一次简单的打包失误,却让一款备受欢迎的AI编程工具的内部代码公之于众。3月31日,Anthropic发布了其@anthropic-ai/claude-code npm包的2.1.88版本,其中意外包含了一个它绝不打算加入的文件:一个包含该工具全部命令行接口源代码的59.8 MB源映射文件。
512,000行代码如何出现在GitHub上
安全研究员Chaofan Shou最先发现了这个暴露的文件,并在X(原Twitter)上发布了相关信息,附带了文件内容的链接(现已删除)。随后,代码传播速度极快。完整的代码库被上传到一个公开的GitHub仓库,并在数小时内被fork了数万次。此时,秘密已完全暴露。
泄露的包包含近2,000个TypeScript文件和超过512,000行代码。这并非小小的疏忽,而是完整的CLI源代码,任何人只要足够好奇,都可以轻易获取并分析。
危险
泄露的代码仅涵盖Claude Code的CLI,不包括底层的AI模型本身。Anthropic已确认此次事件未导致敏感客户数据或凭证泄露。
Anthropic迅速发布了官方声明,并告知多家媒体:“今天早些时候,Claude Code的一个版本包含了部分内部源代码。没有涉及或泄露敏感客户数据或凭证。这是由人为失误造成的发布打包问题,而非安全漏洞。我们正在采取措施防止此类事件再次发生。”
研究人员发现了什么
事情是这样的:一旦代码公开,人们就会迅速阅读。在泄露发生后的数小时内,开发者们就已经开始分析源代码并发布他们的发现。一项广为流传的观察描述了一个“设计极其精妙”的三层内存系统,代码中将其称为“自愈内存”。这正是Anthropic希望保持内部的架构细节。
更广泛的安全图景值得关注。根据VentureBeat的详细分析,安全分析师已经绘制出多条由暴露代码引发的攻击路径,包括供应链风险和拼写错误模仿(typosquatting)机会,恶意行为者可以利用这些机会发布模仿真实软件包的恶意包。
Claude Code CLI 运行中
时机让此事更难被忽视
这是Anthropic在一周内报告的第二次数据泄露事件。就在几天前,另一次泄露事件揭示了一个代号为Mythos的未发布模型,该模型被描述为能力上的重大飞跃。在一个竞争日益激烈的市场中,接连发生的两起事件,无论Anthropic如何解释,都显得不太理想。
公平地说,区分很重要:CLI源代码并非模型权重、训练数据或用户信息。在此次事件中,基于Claude Code进行开发的开发者并未直接面临风险。但正如The Hacker News报道的那样,供应链的风险是真实存在的。当一个广泛使用的开发者工具的源代码可以自由获取并已被大规模fork时,制造一个逼真的仿冒软件包的机会窗口会大大增加。
这对使用Claude Code的开发者意味着什么
对于任何在工作流程中积极使用Claude Code的开发者来说,直接的实际风险很低。没有API密钥、用户数据或模型内部信息。您需要做的是警惕任何声称是Claude Code或相关工具的非官方或第三方npm包,因为泄露的源代码使得制造逼真的仿冒品更加容易。
关键在于,Anthropic已确认正在推出打包流程的变更,以防止此类事件再次发生。这些措施是否会追溯到已经fork的仓库,则是另一个问题。要了解AI开发者工具的最新动态以及此类事件如何影响更广泛的开发者生态系统,请务必查看更多内容:
