【TechWeb】4月1日音信,继上周第三方CMS树立舛讹导致近3000份里面文献泄露后,东谈主工智能公司Anthropic在2026年3月31日再次堕入安全风云。这次,其备受建造者接待的AI编程器具Claude Code因一次构建打包舛讹,完好的TypeScript源代码被公开泄漏,激发业界平庸热心。
据拜谒,本次事件并非黑客挫折或系统入侵,而是一皆典型的东谈主为发布舛讹。Anthropic在向npm仓库发布Claude Code包时,不测将一个用于调试的source map文献(`cli.js.map`,大小约60MB)打包了进去。
Source map文献的作用是将出产环境中经过压缩污染的代码映射回建造者编写的原始源码。这意味着,任何下载该npm包的建造者或安全参议东谈主员,都不错获胜通过这一文献归附出Claude Code的完好代码库。
51万行代码曝光中枢架构头陀未发布的新功能
这次泄露的代码界限远超外界预期。安全参议东谈主员及建造者社区暴露,泄露履行包含:跨越1,900个源文献,累计51.2万行TypeScript代码;一个长达4.6万行的`QueryEngine.ts`文献,承担了与AI模子交互的全部中枢逻辑;约40个零丁模块,涵盖文献读写、系统敕令实施等AI编程助手的底层才略;一套严格的六级权限考证系统,用于紧密规则AI对用户环境的每一次操作权限等。
在分析泄露代码的过程中,建造者社区还发现了一批尚未对外发布的新功能与意旨彩蛋。
包括,一个可在后台抓续运转的“督察进度”,八成在用户陶然时自动进行操心整合与学习,让AI助手完结着实的“永不掉线”体验。
代码中完好镶嵌了基于ASCII字符的宠物养成系统,包含鸭子、龙等18种物种,滚球app中国官方网站每种均有格外度设定(据说级概率仅1%)及闪光变种版块。外界多量推断,这很可能是原观念于4月1日愚东谈主节上线的意旨彩蛋。
Ultraplan(深度探求),一项可将复杂任务上传至云表的功能,由更强的模子(如Opus 4.6)进行最长30分钟的深度想考,再复返腹地实施。
Undercover Mode(卧底模式),旨在当Anthropic职工向开源相貌提打法码时,自动抹除AI生成的陈迹,注视里面信息泄露。
一周内两次安全事故
现在,Anthropic已对外阐述这次泄露事件,并发布声明强调:这是一次东谈主为舛讹导致的发布打包问题,而非系统遭入侵激发的安全事件。敏锐的客户数据、用户字据以及AI模子权重均未泄露,用户无需牵挂自己使用安全。公司正在出台并强化里面发布经由与查验机制,以注视此类舛讹再次发生。
值得热心的是,这已是Anthropic在短短一周内遇到的第二起紧要安全事件。3月26日,公司刚刚因第三方CMS树立舛讹泄露了近3000份里面文献,其中包含未发布模子“Claude Mythos”的关系细节。
集会两次因“树立舛讹”导致的中枢信息泄露,使得外界对Anthropic的里面安全经由与发布举止建议质疑。尽管公司强调模子权重和用户数据未受影响,但中枢代码库的全都泄漏,仍然组成了学问产权层面的紧要失掉。
扫尾现在,Anthropic已从npm撤下包含source map的问题版块靠谱的滚球app中国官网,并启动里面审计。
开云kaiyun(中国)体育官网
备案号: