今年2月,Anthropic的Claude Code负责人Boris Cherny在X上扔了个数字:公司代码"差不多100%"由AI生成。他个人更极端——"两个多月了,我连小修小改都不动手"。
这话当时被当成AI编程的里程碑。三个月后,Anthropic的Claude Code源码出现在GitHub公开仓库,任何人都能下载。公司发言人紧急灭火:「没有敏感客户数据或凭证泄露」,试图把焦点引向" bright side"。
但安全圈的人笑不出来。Cherny那条推文还在,像块电子墓碑——你刚宣布让AI接管方向盘,车就撞了护栏。
泄露路径:一个map文件的低级失误
问题出在一个npm包。Anthropic在GitHub发布的文件里嵌了指向源码的链接,相当于把家门钥匙粘在门牌后面。X上一条帖子「Claude Code源码通过npm registry的map文件泄露了!」24小时内浏览量破千万。
公司事后发出版权下架请求,超过8000份。华尔街日报拿到的数字显示,这些请求覆盖源码副本及改编版本,包含Claude Code的核心指令集——也就是Anthropic用来"指挥"AI代理如何行动的底层逻辑。
发言人把锅扣给人类:「这是发布打包环节的人为失误,不是安全漏洞」。措辞很讲究——既承认出事,又划清与AI的界限。但外界更关心另一个问题:在宣称100%AI生成代码的流程里,人类究竟在哪个环节介入?打包发布这种"体力活",有没有可能交给AI代理处理?
Anthropic没回答。公司只说「正在推出措施防止复发」,对技术细节保持沉默。
泄露内容:竞争对手的逆向工程手册
据Cybersecurity News分析,暴露的代码涵盖权限授权机制、权限强制执行、多代理协调,以及未公开的功能管线。翻译成产品经理的语言:这相当于把Claude Code的"神经系统解剖图"贴在了公告栏。
华尔街日报的评估更直接——竞争对手现在能更容易地逆向工程Claude Code。AI代理赛道正热,OpenAI的Codex、GitHub Copilot都在抢企业客户。Anthropic的技术护城河,被自家的一次打包失误抽掉几块砖。
讽刺的是时间线。就在泄露前不到一周,Anthropic的"Claude Mythos"模型信息刚被泄露,公司当时声称该模型带来「前所未有的网络安全风险」。两周内两次重大泄露,一次是外部偷跑,一次是内部手滑。
网络安全研究者早就警告过AI代理的风险:给它完整的计算机访问权限执行复杂任务,等于在系统里养了个权限极高的"数字员工"。Anthropic的回应是加速——Cherny的100%宣言,本质是对这种担忧的正面硬刚。
现在硬刚的后果来了。不是AI造反的科幻剧本,而是人类在AI辅助流程里犯的低级错误。这比"AI失控"更难防——你没法用对齐研究解决手滑。
行业隐喻:当"AI原生"成为双刃剑
Claude Code的定位是"AI代理"——不仅能写代码,还能执行测试、部署、调试全流程。Cherny的100%宣言,是这种能力的极限展示。但极限展示往往伴随极限风险:当AI深度介入开发流水线,人类 oversight 的节点被压缩到何处?
Anthropic的泄露事件没有标准答案。公司强调「人为失误」,但拒绝披露AI在打包流程中的参与程度。这种信息模糊本身,就是"AI原生"公司的新困境——你越是标榜AI驱动,外界越难区分"人的错"和"AI的错"。
更现实的冲击在竞争层面。源码泄露意味着Anthropic的提示工程技巧、代理协调策略、甚至未发布功能,都可能被对手快速复制。AI代理的护城河本就不深——技术栈开源、模型能力趋同,差异化主要靠工程细节。现在细节裸奔了。
一位安全研究员在X上的评论被大量转发:「他们花了三年教Claude写代码,却忘了教人类怎么打包」。这条吐槽精准戳中了"AI原生"叙事的盲点:自动化程度越高,人类在关键节点的判断力越容易生锈。
Anthropic的8000份下架请求能追回多少?技术社区的反应说明问题——泄露文件已在多个镜像站流通,部分开发者开始分析其代理协调协议。 damage control 的窗口期,在GitHub的公开仓库里以小时计。
公司发言人最后表态:「我们正在推出措施防止复发」。但措施具体内容、是否涉及调整AI代理的权限边界,均未透露。考虑到Cherny"100% AI生成"的公开承诺,任何向人类审核回退的调整,都可能被解读为叙事打脸。
这是AI原生公司的新考题:当效率神话撞上安全现实,你选择维护哪个故事?
热门跟贴