Claude Code 源代码泄露:AI 安全敲响警钟

张开发
2026/4/4 23:55:08 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

Claude Code 源代码泄露:AI 安全敲响警钟
Claude Code 源代码意外泄露事件始末周二早些时候安全研究员寿超凡在 X原 Twitter上发布消息称Claude Code 的源代码通过其 npm 注册表中的一个映射文件泄露并附上了相关文件的链接这才让外界知晓此次事件。此次泄露是由于 Anthropic 公司的一名员工在其开放的 npm 注册表账户上发布的 AI 编程工具 Claude Code 的一个版本中包含了一个源映射文件从而意外暴露了该工具的全部专有源代码。源映射文件漏洞如何暴露核心代码源映射文件不应出现在发布到开源注册表的最终代码版本中因为任何人都可以下载这些包而源映射文件可能会为黑客提供有用信息。开发者库伯·梅塔指出当有人向 npm 发布 JavaScript/TypeScript 包时构建工具链通常会生成源映射文件.map 文件这些文件是压缩/打包后的生产代码与原始源代码之间的桥梁。这些文件中包含了所有内容如每个文件、每条注释、每个内部常量、每个系统提示等npm 会将其提供给任何运行 npm pack 命令甚至只是浏览包内容的人。使用 Bun 打包工具Claude Code 所使用的工具时除非明确关闭否则默认会生成源映射文件。美国网络安全和人工智能专家约瑟夫·斯坦伯格表示受损的源映射文件存在安全风险黑客可以利用源映射文件重构原始源代码了解其工作原理代码中的任何机密信息比如 API 密钥以及所有逻辑都面临风险。Anthropic 公司的安全管理疏漏Anthropic 发言人表示此次事件是因人为失误导致的发布打包问题并非安全漏洞公司正在采取措施防止此类事件再次发生。但这并非该公司首次出现此类情况据《财富》杂志和其他新闻媒体报道上个月也曾发生过类似事件。这反映出该公司在安全管理方面存在长期的疏漏未能有效避免源映射文件的错误发布。源代码泄露的潜在危害与行业警示虽然此次事件未涉及或泄露任何敏感的客户数据或凭证但安全编码培训师坦尼娅·扬卡指出在软件包中保留源映射文件是开发者常犯的错误此次问题尤为严重因为涉及的知识产权价值极高而且恶意行为者现在可以直接分析源代码以寻找漏洞而无需进行逆向工程这节省了时间、成本和复杂性。北极狼公司技术与服务总裁丹·夏帕指出任何源代码或系统级逻辑的暴露都至关重要在人工智能系统中编排、提示和工作流实际上定义了系统的运行方式如果这些信息被暴露就更容易识别系统的弱点或操纵结果。对于全行业来说开发者应加强构建环境的安全性避免在生产环境中包含调试信息和功能如在构建/打包工具中禁用源映射文件将 .map 文件添加到 .npmignore 或 package.json 文件字段中明确排除该文件等。编辑观点此次 Claude Code 源代码泄露事件为 AI 行业安全敲响警钟企业需重视安全管理开发者应规范操作避免因小失误造成重大安全隐患行业也需共同提升安全意识与防御能力。

更多文章