ENCN
EN CN FR DE PT ES RU
登录登录
免费试用
精选博客
Claude Code 源代码泄露 2026:Anthropic 在 npm 源映射错误中暴露了什么

Claude Code 源代码泄露 2026:Anthropic 在 npm 源映射错误中暴露了什么
Claude Computer Use vs OpenClaw 2026:哪个 AI 代理更好?

Claude Computer Use vs OpenClaw 2026:哪个 AI 代理更好?
应用程序已死:为什么 Agentic CLI 工具将在 2026 年终结 GUI?

应用程序已死:为什么 Agentic CLI 工具将在 2026 年终结 GUI?
2026 年最佳 AI API:完整对比指南

2026 年最佳 AI API:完整对比指南
2026 AI API 比较:OpenAI vs Anthropic Claude vs Google Gemini vs Grok

2026 AI API 比较:OpenAI vs Anthropic Claude vs Google Gemini vs Grok
xAI Grok Imagine API 教程 2026:如何使用 Grok 替代 Sora 进行视频生成

xAI Grok Imagine API 教程 2026:如何使用 Grok 替代 Sora 进行视频生成
Claude Code 自动模式教程 2026

Claude Code 自动模式教程 2026
OpenAI Sora 关闭:2026 年最佳 AI 视频生成 API 替代方案及完整迁移指南

OpenAI Sora 关闭:2026 年最佳 AI 视频生成 API 替代方案及完整迁移指南
Google Stitch 2026:颠覆性的 Vibe 设计更新

Google Stitch 2026:颠覆性的 Vibe 设计更新
克劳德认证建筑师 – 基础(CCA-F):Anthropic 最新推出的 2026 年人工智能认证

Claude认证建筑师 – 基础(CCA-F):Anthropic 最新推出的 2026 年人工智能认证
领先的AI.cc通过将400个模型整合到一个高性能API中,简化了企业AI的采用。

领先的AI.cc通过将400个模型整合到一个高性能API中,简化了企业AI的采用。
2026年多模态人工智能和生成视频趋势

2026年多模态人工智能和生成视频趋势
NemoClaw 与 OpenClaw:谁在安全性、隐私性和性能方面更胜一筹?

NemoClaw 与 OpenClaw:谁在安全性、隐私性和性能方面更胜一筹?
GPT-5.4 原生计算机控制教程:5 分钟掌握 AI 桌面自动化(完整 API + Playwright 指南)

GPT-5.4 原生计算机控制教程:5 分钟掌握 AI 桌面自动化(完整 API + Playwright 指南)
如何在 2026 年使用 Claude Cowork:Anthropic AI 桌面代理的终极分步指南

如何在 2026 年使用 Claude Cowork:Anthropic AI 桌面代理的终极分步指南
自由职业者如何利用人工智能在 2026 年实现收入增长 10 倍:一人机构蓝图

自由职业者如何利用人工智能在 2026 年实现收入增长 10 倍:一人机构蓝图

Claude Code 源代码泄露 2026:Anthropic 在 npm 源映射错误中暴露了什么

2026-04-01
安全事件报告 2026年3月31日 · npm供应链
事件已结案 — 超过 512,000 行 已曝光 · 无客户数据泄露 · 镜像仍然公开
Claude 代码源泄露 2026

Anthropic 裸露

npm 打包错误 — v2.1.88

2026年3月31日,Anthropic公司发货了Claude·科德。 v2.1.88 npm 版本大小为 59.8 MB cli.js.map 源映射文件泄露,暴露了超过 512,000 行 TypeScript 源代码,这些代码分布在 1,900 个文件中。此次泄露揭示了…… 44 个未发布的功能标志内部遥测数据、加密逻辑和多代理编排代码均遭到泄露。虽然没有客户数据泄露,但这却是Anthropic公司几周内发生的第二次重大数据泄露事件。

// 按数据说话
59.8MB 源地图文件大小
512K+ TypeScript 代码行
1,900 文件泄露
44 未发布的功能标志

事件经过:npm 源映射故障

人种学派的官方 @anthropic-ai/claude-code 版本 2.1.88 的软件包包含一个从未打算公开发布的生产工件:未混淆的 cli.js.map 源映射文件是调试文件,它将压缩后的 JavaScript 代码映射回原始 TypeScript 源代码。

安全研究员 Chaofan Shou 几个小时内就发现了漏洞。GitHub 上迅速出现了社区镜像,使得完整的代码库永久可用。Anthropic 删除了源代码映射和旧版本的软件包,并将其描述为…… “因人为失误导致的包装问题。”

Anthropic公司意外泄露了Claude Code源代码——媒体Copilot泄露事件分析

// Anthropic公司意外泄露了Claude Code的源代码——The Media Copilot,2026年3月

Claude Code:Agentic CLI 接口

Claude Code 是 Anthropic 的终端优先代理工具,它允许开发人员使用自然语言规划、执行、调试和发布代码——这使得源代码的暴露对安全研究人员来说尤为重要。

由于暴露的映射文件,Claude Code CLI 的全部源代码泄露——Ars TechnicaAnthropic Claude Code命令行人工智能编码——回顾与分析如何安装 Claude Code — 终端、IDE、Web 和桌面设置,Bannerbear

// Claude Code 实际应用:终端界面、代理工作流和安装概述

究竟曝光了什么:44 个未发布的功能标志

//泄露的内部架构——机密内容
  • 凯罗斯 — 一个持久的后台守护进程(始终在线的代理),它维护长期记忆并主动提出改进建议。
  • 伙伴 — 一款类似电子宠物(Tamagotchi)的虚拟伴侣,可将代码维护任务游戏化。
  • 语音模式、主动代理标志和详细的多代理编排逻辑。
  • 完整的系统提示和内部安全策略。
Anthropic公司意外泄露了Claude Code源代码——互联网将永远保存它,解密

// Anthropic 不小心泄露了 Claude Code 的来源——互联网将永远保存它(通过 Yahoo 解密)

此次泄密事件为何如此重要:三个确凿的数字

29M 2025年GitHub上的机密信息泄露数量将比上年增长34%。人工智能辅助提交的泄露率是基准水平的两倍。
97% 遭受数据泄露的组织缺乏适当的 AI 访问控制(IBM 2025 年数据泄露成本)。
+81% AI 服务密钥泄露数量同比激增——到 2025 年将有 127 万个凭证被泄露(GitGuardian)。
生成式人工智能与智能体人工智能——它们有什么区别?(JavaScript in Plain English Medium)

// 生成式人工智能与智能体人工智能:理解攻击面差异(Medium)

专家视角

Ram Shankar Siva Kumar — 微软人工智能红队负责人

暴露外围的代理工具——命令行逻辑、编排机制、内存系统——降低了逆向工程防护机制和构建对抗性变体的门槛。即使没有模型权重,Claude Code 与模型交互的蓝图现在也可以被大规模地研究或攻击。这加速了合法开源分支和复杂越狱技术的开发。

对开发者和企业的影响

此次泄露使得逆向工程变得更加容易,并凸显了这一点。 智能体人工智能工具正成为新的攻击面仅依赖单一供应商 CLI 的企业如今面临着单一供应商集中风险。明智的策略是通过统一的 API 层实现多模型路由,该层可在供应商之间自动切换,同时保持代理体验的一致性。

人工智能与智能体工作流程——二者有何区别?(LinkedIn)构建更智能的系统——微服务与智能体人工智能的协同作用,LinkedIn

// 智能体人工智能工作流程及其对企业安全的影响

常问问题

是否有客户数据泄露?

不,泄露的内容只包含内部源代码——没有泄露任何凭证、用户提示或对话记录。

我还能安全地使用Claude Code吗?

是的,官方软件包已经清理干净。但是,镜像源码仍然是公开的,因此请仔细检查未来版本中的构建产物。

各队应该立即采取哪些措施?

扫描 npm 管道中的 source-map 包含情况,实现自动化密钥扫描,并考虑以下事项: 统一AI API网关 它抽象化了特定厂商的命令行界面。

这会改变代理式命令行工具的未来吗?

它加速了普及。真正的区别不再是命令行界面本身,而是…… 底层 API 访问层的稳定性和安全性

Claude Code源代码泄露事件敲响了警钟。对于构建智能体应用程序的开发者来说,最明确的教训是: 千万不要把所有希望都寄托在单一供应商的 CLI 或 API 上。 对于生产级人工智能开发而言,一个具备智能路由和自动回退功能的统一、经过实战检验的集成平台如今至关重要。

300 多个 AI 模型
OpenClaw 和人工智能代理

节省20%的费用
新会员可获赠价值 1 美元的免费Tokens