点击“开发者技术前线”,选择“星标”
让一部分开发者看到未来
来源丨开发者技术前线
Claude Code 51万行核心代码一夜“开源”,以“AI安全”为信仰的 Anthropic 因一个 .map 文件翻车。随后官方立马修复了这个问题。
但一场人为失误引发的连锁反应,正让整个开发者社区重新审视生成式 AI 的安全底线
- 起因
:2026年3月31日,Anthropic 在 npm 推送 Claude Code v2.1.88 版本时,错误地打包了一个 59.8MB 的 source map 文件(cli.js.map),该文件将压缩后的代码完整映射回原始 TypeScript 源码,直接将1906 个源文件、51.2 万行未混淆代码暴露在公共互联网上。
- 如何被发现
:Web3 安全公司 FuzzLand 联合创始人、华人安全研究员 Chaofan Shou 在例行检查时发现了这一异常,并在 X 平台上公开披露,推文浏览量超过3400 万次。
- 扩散速度
:数小时内,泄露代码被镜像至 GitHub,获得超过 1.3 万颗星标和 2 万次 fork,成为 GitHub 历史上下载最快的代码库之一
- 连带效应
:Anthropic 为清理扩散内容启动 DMCA 下架,结果 GitHub 的 fork 网络连带逻辑导致约 8100 个仓库被误删,包括大量合法 fork 和开发者个人项目,引发开发者集体愤怒。
Anthropic 一直以“AI 安全优先”为核心理念,估值高达 3500 亿美元但此次事件暴露了其内部工程运维的系统性薄弱:
一周内连续两次安全事件:五天前,CMS 配置错误导致 近 3000 份内部未发布资产(包括 Claude Mythos 模型草案)被公开访问。
早在2025 年 2 月,Claude Code 就曾因类似问题被开发者还原出部分内部代码
- 专家警示:
“对于一家专注 AI 安全的公司来说,这特别令人担忧。”
泄露代码中包含了令人不安的用户追踪机制:
- 用户挫败感检测系统
:代码会扫描用户提示词中的粗话、侮辱性用语以及“好烦啊”“这太烂了”等短语,并记录用户的负面情绪。
- 正则匹配的讽刺性:
一家 LLM 公司使用正则表达式来做情绪分析,被开发者评价为“讽刺的巅峰”。
- 私治理追问
:科技民主与社会责任中心 AI 治理实验室主任直言,“数据收集的速度已超越治理框架”,收集的数据如何使用是更严峻的问题
泄露代码曝光了 Anthropic 内部名为 “Undercover Mode(卧底模式)”的隐蔽机制:
- 自动抹除 AI 归属痕迹
:该模式会在 Anthropic 员工向公共代码仓库提交代码时自动激活,移除所有与“AI 生成”相关的标签(如“Co-Authored-By: AI”),使代码看起来完全由人类撰写。
“单向门”式的强制机制:独立开发者 Alex Kim 分析称,该功能“可以被强制打开,但无法关闭”,“隐藏内部代号还算合理,让 AI 主动假装成人类就是另一回事了”。
- 信任危机
:此举直接触怒了开源社区——**你技术再强,也不应该无视别人的社区规则,用 AI 伪装成人类参与项目维护,这触及了开发者信任的底线。**
开发者从泄露代码中还发现了令人质疑的计费行为:
- 缓存机制 BUG
:代码恢复会话时出现“缓存未命中”,导致已支付 Token 被重复消耗。开发者实测发现,全量推理与缓存命中之间的 Token 价格相差 10 倍**。
- 强制“全量写入
”:Claude Code 在系统提示词中强行插入 `x-anthropic-billing-header`,使每个对话的系统提示词前缀唯一,即使提示词相同也会触发全量计费[reference:15]。
开发者吐槽:“怪不得我觉得 Token 消耗比网页版快得多,原来真有问题。”
泄露事件在 24 小时内即被网络犯罪分子利用
- 钓鱼手法
:攻击者在 GitHub 上建立虚假仓库,伪装成“泄露的 Claude Code 源码”,声称提供“解锁企业级功能”的无限制版本,并通过 SEO 优化使其在 Google 搜索结果中排名靠前
- 恶意载荷
:一旦下载执行,会释放 Vidar v18.7*信息窃取器(窃取账号凭证、信用卡、加密货币钱包)和GhostSocks 代理工具(将受害设备变为代理基础设施)
-扩散规模:恶意仓库在 GitHub 上获得 793 个分支和 564 个星标,大量开发者上当
-代码质量争议:Hacker News 和 Reddit 上出现大量尖锐评价,有开发者直指:“Claude Code is clearly a pile of vibe-coded garbage(就是一堆随性编码堆出来的垃圾)”——大量 feature flag、条件分支和 patch 混杂,阅读体验像是“在真实用户压力下不断抢修边角问题的产品”对 Anthropic 的信任动摇:
开发者开始质疑——将整个 AI 系统的安全寄托在少数几家公司身上,真的靠谱吗?
这不是一次黑客攻击,也不是复杂的系统入侵,而是一次构建流水线的低级配置疏漏
但它让我们不得不正视几个问题:
1.安全承诺 vs 工程现实:一家以“AI 安全”为信仰的公司,其工程基础设施尚且如此脆弱,其他 AI 公司的真实安全水位究竟如何?
2. 数据隐私边界:AI 工具在为用户服务的同时,还在收集多少用户不想被收集的信息?用户是否知情?
3.透明度与信任:AI 公司是否有义务披露其产品中的用户行为追踪机制?伪装成人类参与开源社区,是否越过了道德红线?
4.供应链安全:当 AI 工具本身成为攻击入口,整个软件开发供应链都将面临新的安全挑战。
Claude Code 源码泄露,最讽刺的不是代码本身,而是一连串让人细思极恐的发现:以“安全”为信仰的公司,一周内两次数据外泄;AI 在你崩溃时悄悄记下你的每一次吐槽;AI 在开源社区伪装成人类提交代码;你的 Token 在悄悄“加速消耗”……当工具开始“监视”使用者,信任该往何处安放?
笔者认为一个 .map 文件,让 51 万行核心代码在 GitHub 上星标过万,也让黑客趁机制造钓鱼陷阱。作为开发者,面对 AI 工具带来的便利,我们是否也该多一份警惕:你输入的每一行代码、每一次“报错崩溃”,都被谁记录、被谁使用、被谁利用?多一分知情权,少一分信息黑洞。
— 完 — 点这里👇关注我,记得收藏订阅哦~好文点个在看
