏洞列表文档 :展示Chaofan Shou发现的各类安全与隐私漏洞
Chaofan Shou,中文名叫寿超璠,2001年出生在国内,高中就读上海平和双语学校,之后赴美读书。
很多人对他的第一印象,是「三年满分读完UCSB本科」「伯克利博士读了两年就退学」,这些标签足够传奇,可很少有人注意到他更早的职业起点——早在2016年,他就已经开始做漏洞挖掘工作。
2020到2022年,他靠参与全球各大厂商的漏洞赏金项目,累计拿到了190万美元的奖金。这个数字,放在全球白帽圈子里也是相当亮眼的成绩。
Chaofan Shou本人 :戴眼镜穿深色连帽衫的男性肖像
0
他的成长路径,完全不是传统意义上「读完书再工作」的按部就班:
这种「边学习边落地边创业」的路径,放在十年前几乎是不可能的。现在却成了很多顶尖年轻极客的标准选择——学历不再是职场入场券,能力直接在市场上兑现价值。
更有意思的是他对自己的评价:三年读完本科满绩,他说「too easy」;博士退学,只回了一个「lol」;连挖出来Claude的源码,他都只是轻飘飘吐槽一句「代码乱糟糟,没什么意思」。
GitHub头像及ID :卡通抬腿小人头像配ID“shouc”
这种松弛感,不是装出来的——从15岁开始挖漏洞,20岁就靠自己的技术拿到上百万美元赏金,24岁就把公司卖掉,对他来说,很多世俗意义上的成功,本来就来得太容易。
很多人看完履历,会觉得这是「又一个天才跑去国外」的故事,可仔细扒细节会发现不一样的线索。
早在2018年,Chaofan就帮助上海市政府发现过安全漏洞,同年还出现在中国计算机学会CCF的高校宣传员表彰名单里。
2020年,他以交换生身份进入上海交通大学网络安全与隐私保护实验室学习,和国内顶尖的安全研究团队一起做研究。
2024年,他还和上海交大的教授团队一起合作发表了广告欺诈溯源的论文,这个项目还拿到了当年中国广告长城奖学术类唯一金奖。
工作经历截图 :Chaofan Shou的多段软件工程师任职经历
这才是当下最有意思的人才趋势:新一代顶尖技术人,早就不再是非黑即白「留在国内」或者「彻底出海」,他们是真正的「全球极客」——在中国完成早期成长,去全球顶尖学府深造,在全球市场创业变现,同时一直和国内学术界产业界保持深度连接。
这种流动模式,和十年前的「出国就不回来」完全不同,也和现在的「毕业回国求职」不一样。他们本身就是连接全球创新网络的节点,哪里有机会就去哪里,技术和能力就是他们的通行证。
放在十年前,一个25岁的年轻人能靠自己的技术,从全球顶级科技公司拿到百万美元级别的漏洞赏金,还能把自己创办的公司卖给海外区块链机构,几乎是不可能的事情。
全球数字基础设施的普及,漏洞赏金机制的成熟,让年轻技术人可以直接在全球市场兑换自己的能力价值。
这不仅仅是个人的成功,更是整个中国年轻技术群体,在全球科技产业链中位置变化的缩影。越来越多的中国年轻极客,正在用这样的方式,在全球科技圈留下自己的印记。
说回这次事件本身,Anthropic的这次失误,不仅仅是一次尴尬的安全事故,对整个AI Agent行业来说,其实是一次意想不到的「行业启蒙」。
在此之前,生产级AI Agent的整体架构,对绝大多数开发者来说还是黑盒——大家都知道Anthropic做出来的Claude Code是目前最顶尖的编程助手,但没人知道它的工程细节是什么样的。
这次泄露,直接把51万行完整源码摆到了桌面上:从4.6万行的查询引擎,到三层记忆系统,再到多Agent编排架构,甚至还有未发布的KAIROS后台助手模式、电子宠物系统,全都公开了。
X平台帖子截图 :Chaofan Shou评价Claude代码的帖子
9
Anthropic花了两年时间踩坑踩出来的工程蓝图,现在所有开发者都可以直接拿来参考,这会直接把整个AI Agent行业的研发门槛大幅拉低。
我们可以做一个简单对比:原来一个团队要做一个生产级的AI编程助手,可能需要半年到一年的时间来摸索架构,现在有了现成的参考,研发周期至少可以压缩三分之一,甚至一半。
数据更能说明问题:目前Claude Code的年化经常性收入已经达到25亿美元,其中80%来自企业客户。这次源码泄露,相当于直接把一个年入25亿美元产品的核心工程实现公开了。
更讽刺的一个细节是:Claude Code的源码里,专门做了一个「Undercover Mode」子系统,用来防止内部信息泄露,结果他们自己把整个源码打包发到了npm上。
这种配置失误,说起来也挺有意思——Anthropic花了精力防内部泄露,却在最基础的发布流程上翻了车。
Chaofan的履历里,有一个很有意思的细节:他尝试用强化学习+微调大模型做量化交易,最后收益率亏了92%,算下来大概亏了200万美元。
他自己也毫不避讳,直接把这个结果写在了个人博客上,这种坦然其实挺难得的。
这件事其实告诉我们一个很朴素的道理:在一个领域做到顶尖的天才,不代表在所有领域都能一帆风顺,技术能力和投资能力本来就是两回事。
很多人会觉得,能挖出来这么大漏洞、能做成公司被收购的天才,做什么都应该成。可现实就是,哪怕你能看懂最复杂的代码漏洞,也未必能看懂金融市场的波动——资本市场的不确定性,比代码世界里的bug要难抓多了。
换个角度想,对25岁的他来说,这其实也不是什么坏事——年轻的时候用200万美元买个教训,总比年纪大了栽更大的跟头要好。况且,对他来说,200万美元大概也就是几年漏洞赏金的收入,亏得起也输得起。
这种「敢尝试敢失败」的劲头,其实也是新一代年轻极客最宝贵的特质——他们不给自己设限,什么都敢试试,成了就是一次新的突破,败了也不过是一段经历。
我们回过头看这件事,最让人惊喜的从来不是「25岁小伙扒了Anthropic的底裤」,而是这个25岁中国小伙的成长路径,给我们展示了一种全新的可能性。
在过去,我们对顶尖技术人的想象,要么是「按部就班读完博士进大厂」,要么是「苦熬十多年熬出成果」。可Chaofan这一代人,早就跳出了这套叙事。
他们十五六岁就开始在全球平台上练手,二十岁出头就能在全球市场兑现自己的技术价值,二十三四岁就能做出被收购的创业公司,随时可以跳出传统路径做自己想做的事情。
这一代年轻极客,不迷信学历权威,不纠结路径正确,只跟着自己的兴趣和市场的反馈走。
这次源码泄露事件之后,AI Agent的行业进度一定会被加快,无数开发者会基于Anthropic的工程经验,做出更多更好的产品。而Chaofan Shou这个名字,也会被记住——他用自己的方式,给全球AI社区推了一把。
未来十年,会有越来越多这样的中国年轻极客,在全球科技舞台上留下自己的印记。他们不是传统意义上「改变世界」的英雄,他们只是用技术找乐子,顺便改变了点什么。
这种松弛又生猛的状态,大概就是这一代人最迷人的地方。你说,下一个给整个行业带来惊喜的中国年轻极客,会是谁呢?
