【安全圈】Claude Code 源代碼在 NPM 包中意外泄露

關鍵詞

數據泄露

人工智能公司 Anthropic 表示，其意外泄露了 Claude Code 的源代碼，該代碼本為閉源。不過公司稱，沒有客戶數據或憑證因此暴露。

盡管 Anthropic 承諾支持開源社區，但 Claude Code 一直保持閉源狀態，至少在今天之前是如此。今天的一次更新意外包含了內部源代碼。

Anthropic 在向 BleepingComputer 發布的聲明中證實了此次泄露事件，并表示沒有個人或敏感信息被公開。

Anthropic 告訴 BleepingComputer：“今天早些時候，一次 Claude Code 發布包含了一些內部源代碼。沒有敏感的客戶數據或憑證卷入或暴露。這是由人為失誤導致的發布打包問題，并非安全漏洞。我們正在采取措施防止此類事件再次發生。”

泄露的源代碼首先被壽超凡（@Fried_rice）發現，隨后在 GitHub 和其他存儲平臺上廣泛傳播。

泄露詳情

今天早些時候，Anthropic 在 NPM 上短暫發布 Claude Code 2.1.88 版本時，不慎泄露了源代碼。

這個版本包含一個 60MB 的文件 cli.js.map，其中包含最新版本的全部源代碼。

源映射文件是一種調試文件，它將編譯后的 JavaScript 代碼與原始源代碼關聯起來。

如果映射文件包含一個名為 “sourcesContent” 的字段，該字段會將原始源文件的全文直接嵌入到映射中，那么就有可能從該文件重建整個源代碼樹。

這就是為什么在公共包中包含一個大的.map 文件可能會導致大量代碼暴露的原因。

重建后的源代碼包含大約 1900 個文件、50 萬行代碼，以及 Claude 的一些獨有功能細節。

雖然源代碼已在網上傳播，但 Anthropic 已開始發出數字千年版權法案（DMCA）侵權通知，盡可能將其下架。

開發者的發現與分析

開發者們已開始分析源代碼，尋找未記錄的功能，并了解該應用程序的工作原理。

據亞歷克斯?芬恩稱，Anthropic 正在測試一種名為 “主動模式” 的新功能，在這種模式下，Claude 將全天候為你編寫代碼。這個模式在 Claude Code 源代碼中被發現。

還有另一個有趣的功能引起了我們的注意。

它被稱為 “夢想” 模式，在這種模式下，Claude 可以在后臺持續思考，拓展思路，完善你當前的計劃，并在你離開時嘗試解決問題。

關于 Claude Code 使用限制的問題

另外，用戶聲稱 Claude 悄悄降低了使用限制。這意味著，無論你是使用專業版計劃還是最高級計劃（5 倍用量），都會更快達到 Claude 的使用限制。

我個人在使用 Claude Personal（每月 20 美元）時就觀察到了這種情況。在 Claude Code 終端向 Claude 發送幾條消息后，我的用量就飆升至 30%，僅僅幾分鐘的交互后，用量就達到了 100%。

這并非預期的情況，尤其是考慮到交互內容量并不大，因為我才剛開始與 Claude 交流。

事實證明，這個問題很普遍，Anthropic 已確認正在調查一個導致使用限制更快耗盡的漏洞。

Anthropic 的莉迪亞?哈利在 X 平臺上發文稱：“我們知道大家在 Claude Code 中達到使用限制的速度比預期快得多。正在積極調查，有最新進展會及時分享。”

截至美國東部時間 3 月 31 日下午 2 點，該問題仍未解決，Anthropic 發布了以下最新消息：

“（我們）仍在處理這個問題。這是團隊的首要任務。我知道這給很多人帶來了困擾。一有消息就會盡快告知大家。”

一些用戶認為，鑒于 Claude 在過去幾周的受歡迎程度不斷上升，這可能是 Anthropic 的有意之舉，但在沒有該公司提供更多細節的情況下，我們無法確定這是否是有意為之。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！