2026年4月,AI独角兽企业Anthropic在发布命令行工具Claude Code时,因未删除源码映射.map文件,导致近2000份文件、超50万行TypeScript源代码泄露。开发者Chaofan Shou率先爆料,尽管官方第一时间紧急撤包补救,源码仍被备份至GitHub永久留存,还意外曝光未公开的BUDDY赛博宠物项目,引发行业广泛热议。
4月1日上午9点,这条爆料刚出现在社交平台时,几乎所有业内人都把它当成了愚人节整活——毕竟以AI安全为核心卖点的Anthropic,怎么会犯发布npm包忘删.map文件的低级错误?但随着越来越多开发者下载验证、晒出还原后的完整源码,整个AI开发圈才意识到,这是Anthropic成立以来遭遇的最严重的技术泄露事件。
这次泄露的源头是Anthropic面向开发者推出的编程辅助工具Claude Code的npm正式包,作为对标GitHub Copilot的核心商业化产品,Claude Code此前一直以代码生成准确率高于同类产品30%的优势抢占市场。按照前端开发的常规流程,TypeScript代码编译后生成的.map文件仅用于调试,正式发布时必须删除,否则用户可直接通过该文件还原出完整的原始源码。
开发者Chaofan Shou在测试Claude Code新功能时偶然发现了这个漏洞,随后将情况同步给了Anthropic官方,后者在接到反馈后仅用47分钟就完成了问题包的下架替换,但此时相关安装包已经被下载了近千次,很快就有开发者将还原后的50万行全量源码上传至GitHub,截至发稿,相关备份已经在全球多个开发者社区扩散,完全没有彻底删除的可能。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录