原始碼外洩事件始末
近日,人工智慧公司 Anthropic 發生了一起嚴重的原始碼外洩事件。據 VentureBeat 報導,Anthropic 在其發佈的 npm 套件版本 2.1.88 中,意外地包含了一個 59.8 MB 的原始碼映射檔案(source map file),這導致該公司 Claude Code 專案中約 512,000 行未經混淆的 TypeScript 原始碼被暴露。此次洩漏的內容範圍極廣,涵蓋了 1,906 個檔案,包括完整的權限模型、所有的 Bash 安全驗證器,甚至還提到了尚未正式發佈的 AI 模型功能標誌,這對企業安全性構成了巨大的威脅。
企業面臨的潛在威脅
安全專家指出,此次洩漏不僅是單純的代碼遺失,更是對企業信任鏈的嚴重損害。駭客可以藉由這些公開的權限模型與 security validators 來分析並找出 Claude Code 的攻擊路徑(attack paths),進而對部署了 AI 編碼代理(AI coding agents)的企業發動針對性的攻擊。企業安全負責人目前面臨嚴峻的挑戰,需要緊急審查內部代碼環境,以防止這些洩漏資訊被惡意濫用。
DMCA 誤殺風波與法律責任
在洩漏事件發生後,Anthropic 試圖透過數位千禧年著作權法(DMCA)來緊急封鎖這些外洩的代碼。然而,這一過程卻引發了更大的爭議。根據 TechCrunch 的報導,Anthropic 在試圖移除洩漏內容時,意外地向 GitHub 發出了大規模的封鎖請求,導致數千個與該專案無關、甚至是合法的 GitHub 發者專案遭到移除。儘管 Anthropic 後來聲稱這是「意外」,並撤回了大部分封鎖通知,但此舉已在開源社群引發了強烈不滿。
從法律角度來看,此事件凸顯了 DMCA 第 512 條「安全港」(Safe Harbor)原則的複雜性。當企業未經嚴謹評估即自動化地發出 DMCA 封鎖通知,且誤傷了非侵權內容時,可能會觸發社群的反彈,甚至在未盡到審慎調查責任的情況下,面臨著作權法中關於「虛假陳述」的潛在法律風險。對於像 Anthropic 這類 AI 前沿企業而言,如何平衡知識產權保護與透明度,已成為極為關鍵的議題。
未來展望與安全預警
此事件清楚揭示了 AI 模型開發商在快速迭代過程中,對敏感資產保護流程的疏忽。Ars Technica 的分析顯示,洩露的代碼甚至揭露了 Anthropic 未來的產品規劃,例如一種名為「Buddy」的虛擬助理。對於廣大企業用戶而言,這次事件提醒了 AI 供應鏈安全的脆弱性。企業在導入各類 AI Agent 時,必須建立更完善的審計機制,並隨時監控供應鏈中潛在的資安威脅。