Anthropic员工操作失误 旗下Claude Code专有源代码意外泄露

近日，AI大模型厂商Anthropic被曝出现严重操作失误，其发布在npm公共软件包仓库中的AI编程工具Claude Code版本意外附带源映射（Source Map）文件，直接导致该工具全部专有源代码对外泄露。作为Claude家族核心ToB商业化产品，本次泄露事件也引发了全球AI行业对厂商开发供应链安全的普遍担忧。

本次泄露最早由海外开源社区的独立开发者在测试Claude Code最新版npm依赖包时发现：当开发者启用浏览器调试工具加载工具组件时，包内携带的源映射文件自动拉取了完整的未压缩原始代码，其中包含Claude Code的核心推理逻辑、私有接口调用规则、部分内置API密钥片段等高度敏感内容。目前Anthropic已经紧急下架了涉事版本的软件包，同时对公开渠道的源码流传进行溯源清理。

作为Anthropic对标GitHub Copilot、Cursor等产品的核心AI编程工具，Claude Code主打企业级代码安全审计、跨语言复杂系统生成、遗留系统重构等差异化功能，自2023年正式发布以来，已经接入超过2300家大中型企业客户，占Anthropic ToB营收的近30%，是其仅次于通用大模型API的第二大收入来源。

近年来，代码生成类AI工具的市场规模快速扩张，据Gartner预测，2025年全球70%的企业开发流程会嵌入AI编程助手，头部厂商的核心代码工具源码，直接关系到数十万企业用户的系统安全。

本次泄露的核心诱因是极低级的人为操作失误：源映射文件是前端开发阶段用于调试的辅助文件，可将压缩混淆后的运行代码反向映射到原始源码，正常正式发布时必须删除。涉事员工在发布npm公共包时，跳过了发布前的安全校验步骤，未移除该文件才导致事故。