这次事件根本不是什么高明的黑客攻击,纯粹是流程上的低级失误叠加,而且,这已经是第
这次事件根本不是什么高明的黑客攻击,纯粹是流程上的低级失误叠加,而且,这已经是第二次了!
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
Anthropic的源码,又,又,又,又泄露了……
简单来说,Claude Code在发布npm包时,一不小心把一个50多兆的调试用.map文件给打包进去了。
不就是多打了个文件吗?听上去,好像没什么大不了?
可以这么理解:源代码原版是用TypeScript写的,但发布时会经过压缩、混淆,变成一堆难以阅读的Ja vaScript“天书”。而那个.map文件,正是“天书”和“原版”之间的完整对照字典。有了这本字典,Claude Code的源码全家桶,就能被几乎完整地还原出来。
核心架构:4.6万行的核心AI引擎(QueryEngine.ts)、2.9万行的工具定义、85条斜杠命令系统全部一览无余。
未发布功能:包括名为KAIROS的7x24小时后台助手、可以隐藏AI生成痕迹的“卧底模式”、甚至还有电子宠物系统,这些尚未面世的新功能也被提前剧透。
短短几小时内,相关代码就在GitHub上被疯狂备份、传播,根本拦不住。
最让人无语的部分来了:这根本不是技术攻防,纯粹是人为与流程的“双重漏洞”叠加,而且,历史竟然重演了。
首先,官方已经承认,部署流程中存在“几个手动步骤”,其中一环出了错。其次,有工程师坦白,为了自己团队调试方便,主动选择了在发布版中包含.map文件。结果,方便了自己的同时,也“方便”了全世界。
最核心的问题在于:整个流程依赖人工检查,缺乏自动化的硬性防线,这才导致同一个坑,能被踩进去两次。
根据多年的研发管理经验,指望人永远不犯错是不现实的。杜绝这类问题的核心思路,就是用自动化的工具和强制的流程,取代不可靠的人工记忆和操作。
第一,自动化安检:在CI/CD流水线中,集成类似GitGuardian这样的代码扫描工具。每次构建发布,自动检查包里是否包含.map、.env、密钥等敏感文件。一旦发现,立即报错并阻断发布流程。这就好比设置了一道必须过的安检门,哪些东西绝对不能带出去,由机器说了算。
第二,强制白名单:在package.json等配置文件中,明确列出允许发布的文件清单(白名单)。除此之外的文件,一律不准被打包。这相当于从源头上规定:只能发布哪些,想犯错都没机会。
第三,环境隔离:在构建脚本中写死规则,例如生产环境的构建命令自动剥离source map,而开发环境的构建则保留。从根源上实现开发、测试、线上环境的严格隔离,避免配置混淆。
说到这里,问题就来了:上一次发生类似故障后,他们真的进行过有效复盘吗?上面这些看似基础的防护思路,你能想到,难道他们内部就没人想到吗?
可是,为什么问题依然没有解决呢?有时候,世界真像一个巨大的草台班子。
菜鸟下载发布此文仅为传递信息,不代表菜鸟下载认同其观点或证实其描述。
