后台有个服务叫 autoDream。触发条件：距上次 Dream 超过 24 小时 + 至少 5 个新 session + 获取排他锁。触发后执行四个阶段：感知、采集、整合、修剪。这个 Dream 子 Agent 只有只读权限。

事情的起点，是 npm 上发布的 Claude Code 2.1.88 安装包。包里混进了一个本不该公开的 map 文件。这类文件原本只是开发阶段的调试工具，用来在代码被压缩、打包之后，依然能把报错信息对应回原始源码中的具体位置。

2026 年 3 月 31 日凌晨，安全研究员 Chaofan Shou 在检查 npm 包时发现了一件奇怪的事。Anthropic 刚刚发布的 Claude Code 2.1.88 版本里，多了一个约 60MB 的 `.js.map` ...

2026年3月31日凌晨，安全研究员Chaofan Shou在检查npm包时发现了一件奇怪的事。Anthropic刚刚发布的Claude Code ...