美國人工智能公司Anthropic於3月31日(周二)表示,該公司在更新人工智能工具時,不慎洩露了其熱門AI聊天機械人工具「Claude Code」的內部原始碼,這些內容迅速在網上被傳播複製。截至周三(4月1日)上午,Anthropic以版權為由,在GitHub上刪除了8,000多份被轉載的Claude Code內容。
公司坦承發生洩露
根據Anthropic發言人的聲明,此次外洩源於發布在NPM註冊表(npm registry)上的@anthropic-ai/claude-code套件2.1.88版本。因為打包設定錯誤,該版本意外判含了一個大小達59.8MB的JavaScript source map檔案,該檔案指向完整的TypeScript原始碼,導致約51.2萬行TypeScript原始碼被公開,涉及檔案數量約在1,900到2,300個之間。
據報道,洩漏事件被一名X用戶很快發現,這些程式碼迅速流傳到世界上最大的代碼存放網站和開源社區GitHub上的多個儲存庫,已被複製數萬次。
Anthropic稱此次事件為一次「(發布)打包失誤」(packaging mistake),而非遭到黑客攻擊。
「今天(周二)稍早,Claude Code的一個版本發布中包含了部份內部原始碼。其中並未涉及或洩露任何敏感的客戶資料或憑證,」Anthropic在聲明中寫道,「這是由人為錯誤導致的發布封裝問題,並非安全漏洞。我們正在採取措施以防止此類情況再次發生。」
洩露的內容
截至周三上午,在GitHub平台上,Anthropic公司通過版權手段,強制刪除了開發者們分享的8,000多份Claude Code原始指令(即原始程序碼)的副本和改編版本。
Anthropic公司的發言人表示,這次未涉及該公司昂貴且功能強大的AI模型中寶貴的內部數學模型(常被稱為weights)。
Claude Code是Anthropic推出的面向開發者的AI編程協作工具。
這次洩漏暴露的是Claude Code的CLI客戶端與代理層(agent harness),包括其工具調用邏輯、記憶體架構、權限模型、token 算、thinking mode、retry機制等。這些屬於Anthropic產品層的專有技術,這些技術和工具被稱為駕馭AI能力的馬具「Harness」。
但不包含Claude底層的大型語言模型的內部數學模型、訓練資料,或核心AI基礎架構。
可能後果
不過,由於完整原始碼已被鏡像到GitHub並被大量開發者與競爭者分析,這讓眾多在AI領域要爭一席之地的新創公司,以及Anthropic的競爭對手們更容易審視Claude Code的邏輯、尋找潛在弱點或設計繞過方式。
因為底層指令包含很多產品的關鍵設計理念、回答提問的策略、安全與優先級邏輯等核心訊息。
這也讓黑客獲得了大量新訊息來尋找漏洞,然後利用這些漏洞來攻擊Claude Code,這會給Anthropic及其工具的開發使用者們帶來風險。
例如,Claude Code的很多安全限制,如不能去編制有危害的內容,不能去詐騙等,都寫在底層代碼中。那麼獲得了底層代碼的不法份子或可設計有針對性的編碼,來繞過Claude Code的安全限制。這些或會影響Anthropic的安全聲譽,以致影響現有或潛在客戶對它的信任。
Anthropic在自身網站沒有發布有關洩漏的訊息。通常公司的代碼被洩漏後,公司需要更新安全策略與打包流程。#
-------------------
局勢持續演變
與您見證世界格局重塑
-------------------
🔔下載大紀元App 接收即時新聞通知:
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand
📰周末版實體報銷售點👇🏻
http://epochtimeshk.org/stores
