您尚未登录账户
您的企业账号申请正在审核中
Anthropic 意外在 npm 打包错误中暴露了 Claude Code 源代码
人工智能公司Anthropic PBC因打包失误,在面向公众发布的节点包管理器(npm)安装包中不慎包含了敏感文件,导致其旗下 Claude Code 命令行工具的源代码意外泄露。
Claude Code 是Anthropic推出的一款命令行工具,开发者可通过终端直接与该公司的 Claude 人工智能模型交互,实现代码编写、编辑与调试功能。该工具本质上是一款封装在命令行界面中的 AI 代码代理,无需完整的集成开发环境界面,即可执行任务、操作文件并自动化开发工作流程。
此次源代码泄露源于 Claude Code npm 安装包 2.1.88 版本中被纳入了一份源映射文件。泄露内容涵盖近 2000 个文件、超 50 万行 TypeScript 代码,其中包含 Claude Code 系统的核心组件,如代理架构、工具集成方案以及执行逻辑等。
Anthropic已承认该事件,CNBC今日报道了其官方声明:“此次是人为失误导致的发布打包问题,并非安全入侵事件”,同时表示 “正推出相关措施,防止此类问题再次发生”。
此类源代码泄露的问题在于,覆水难收 —— 即便删除原始源代码,也无法阻止已传播的副本继续扩散。本次泄露的代码很快被外部多方镜像存储,导致相关内容难以完全管控。
尽管目前无迹象表明用户数据、指令提示或客户信息在此次事件中泄露,Anthropic也对此予以证实,但此次泄露仍造成了知识产权暴露的风险,也让外部可对其内部系统设计展开更深入的分析。
获取源代码可让外界洞悉 AI 代理如何管理工具使用、权限分配与工作流程,这种透明度也可能被用于识别系统漏洞,或针对同类系统构建更具针对性的攻击手段。
该事件还引发了竞争层面的隐患:Anthropic的专有实现细节,会让竞争对手更清晰地掌握其代码工具的架构逻辑。虽然其 AI 模型本身仍未开源,但配套的调度编排层是产品形成差异化竞争的重要部分。
此前,Anthropic即将推出的 Claude Mythos 人工智能模型相关细节及其他文件,刚在一个公开可访问的数据缓存中被发现;如今该公司又曝出 Claude Code 命令行工具源代码意外泄露的消息。
