界面新闻记者 | 宋佳楠

在这个连代码都能“自我进化”的时代,AI巨头们最担心的往往不是竞争对手的算力,而是自家“保险箱”的钥匙被挂在了大门上。

当地时间3月31日,被视为OpenAI最强竞争对手的Anthropic再次遭遇代码泄露事件。Web3安全公司FuzzLand研究员Chaofan Shou在社交平台披露,Anthropic旗下核心AI编程工具Claude Code的2.1.88版本npm包(Node包管理器)中,意外包含了一个59.8MB的cli.js.map调试文件,其中嵌入了51.2万行未经混淆的TypeScript原始代码,涵盖1906个核心源文件与40余个工具模块,数小时内便在GitHub形成星标破万、备份超2万次的扩散态势。

Anthropic发言人在一份声明中证实了上述事件的真实性,但其强调,事故“没有涉及或泄露任何敏感的客户数据或凭证。这只是人为错误导致的包装问题,并非安全漏洞。我们正在采取措施防止此类事件再次发生。”

上述发言人提到的包装问题,主要是指Source Map文件本应用于内部调试,却因Anthropic未在.npmignore配置中过滤而被纳入生产发布包,开发者通过文件内的sources与sourcesContent对应数组,可直接提取完整源码。

这已是Anthropic在一周内遭遇的第二起重大数据失误事件。3月26日,据报道,由于外部内容管理系统(CMS)的人为配置失误,Anthropic近3000份内部敏感文件被公开访问,其中包括下一代Claude Mythos模型的未发布博客草稿、面向CEO级别客户的闭门活动细节,甚至包含该模型网络安全能力的核心评估报告。

而在2025年2月,Claude Code预览版曾因相同的Source Map漏洞导致部分代码曝光,此次迭代后仍未建立有效的CI/CD安全校验机制。

Anthropic由多位前OpenAI高管和研究人员于2021年创立,它最为外界所熟知的便是开发了一系列名为Claude的AI模型。该工具的成功促使OpenAI、谷歌等公司纷纷效仿。

对这家依赖技术壁垒的企业而言,短期损失显而易见。此前Anthropic曾提到,Claude Code的年化收入已超过25亿美元。随着部分智能体架构、思维链循环逻辑等核心技术的公开,或将显著缩短竞争对手的追赶周期。

Anthropic近期正处于IPO的关键筹备期,消息称其最早在10月公开上市,目前已与华尔街银行就上市事宜进行了初步讨论,并计划在IPO中筹集超过600亿美元的资金。今年2月,Anthropic完成了最新一轮300亿美元的融资,估值冲上3800亿美元。

但连续不断的源代码泄露事故,直接冲击了Anthropic赖以立足的“安全优先”品牌形象,暴露了AI企业在高速扩张中的安全管理短板。

对于Anthropic而言,如何在修复漏洞的同时重建信任,建立真正贯穿全流程的安全校验机制,平衡技术保密与行业透明,将是其未来发展的关键命题。对其他科技企业来说,在AI技术飞速演进的今天,真正的安全壁垒从来不是口号式的承诺,而是刻在每个流程、每个配置中的严谨与审慎。