Claude Code源碼首爆高危漏洞,偷拍毫無察覺,8100個庫連夜封殺
源碼洩露事件背景
2026年3月31日,美國Anthropic公司因npm包打包失誤,導致其最新命令行工具Claude Code的約51.2萬行源代碼被意外洩露。該洩露內容包含1900個源文件、40餘個工具模塊及多項未發佈功能,暴露出核心代碼的完整結構。
漏洞與安全風險
洩露的源碼中發現了多個高危安全漏洞,包括CVE-2025-59536和CVE-2026-21852,允許遠程代碼執行與API密鑰竊取。這些漏洞在2025年8月至2026年1月期間已被官方修復,但洩露事件仍引發廣泛關注。
Anthropic的應對措施
- Anthropic迅速採取行動,通過DMCA(數字千年版權法)下架了全球8100個GitHub倉庫,其中約8000個為誤傷。
- 事件發生後,Anthropic緊急審查其打包流程,並調整Bun打包工具的默認行為,以防止類似事件再次發生。
- 部分克隆庫(如NanmiCoder/claude-code-haha)已公開,但明確標註所有原始源碼版權歸Anthropic所有,僅供學習與研究用途。
技術細節與影響
洩露的根源在於npm註冊表中的一個map文件配置疏忽,導致源碼文件(.map)被錯誤地包含在發佈包中,使開發者能夠直接訪問完整源碼與手寫註釋,形成“裸奔”狀態。
此事件不僅暴露了Anthropic在代碼安全管控上的漏洞,也引發全球開發者社區對大語言模型工具源碼管理的深度反思。