最新新聞 (TW)

人為錯誤洩漏了 npm 儲存庫上 Agent Claude 程式碼的完整原始碼

作者 Redação Mix Vale 2026年5月27日 1 min de leitura
WhatsApp Twitter Facebook Seguir no Google E-mail
Claude by Anthropic
Foto: Claude by Anthropic - gguy/ Shutterstock.com

Anthropic 已確認與特務 Claude Code 相關的內部原始碼檔案意外洩露。該事件發生在 2026 年 4 月 1 日上午,當時正將官方套件 2.1.88 版本發佈到 npm 儲存庫期間。開發人員快速識別出來源映射檔案的存在,該檔案允許重建軟體結構的重要部分。該公司在發現問題後立即從公共註冊表中刪除了受影響的版本。

此事件的發生是由於工具打包過程中的配置失敗。該公司澄清說,活動期間沒有洩露任何敏感的客戶資料或存取憑證。此案例代表內部操作錯誤,與外部代理的入侵或安全漏洞無關。技術專業人員透過線上論壇和討論平台即時監控情況。

更新中公開的文件的技術細節

有問題的檔案由一個大約 60 MB 的來源映射組成,該來源映射未正確包含在最終包中。該技術元件提供了對大約 1,900 個以 TypeScript 語言編寫的檔案的存取。洩漏的材料總量超過51.2萬行結構代碼。這個基礎構成了 Claude Code 的主要架構,Claude Code 是一個命令列介面,使用人工智慧模型的功能來執行自主程式設計任務。

此次曝光的原因是開發環境配置的排除規則在編譯時失敗。安全研究人員注意到,來源對應直接指向 Anthropic 儲存伺服器上託管的壓縮檔案。此目標缺陷使任何分析套件結構的使用者在該版本在全域註冊表中保持活動狀態期間更容易下載整個內容。

npm 生態系統是世界上最大的軟體包儲存庫,每天都有數百萬程式設計師使用。在這種環境下發布敏感資料需要快速回應,以防止機密資訊的傳播。即使原始來源已被刪除,互聯網的去中心化基礎設施也允許鏡像和快取中的檔案可用。

企業反應和採取的遏制措施

公司官方發言人發表聲明,詳細說明了事件的性質並承擔人為錯誤的責任。工程團隊已開始實施額外的自動掃描層,以防止未來軟體更新中發生類似情況。 Anthropic 確保 Claude Code 的運作對於活躍用戶群保持穩定且不間斷。

軟體供應鏈安全專家警告與結構洩漏相關的風險。了解內部工具和公司工作流程可以為大型科技公司的開發實踐提供寶貴的見解。該自主代理於 2025 年 2 月開始上市,因在執行複雜命令時提供不同程度的獨立性而廣受歡迎。

移除包裹的快速反應減輕了一些最初的損害。然而,開發者社群的開源性質加速了資料的傳播。錯誤報告的透明度有助於維持依賴該品牌人工智慧解決方案進行日常營運的企業客戶的信任。

材料傳播和社區分析

軟體開發社群中資訊傳播的速度在錯誤被發現後立即產生了發展。

Leia Tambem
來自 3I/ATLAS 彗星的無線電訊號動員 NASA 和全球天文台進行前所未有的研究

來自 3I/ATLAS 彗星的無線電訊號動員 NASA 和全球天文台進行前所未有的研究

美國航太局揭示星際彗星 3I/Atlas 的組成和前所未有的路線

美國航太局揭示星際彗星 3I/Atlas 的組成和前所未有的路線

NASA 航太局在新研究中詳細介紹了星際彗星 3I/Atlas 的化學成分

NASA 航太局在新研究中詳細介紹了星際彗星 3I/Atlas 的化學成分

  • 在使用者發出初始警報後的幾分鐘內,2.1.88 版本的軟體包就從主 npm 註冊表中消失了。
  • 洩漏原始碼的完整副本很快就會出現在 GitHub 平台上的公共儲存庫中。
  • 安全分析師開始檢查材料以了解自主代理的編排架構。

檢查暴露程式碼的開發人員發現直接引用了公司內部使用的工具。該材料揭示了系統不同組件之間的交互模式以及代理行為的特定配置。大量的程式碼行表明了將高階語言模型與實際執行、語法審查和工作流程管理功能整合所需的複雜性。

最近的操作漏洞歷史記錄

npm 儲存庫外洩標誌著 Anthropic 內部資料在短時間內發生的第二起意外外洩事件。在此活動前一周,由於專案管理工具的配置不正確,開發階段的草稿文件和內容可供公眾存取。該公司管理層將這兩起事件歸類為孤立的操作故障,斷然排除了協同網路攻擊的假設。

全球技術界越來越關注這些案件的進展。套件管理代表了當代軟體供應鏈的基本支柱,其中相互關聯的依賴關係構成了數千個商業應用程式的基礎。打包過程中的任何漏洞都有可能影響依賴透過官方管道分發的原始程式碼完整性的衍生項目。

對自主代理發展的影響

無意中存取克勞德程式碼結構為研究人員提供了一個難得的機會來研究人工智慧中包含不良行為的機制。該系統的外圍架構提供了 Anthropic 如何管理核心語言模型和外部執行環境之間複雜交互作用的重要線索。人工智慧輔助的開發工具市場正在經歷加速擴張和大規模投資的階段。

該行業的公司尋求創建能夠在解決軟體工程問題時更加獨立行動的代理。 Anthropic 的解決方案之所以脫穎而出,是因為它試圖在自主執行的力量與嚴格的安全保障之間取得平衡。該事件引發了有關程式碼審查實踐和涉及具有高度操作自主權的組件的產品發布協議的重要爭論。

該公司維持該代理商的開發計劃,並計劃在更新的安全參數內擴展該工具的功能。 2026 年 4 月的事件是一個實際警告,提醒我們需要在軟體分發的所有階段進行嚴格的品質控制。人工智慧進步的領導地位需要不斷改進企業資訊安全常規。