一次單純的打包錯誤,卻意外讓一款備受歡迎的 AI 編碼工具的內部運作公諸於世。3 月 31 日,Anthropic 發布了其 @anthropic-ai/claude-code npm 套件的 2.1.88 版本,其中意外包含了一個他們絕對不打算加入的檔案:一個 59.8 MB 的原始碼對應檔案 (source map file),其中包含了該工具的整個命令列介面 (CLI) 原始碼。
512,000 行程式碼如何登上 GitHub
安全研究員 Chaofan Shou 最先發現了這個外洩的檔案,並在 X (前身為 Twitter) 上發布了相關資訊,附上了內容連結 (現已移除)。隨後,這份程式碼迅速傳播。完整的程式碼庫被上傳到一個公開的 GitHub 儲存庫,並在數小時內被轉發 (fork) 了數萬次。至此,秘密已完全洩漏。
這次外洩的套件包含了近 2,000 個 TypeScript 檔案,以及超過 512,000 行程式碼。這絕非小失誤,而是整個 CLI 的原始碼,任何人只要足夠好奇,都能輕易取得並分析。
注意
外洩的程式碼僅涵蓋 Claude Code 的 CLI,並不包含底層的 AI 模型本身。Anthropic 已確認在此事件中並未洩漏任何敏感的客戶資料或憑證。
Anthropic 迅速發布了官方聲明,並傳達給多家媒體:「今天稍早,Claude Code 的一個發布版本中包含了部分內部原始碼。並未涉及或洩漏任何敏感的客戶資料或憑證。這是由於人為錯誤造成的發布打包問題,而非安全漏洞。我們正在採取措施防止此類事件再次發生。」
研究人員發現了什麼
重點是,一旦程式碼公開,人們就會開始閱讀。很快地,在程式碼外洩的數小時內,開發者們就已經開始深入研究原始碼並發布他們的發現。其中一個廣泛流傳的觀察描述了一個「設計得令人難以置信」的三層記憶體系統,程式碼中似乎稱之為「自我修復記憶體」(self-healing memory)。這正是 Anthropic 希望保持在內部的重要架構細節。
更廣泛的安全層面也值得關注。根據 VentureBeat 的詳細分析,安全分析師已經繪製出多種由外洩程式碼所促成的攻擊路徑,包括供應鏈風險和拼寫錯誤模仿 (typosquatting) 的機會,惡意行為者可以利用這些機會發布模仿真實套件的惡意套件。
Claude Code CLI 運作中
時機點讓此事難以輕描淡寫
這是 Anthropic 在一週內第二次被報導發生資料外洩事件。就在幾天前,另一則外洩事件揭露了一個代號為 Mythos 的未發布模型,該模型被描述為在能力上有了顯著的提升。在競爭日益激烈的市場中,連續發生兩起事件,無論 Anthropic 如何定調,都不是一個好的形象。
公平地說,區分很重要:CLI 原始碼並非模型權重、訓練資料或使用者資訊。直接建構在 Claude Code 之上的開發者在此並無直接風險。但是,正如 The Hacker News 所報導的,供應鏈的風險是真實存在的。當一個廣泛使用的開發者工具的原始碼可以自由取得,並且已經被大規模轉發時,有人建立一個看似真實的模仿套件的機會就大大增加了。
這對使用 Claude Code 的開發者意味著什麼
對於任何在其工作流程中積極使用 Claude Code 的玩家來說,直接的實際風險很低。沒有 API 金鑰、沒有使用者資料、沒有模型內部細節。您需要做的是警惕任何聲稱是 Claude Code 或相關工具的非官方或第三方 npm 套件,因為外洩的原始碼使得建立逼真的假冒套件變得更容易。
關鍵在於 Anthropic 已確認正在推出打包流程的變更,以防止再次發生。這些措施是否會追溯到已經轉發的儲存庫,則是另一個問題。有關 AI 開發者工具的最新資訊,以及此類事件如何影響更廣泛的開發者生態系統,請務必查看更多內容:
