当前位置: 首页 > article >正文

Anthropic员工失误导致Claude Code源代码泄露

article 2026/4/2 12:48:11
事件概述npm源映射文件暴露专有代码Anthropic公司一名员工在npm公开注册账户发布的AI编程工具Claude Code版本中意外包含源映射source map文件导致该工具的完整专有源代码暴露。AI专家指出这种失误存在重大安全风险。被泄露的源映射会带来安全隐患美国网络安全与AI专家Joseph Steinberg表示攻击者可利用源映射重构原始源代码并[了解]其工作原理。代码中的任何机密信息——例如有人编写的API密钥——都将面临风险所有逻辑实现也同样如此。攻击者可能发现逻辑中的漏洞并加以利用。Anthropic发言人向CSO回应称事件不涉及敏感客户数据或凭证泄露。这是人为错误导致的发布打包问题并非安全漏洞。我们正在实施措施防止类似事件再次发生。但据《财富》等媒体报道类似情况上月已发生过一次。源映射文件的安全隐患开发者不应在开源注册表发布的最终代码版本中保留.map文件这些文件可能成为攻击者的情报来源。开发者Kuber Mehta在其博客中指出当向npm发布JavaScript/TypeScript包时构建工具链常会生成源映射文件。这些文件是压缩/打包后的生产代码与原始源代码间的桥梁用于在生产环境出现崩溃时将堆栈跟踪指向原始文件的实际代码行而非难以理解的引用。这些文件包含什么每个文件、每条注释、每个内部常量、所有系统提示——全部以JSON格式存储npm会向任何执行npm pack或浏览包内容的人提供这些数据Mehta解释道。他补充说错误几乎总是相同的开发者忘记在.npmignore中添加*.map或未配置打包工具跳过生产构建的源映射生成。以Bun打包工具Claude Code所用工具为例除非明确关闭否则默认会生成源映射。Steinberg将源映射比作显示压缩代码功能的人类可读文件例如它能表明可执行代码特定部分正在执行源代码某片段中的指令。他补充说源映射有助于调试——没有它许多错误只能被定位到大段代码范围而无法精确定位。本周二凌晨安全研究员Chaofan Shou在X平台发文Claude Code源代码通过npm注册表中的map文件泄露并附文件链接事件由此曝光。开发者的常见失误安全编码培训师Tanya Janca指出在包中遗留源映射文件是开发者常犯的典型错误鉴于涉及知识产权的极高价值加之恶意分子可直接分析源代码寻找漏洞而无需逆向工程本次事件的严重性远超一般情况。Janca建议开发者强化构建环境避免将调试信息/功能混入生产版本在构建/打包工具中禁用源映射在.npmignore/package.json文件中显式排除.map文件即使其被意外生成在CI/CD环境中将.map文件排除在发布产物列表外若存在差异需严格区分调试构建与生产构建——甚至注释都可能包含敏感信息关键架构层的暴露风险Arctic Wolf技术和服务总裁Dan Schiappa评论称任何源代码或系统级逻辑的暴露都意义重大因其揭示了控制机制的实现方式。在AI系统中这一架构层尤为关键。编排逻辑、提示词和工作流实质上定义了系统运行方式。若这些内容暴露攻击者更易识别弱点或操纵结果。考虑到攻击者仍在探索利用AI的最佳方式任何可能被攻破的工具背后都可能潜伏着网络犯罪分子。

相关文章:

Anthropic员工失误导致Claude Code源代码泄露

事件概述:npm源映射文件暴露专有代码Anthropic公司一名员工在npm公开注册账户发布的AI编程工具Claude Code版本中意外包含源映射(source map)文件,导致该工具的完整专有源代码暴露。AI专家指出,这种失误存在重大安全风…...

编程日记 2026/4/2 12:48:11

FadCam 安卓后台视频录制应用,支持屏幕关闭录制,多画质高帧率,隐私保护,适配个人安防与事件记录等正当用途

大家好,我是大飞哥。在个人安防、事件记录、现场取证等场景中,普通安卓录屏应用大多需要保持屏幕常亮,不仅容易暴露录制行为,还会快速消耗电量,无法满足隐蔽、长效录制的需求,而部分后台录制工具又存在隐私…...

编程日记 2026/4/2 12:48:11

Windows Cleaner终极指南:5分钟彻底解决C盘爆红和系统卡顿问题

Windows Cleaner终极指南:5分钟彻底解决C盘爆红和系统卡顿问题 【免费下载链接】WindowsCleaner Windows Cleaner——专治C盘爆红及各种不服! 项目地址: https://gitcode.com/gh_mirrors/wi/WindowsCleaner Windows Cleaner是一款专为Windows系统…...

编程日记 2026/4/2 12:48:11

Analog入门指南:如何在5分钟内搭建你的第一个Angular全栈应用

Analog入门指南:如何在5分钟内搭建你的第一个Angular全栈应用 【免费下载链接】analog The fullstack meta-framework for Angular. Powered by Vite and Nitro 项目地址: https://gitcode.com/gh_mirrors/an/analog Analog是一个功能强大的Angular全栈元框架…...

编程日记 2026/4/2 12:48:11

技术解析 | 【ECCV2022】MuLUT:多级查找表协同优化在图像超分中的高效实践

1. MuLUT技术背景与核心价值 图像超分辨率(Super-Resolution)技术一直是计算机视觉领域的热门研究方向,简单来说就是让低分辨率图像变清晰的过程。传统基于卷积神经网络(CNN)的方法虽然效果不错,但计算量大…...

编程日记 2026/4/2 12:48:08

特征提取网络对比:ResNet与原始模型在deep_sort_pytorch中的性能差异

特征提取网络对比:ResNet与原始模型在deep_sort_pytorch中的性能差异 【免费下载链接】deep_sort_pytorch MOT using deepsort and yolov3 with pytorch 项目地址: https://gitcode.com/gh_mirrors/de/deep_sort_pytorch 在目标跟踪领域,特征提取…...

编程日记 2026/4/2 12:46:08

GPU Burn:多GPU压力测试的终极解决方案

GPU Burn:多GPU压力测试的终极解决方案 【免费下载链接】gpu-burn Multi-GPU CUDA stress test 项目地址: https://gitcode.com/gh_mirrors/gp/gpu-burn 在高性能计算与深度学习领域,GPU的稳定性直接决定了系统的可靠性。作为一款专注于NVIDIA显卡…...

编程日记 2026/4/2 12:46:08

颠覆式AI视觉自动化:3大突破重新定义UI测试与跨平台交互

颠覆式AI视觉自动化:3大突破重新定义UI测试与跨平台交互 【免费下载链接】midscene AI-powered, vision-driven UI automation for every platform. 项目地址: https://gitcode.com/GitHub_Trending/mid/midscene 在数字化转型加速的今天,UI自动化…...

编程日记 2026/4/2 12:46:08

5大理由选择Blueman:Linux蓝牙管理工具的最优解

5大理由选择Blueman:Linux蓝牙管理工具的最优解 【免费下载链接】blueman Blueman is a GTK Bluetooth Manager 项目地址: https://gitcode.com/gh_mirrors/bl/blueman Blueman作为基于GTK框架的Linux蓝牙管理工具,以其深度的桌面环境整合能力、完…...

编程日记 2026/4/2 12:46:08

机器人学前沿技术探索:robotics-coursework项目高级应用指南

机器人学前沿技术探索:robotics-coursework项目高级应用指南 【免费下载链接】robotics-coursework 🤖 Places where you can learn robotics (and stuff like that) online 🤖 项目地址: https://gitcode.com/gh_mirrors/ro/robotics-cour…...

编程日记 2026/4/2 12:46:08

Sora走了,PixVerse V6来了!AI视频空间时间处理能力大增,延时拍摄、慢动作都能搞

西风 发自 凹非寺量子位 | 公众号 QbitAISora前脚刚被叫停,国内AI视频玩家后脚立刻续上新模型。这回不搞“能生成视频就行”那套了,直接给你整出感官级沉浸式体验。有多沉浸?一句话让你get电影《功夫小蝇》同款视角,小蜜蜂误闯人类…...

编程日记 2026/4/2 12:44:07

3分钟上手VSCode Mermaid Preview:在IDE中实现可视化图表实时预览

3分钟上手VSCode Mermaid Preview:在IDE中实现可视化图表实时预览 【免费下载链接】vscode-mermaid-preview Previews Mermaid diagrams 项目地址: https://gitcode.com/gh_mirrors/vs/vscode-mermaid-preview 还在为编写Mermaid图表时需要在代码编辑器与预览…...

编程日记 2026/4/2 12:44:07

The-Forge安全实践指南:跨平台渲染框架的终极安全保障方案

The-Forge安全实践指南:跨平台渲染框架的终极安全保障方案 【免费下载链接】The-Forge The Forge Cross-Platform Framework PC Windows, Steamdeck (native), Ray Tracing, macOS / iOS, Android, XBOX, PS4, PS5, Switch, Quest 2 项目地址: https://gitcode.co…...

编程日记 2026/4/2 12:44:07

Koikatu HF Patch完整安装指南:5步轻松解锁游戏全部潜力

Koikatu HF Patch完整安装指南:5步轻松解锁游戏全部潜力 【免费下载链接】KK-HF_Patch Automatically translate, uncensor and update Koikatu! and Koikatsu Party! 项目地址: https://gitcode.com/gh_mirrors/kk/KK-HF_Patch 还在为Koikatu游戏体验不完整…...

编程日记 2026/4/2 12:44:07

Betaflight 2025.12:Azure RTOS架构重构带来的无人机飞控性能革命

Betaflight 2025.12:Azure RTOS架构重构带来的无人机飞控性能革命 【免费下载链接】betaflight Open Source Flight Controller Firmware 项目地址: https://gitcode.com/gh_mirrors/be/betaflight Betaflight作为全球最流行的开源无人机飞控固件&#xff0c…...

编程日记 2026/4/2 12:44:07

Reloadium与Django集成:实现视图热重载和页面自动刷新

Reloadium与Django集成:实现视图热重载和页面自动刷新 【免费下载链接】reloadium Hot Reloading, Profiling and AI debugging for Python 项目地址: https://gitcode.com/gh_mirrors/re/reloadium Reloadium是一个强大的Python开发工具,为你的I…...

编程日记 2026/4/2 12:42:07

PP实施经验分享(22)——(ECC版本)生产版本\BOM\工艺路线选择策略与批量大小优化实践

1. ECC版本下生产版本的选择逻辑 在SAP ECC系统中,生产版本的选择逻辑与S4版本存在显著差异。我经历过一个汽车零部件制造项目,当时客户就遇到了生产版本选择混乱的问题。他们原先使用的是S4系统,切换到ECC后发现很多配置需要重新调整。 物料…...

编程日记 2026/4/2 12:42:07

DeepSeek-Coder-V2-Lite-Instruct跨平台兼容性测试:在不同环境中的运行表现

DeepSeek-Coder-V2-Lite-Instruct跨平台兼容性测试:在不同环境中的运行表现 【免费下载链接】DeepSeek-Coder-V2-Lite-Instruct 开源代码智能利器——DeepSeek-Coder-V2,性能比肩GPT4-Turbo,全面支持338种编程语言,128K超长上下文…...

编程日记 2026/4/2 12:42:07

OpenClaw镜像体验:Qwen3.5-9B云端部署避坑指南

OpenClaw镜像体验:Qwen3.5-9B云端部署避坑指南 1. 为什么选择云端镜像而非本地部署 去年冬天,当我第一次尝试在本地MacBook Pro上部署OpenClaw时,整整浪费了两个周末的时间。Node版本冲突、Python依赖缺失、CUDA驱动不兼容——这些看似简单…...

编程日记 2026/4/2 12:42:07

Proxy最佳实践:企业级C++项目中如何正确使用多态库

Proxy最佳实践:企业级C项目中如何正确使用多态库 【免费下载链接】proxy Proxy: Next Generation Polymorphism in C 项目地址: https://gitcode.com/gh_mirrors/pr/proxy 在当今的企业级C开发中,运行时多态性是构建可扩展、可维护系统的关键。传…...

编程日记 2026/4/2 12:42:07

PT助手Plus终极配置指南:三步实现智能自动化下载生态

PT助手Plus终极配置指南:三步实现智能自动化下载生态 【免费下载链接】PT-Plugin-Plus PT 助手 Plus,为 Microsoft Edge、Google Chrome、Firefox 浏览器插件(Web Extensions),主要用于辅助下载 PT 站的种子。 项目地…...

编程日记 2026/4/2 12:40:07

构建智能压枪系统:罗技鼠标宏的底层技术与实战优化

构建智能压枪系统:罗技鼠标宏的底层技术与实战优化 【免费下载链接】logitech-pubg PUBG no recoil script for Logitech gaming mouse / 绝地求生 罗技 鼠标宏 项目地址: https://gitcode.com/gh_mirrors/lo/logitech-pubg 问题剖析:后坐力控制的…...

编程日记 2026/4/2 12:40:07

SAP MTO实战:E+M模式配置与操作全流程避坑指南(含策略组22详解)

SAP MTO实战:EM模式配置与操作全流程避坑指南(含策略组22详解) 当客户需要一台完全定制化的工业设备时,传统库存管理模式往往束手无策。这正是SAP按订单生产(MTO)模式大显身手的场景——特别是其中的EM&…...

编程日记 2026/4/2 12:40:07

PostGIS中ST_Area计算面积时单位转换的实用技巧

1. 为什么ST_Area在WGS84坐标系下计算结果不对劲? 第一次用PostGIS的ST_Area函数计算地理围栏面积时,我盯着屏幕上那个小得离谱的数字愣了半天——0.000002?这还没我家卫生间大!后来才发现,原来90%的新手都会在这个坑里…...

编程日记 2026/4/2 12:40:07

2026指纹浏览器技术升级:从环境隔离到风控对抗

2026 年,互联网平台的风控技术迎来质的飞跃,传统的 “IP 切换”“参数修改” 已无法应对多维度的检测体系。指纹浏览器作为多账号运营的核心支撑,其技术迭代速度远超以往 —— 从简单的参数修改,到内核级虚拟化;从单一…...

编程日记 2026/4/2 12:40:06

KW45芯片的安全启动

KW45芯片的安全启动是一个硬件强制执行的完整性验证机制,确保芯片始终只运行由设备所有者(OEM)授权和签名的固件。它的核心目标是防止未授权或恶意代码在设备上执行,是构建设备安全体系的基石。🛡️ 安全启动的核心机制…...

编程日记 2026/4/2 12:38:06

Ubuntu上彻底卸载Ollama的保姆级命令指南(附残留文件清理)

Ubuntu上彻底卸载Ollama的深度清理指南:从基础命令到系统级排查 在AI工具快速迭代的今天,许多开发者都会在本地环境测试各种大模型框架。Ollama作为轻量级的大模型运行工具,虽然安装便捷,但当需要彻底移除时,简单的删除…...

编程日记 2026/4/2 12:38:06

Zotero中文文献管理终极解决方案:Jasminum插件完整指南

Zotero中文文献管理终极解决方案:Jasminum插件完整指南 【免费下载链接】jasminum A Zotero add-on to retrive CNKI meta data. 一个简单的Zotero 插件,用于识别中文元数据 项目地址: https://gitcode.com/gh_mirrors/ja/jasminum 你是否曾为中文…...

编程日记 2026/4/2 12:38:06

Gitee:中国DevOps生态的数字化转型引擎

本土化创新重塑开发者体验在中国数字经济蓬勃发展的背景下,Gitee作为国产代码托管平台的代表,正在重新定义中国开发者的工作方式。不同于国际平台在中国市场的适应性局限,Gitee通过深度理解本土开发者的工作习惯和业务场景,构建了…...

编程日记 2026/4/2 12:38:05

iOS 15+ 设备越狱实战指南:A8-A11 芯片全流程适配方案

iOS 15 设备越狱实战指南:A8-A11 芯片全流程适配方案 【免费下载链接】palera1n Jailbreak for A8 through A11, T2 devices, on iOS/iPadOS/tvOS 15.0, bridgeOS 5.0 and higher. 项目地址: https://gitcode.com/GitHub_Trending/pa/palera1n 一、问题诊断&…...

编程日记 2026/4/2 12:37:59