意外的原始碼暴露
人工智慧初創公司 Anthropic 近期發生嚴重資安疏失,在版本 2.1.88 的 @anthropic-ai/claude-code npm 套件中,意外夾帶了一份 59.8 MB 的原始碼映射檔。這份檔案暴露了高達 512,000 行未經混淆的 TypeScript 程式碼,涵蓋了 1,906 個檔案。這些原始碼包含了 Claude Code 的完整權限模型、Bash 安全驗證器,以及 44 個尚未公開的功能旗標與未來模型參照。
DMCA 執法爭議
事件發生後,Anthropic 採取了大規模的 DMCA 版權通知來嘗試封鎖這些外洩碼。然而,此舉卻引發社群強烈反彈。因為該通知機制未能準確區分惡意的「外洩碼 fork」與其他正常的開源開發引用,導致許多合法的 GitHub 專案被錯誤封鎖。此舉導致 Anthropic 在技術社群中面臨沉重的公關與法律壓力,突顯出大型科技公司在處理開源平台上的數位內容保護機制與社群協作精神之間的矛盾。
對企業安全領導者的建議
此次洩漏事件對於依賴 AI 編碼代理的企業構成了重大安全風險。安全專家建議企業領導者採取以下行動:立即稽核所有與 Claude Code 相關的整合,重新評估現有的安全邊界,並強化對於第三方開發工具的供應鏈風險控管。外洩的內容不僅暴露了程式設計的邏輯細節,也提供了潛在的攻擊路徑,讓惡意攻擊者更容易針對類似結構的系統進行研究與入侵。
科技監管啟示
此次事件也顯示了數位版權管理工具在處理軟體原始碼傳播時的侷限性。過度強制的自動化執法可能會誤傷合法的開源社群參與者。這不僅僅是 Anthropic 的單一事件,未來對於所有 AI 相關工具供應商,如何在資安洩露後的處置程序上取得平衡,將是各界持續探討的議題。