打开网易新闻 查看精彩图片

Anthropic 昨天干了件让自家工程师可能想连夜改简历的事。

3 月 31 日,这家公司向 npm 公开发布了 Claude Code 2.1.88 版本,结果打包进去一个源代码映射文件——51 万行代码、近 2000 个文件,就这么摊在了所有人面前。安全研究员 Chaofan Shou 把链接一放,浏览量飙到 3000 多万,围观群众比 Claude 的日活还热闹。

公司发言人随后找 CNET 灭火:确认是内部源码,但用户数据和凭证没丢。翻译一下,就是"家丑外扬了,但保险柜还锁着"。

Anthropic 把锅扣给了"人为失误",说已经堵上漏洞。不过这事细想挺有意思:一家做 AI 安全起家的公司,自己的代码安全管理却栽在了最基础的发布流程上。就像卖防盗门的把钥匙落锁孔里,专业对口,但不对自己的口。

目前 npm 上的相关版本已被撤下,但代码这东西,流出就是流出。现在 GitHub 上应该已经有不少人在做"阅读理解"了。