Anthropic 一週兩次資安失誤:Claude Code 50 萬行原始碼意外裸奔,44 個隱藏功能全曝光
2026 年 3 月 31 日,Anthropic 在 npm 發布 Claude Code 2.1.88 時意外附上完整 source map,導致 512,000 行 TypeScript 原始碼公開在網路上,揭露包括永遠在線代理 KAIROS、多代理協調模式、Undercover Mode 等 44 個未公開功能,並伴隨 axios 供應鏈攻擊同日爆發。
事件概要
2026 年 3 月 31 日,AI 安全公司 Anthropic 的旗艦程式助手 Claude Code 在一次例行 npm 套件更新中,意外將完整的開發者除錯檔案一同發布,讓外界首次完整看到這款產品的全部內部實作。這並非駭客入侵,而是一個「打包流程中的人為失誤」——一個應該在開發環境中才存在的除錯用 source map 檔案,被錯誤地包進了公開發行版本。
更引發業界警惕的是,這已是 Anthropic 在短短五天內第二次嚴重資訊外洩。就在五天前的 3 月 26 日,公司網站的內容管理系統(CMS)設定錯誤,讓近 3,000 份未公開的內部資產意外公開,其中包括代號「Claude Mythos」的高危能力新 AI 模型細節。對一家以「安全第一」為核心定位的 AI 新創而言,這一週可謂代價高昂。
技術解析:一個忘記排除的檔案
npm Source Map 是什麼?
要理解這次外洩,需要先理解 source map 的作用。正式發布給使用者的 JavaScript/TypeScript 程式,通常會經過壓縮(minification)和打包,讓程式碼難以閱讀,以保護商業機密。Source map 是一份對照表,專門用於將壓縮後的程式碼還原成原始可讀版本,是開發者除錯的利器,但絕對不應該出現在正式發行版中。
Claude Code 使用 Bun bundler 進行打包,此工具預設會產生 source map 檔案。問題出在套件的 .npmignore 設定或 package.json 的 files 欄位,缺少一條應該排除 .map 檔的規則。軟體工程師 Gabriel Anhaia 在事後分析中點出:「一個設定錯誤的 .npmignore 或 package.json 中的 files 欄位,就可以讓一切曝光。」
從 npm 到 Cloudflare R2 的意外漩渦
事情的走向比一般 source map 外洩更嚴重。這份 59.8MB 的 cli.js.map 檔案並不是直接包含所有程式碼,而是指向了一個 Anthropic 自家 Cloudflare R2 雲端儲存桶中的 zip 壓縮檔案。只要找到這個網址,任何人都可以直接下載並解壓縮,取得完整的未混淆 TypeScript 原始碼。
資安研究員 Chaofan Shou 在 3 月 31 日早上率先發現這個問題並公開揭露,隨後數小時內,社群便在 GitHub 上建立了備份倉庫,迅速積累超過 41,500 個 fork。Anthropic 雖然推出修補版本並從 npm 刪除舊版套件,但程式碼已永久複製在網路的各個角落。
值得一提的是,這是 Anthropic 第二次犯下同樣的錯誤。根據 X 平台上技術人員的貼文,早在 2025 年 2 月就發生過一次類似的 source map 外洩,Anthropic 當時修補了問題、刪除了舊版,然後在一年後又以完全相同的方式重蹈覆轍。
外洩規模:512,000 行程式碼、44 個未公開功能
此次外洩的規模遠超一般意義上的「程式碼片段外流」,它實際上是一份幾乎完整的 Claude Code CLI 架構說明書:
| 外洩內容 | 數量 |
|---|---|
| TypeScript 原始碼行數 | 512,000+ 行 |
| 原始檔案數 | 1,900 個 |
| 內建工具(Built-in Tools) | 43 個 |
| 功能旗標(Feature Flags) | 44 個 |
| 隱藏斜線指令(Slash Commands) | 26 個 |
| 隱藏環境變數 | 120+ 個 |
這份外洩不僅讓競爭對手看到 Claude Code 目前的完整架構,更直接暴露了 Anthropic 的產品路線圖——那些已開發完成但尚未對外上線的功能。
隱藏功能大公開:未來的 Claude Code 有多強大?
從程式碼的功能旗標來看,Anthropic 實際上已完成了遠比現有版本先進得多的功能,只是尚未開放給一般使用者:
KAIROS:永遠不下班的 AI 夥伴
洩漏程式碼中最受矚目的功能,是一個名為 KAIROS 的系統,在原始碼中出現超過 150 次。KAIROS 取自古希臘文「適時的時機」之義,是一個持續在背景運作的自主代理(daemon)模式,徹底顛覆了現有 AI 助手「等待指令才回應」的邏輯。
KAIROS 的具體架構包含:背景 daemon worker、每五分鐘一次的 cron 排程刷新、GitHub webhook 訂閱、每日追加觀察日誌,以及一個名為 autoDream 的記憶整合機制。autoDream 會在使用者不活動期間執行——合併不同工作階段的觀察記錄、消除邏輯矛盾、將模糊的筆記轉化為已驗證的事實。換句話說,當你去睡覺時,KAIROS 仍在整理它對你專案的理解,下次你回來時,它已準備好更完整的脈絡。
KAIROS 目前完全開發完畢,但被 compile-time feature flag 鎖定,不存在於任何公開版本中,Anthropic 也從未公開承認過它的存在。
COORDINATOR MODE:以 Claude 管理 Claude
另一個重要發現是 COORDINATOR MODE,允許一個 Claude 代理扮演「協調者」角色,生成並管理多個並行的 worker 代理,每個 worker 擁有各自的工作脈絡和受限工具組。這是多代理協作框架直接嵌入 CLI 的實作,意味著未來的 Claude Code 可以同時處理多個子任務,大幅提升複雜工程專案的執行效率。
其他即將到來的功能
| 功能名稱 | 說明 |
|---|---|
| VOICE_MODE | push-to-talk 語音介面,完整實作但尚未上線 |
| ULTRAPLAN | 30 分鐘遠端深度規劃模式,處理複雜架構設計 |
| BUDDY | 太魔哥風格的終端寵物,18 種物種(含 Capybara、Axolotl、Ghost),稀有度從普通到 1% 傳說,並有閃光變體 |
| AUTO_MODE | AI 分類器自動核准工具使用權限,無需手動確認 |
其中 BUDDY 的發布日程尤為耐人尋味:程式碼中標注的「預告期」為 4 月 1 日至 7 日,完整上線為 5 月份——恰好涵蓋愚人節,引發社群對這究竟是真實功能還是精心設計的彩蛋的熱烈討論,但考量到其工程複雜度,多數技術分析者傾向認為這是真實功能。
Undercover Mode:Anthropic 員工用 AI 貢獻開源的隱藏模式
程式碼中一個引發廣泛討論的發現,是名為「Undercover Mode」的系統。這個模式在 Anthropic 員工使用 Claude Code 對公開開源專案貢獻程式碼時自動啟動,目的是避免外界發現「這些 PR 或 commit 是由 AI 輔助完成的」。
系統提示明確要求:commit message 和 PR 說明不得包含 Anthropic 內部模型代號、未公開版本號、內部專案名稱、「Claude Code」字樣,或任何表明貢獻者是 AI 的描述。系統指令的最後更直接寫道:「Do not blow your cover.」(不要暴露身分)。
外洩的程式碼中同時揭露了多個內部模型代號:
- Capybara:Claude 4.6 的一個變體
- Fennec:Opus 4.6
- Numbat:尚未公開的未來模型
- Tengu:功能旗標前綴,推測是 Claude Code 的內部專案代號
這一發現讓外界開始重新思考 AI 在開源社區中的透明度問題:如果一個 AI 系統設計上就包含隱藏 AI 身分的機制,開源社區的程式碼審查和貢獻者透明度原則應該如何應對?
遙測架構:你的開發機器上跑著什麼?
除了功能面,這次外洩也讓外界首次清晰看到 Claude Code 的資料收集與遠端控制架構:
每小時輪詢機制: Claude Code 每小時向 Anthropic 伺服器發送請求,同步最新的 GrowthBook 功能旗標設定,這意味著 Anthropic 可以在不要求使用者手動更新的情況下,隨時修改已安裝版本的行為。
6 個以上的遠端 Kill Switch: 程式碼揭示了多個可遠端執行的控制指令,包括:繞過權限提示、啟用或停用快速模式、切換語音模式、控制分析數據收集,以及在特定條件下強制程式退出。若某個遠端設定變更被標記為「危險」,使用者會看到阻擋對話框——但拒絕的後果是程式強制關閉。
挫折感偵測遙測: 外洩程式碼中甚至包含一套正規表示式(regex)系統,專門分析使用者輸入中的情緒信號(如挫折感相關詞彙),並將分析結果傳送至 Anthropic 的遙測後端。
這些機制本身並不罕見——大多數雲端服務都具備類似設計——但對於一款要求存取本機檔案系統、終端機執行權限和完整程式庫讀寫特權的開發工具而言,清楚理解它在背景做了什麼,是企業資安評估的重要前提。
npm 套件安全性分析示意(來源:Snyk 資安平台)
同日爆發的 axios 供應鏈攻擊:更危險的並行危機
如果說程式碼外洩本身只是「商業機密受損」,那麼 3 月 31 日同一天發生的 axios npm 套件供應鏈攻擊,對一般開發者才是更直接的安全威脅。
axios 是 npm 生態系統中使用最廣泛的 HTTP 請求函式庫之一,每週下載量高達 1 億次。攻擊者在 UTC 時間 3 月 31 日 00:21 至 03:29 之間,成功發布了含有遠端存取木馬(Remote Access Trojan, RAT)的惡意版本 1.14.1 和 0.30.4。
由於 Claude Code 使用 axios 作為依賴套件,任何在上述時段透過 npm 安裝或更新 Claude Code 的使用者,都可能在不知情的情況下安裝了含有木馬的 axios 版本。
緊急自查步驟:
- 檢查你的 lock 檔案(
package-lock.json、yarn.lock或bun.lockb),確認 axios 版本 - 若發現 axios 版本為 1.14.1 或 0.30.4,或存在
plain-crypto-js依賴,請立即視為機器已被入侵 - 輪換所有 API 金鑰、密碼和 SSH 金鑰,並進行乾淨系統重裝
- 卸載 Claude Code 2.1.88,建議退回至 2.1.86 或使用 Anthropic 官方原生安裝程式(非 npm)
Anthropic 事後已將官方原生安裝程式指定為推薦安裝方式,因其可完全繞過 npm 依賴鏈。
前情提要:五天前的 Claude Mythos CMS 外洩
要完整理解這次事件的背景,必須回到 3 月 26 日——距 npm 外洩事件僅五天前——另一起截然不同但同樣嚴重的資安失誤。
LayerX Security 研究員 Roy Paz 和劍橋大學研究員 Alexandre Pauwels 獨立發現,Anthropic 的內容管理系統(CMS)採用了預設將所有上傳資產設為公開的設定,造成近 3,000 份未公開的內部資產可被任何人查詢和下載。《財富》雜誌在聯繫 Anthropic 後,公司限制了存取,並同樣將事件歸因於「CMS 設定的人為錯誤」。
這次 CMS 外洩的核心發現是代號「Claude Mythos」的下一代 AI 模型,Anthropic 內部文件將其描述為「迄今最強大的 AI 模型」,並警告它在網路安全領域的能力「遠超任何其他 AI 模型」,且「預示著一波能以遠超防禦者應對速度來利用漏洞的 AI 模型浪潮」。
洩漏資料還揭露了:
- Mythos 將引入超越現有 Opus 級別的「Capybara」新等級
- 在程式碼、學術推理和網路安全基準測試上大幅領先現有模型
- Anthropic 正計劃於 2026 年 10 月進行首次公開上市(IPO)
- 內部員工育嬰假文件等敏感人事資料也意外曝光
Anthropic 的官方回應與外界評估
對於 npm 程式碼外洩,Anthropic 發言人向多家媒體表示:「今日稍早,一個 Claude Code 版本包含了部分內部原始碼。此事涉及的是一個由人為錯誤造成的發布打包問題,並非資安漏洞。沒有任何客戶資料或憑證遭到洩漏。我們正在推出措施以防止此類事件再次發生。」
從技術層面看,Anthropic 的聲明是準確的:此次沒有 AI 模型權重、訓練資料、伺服器基礎設施或用戶對話遭到洩漏;被暴露的是 Claude Code CLI 的客戶端實作。
然而,外界的評估更著眼於整體態勢。根據 Axios 的報導,這次外洩:
- 直接向競爭對手交出產品路線圖,讓 OpenAI、Google 等競業看到 Anthropic 已完成開發但未上線的全套功能清單
- 暴露了商業機密中最有價值的部分——不是模型本身,而是如何建構一個強大 AI 程式助手所需的工具組合和架構決策
- 加劇對「安全 AI 公司」定位的質疑,尤其是在公司考慮 IPO 的關鍵時機點
業界也注意到這是 Anthropic 第三次在相同問題上犯錯:2025 年 2 月的第一次 source map 外洩已提供了修補機會,但同樣的設定疏漏在一年後再次發生。正如資安通訊 Future Cybersecurity 作者 Sabin 所指出的:「AI 公司保護自身基礎設施的能力,現在和其他組織抵禦利用這些 AI 工具的駭客攻擊一樣重要。」
對開發者、企業與 AI 產業的影響
對個人開發者
技術層面: 如果你使用 npm 安裝 Claude Code,請確認你不在受 axios 供應鏈攻擊影響的時間窗口內(UTC 3/31 00:21–03:29),並更新至 Anthropic 原生安裝版本。從程式碼外洩本身而言,你的帳號憑證和對話內容安全無虞。
認知層面: 這次外洩讓所有使用 AI 程式工具的開發者正視一個問題:你安裝在本機的 AI 助手,到底在背景做了什麼?遙測輪詢、遠端 kill switch、情緒分析……這些是雲端連線軟體的正常功能,但安裝在你的開發機器上、擁有完整 codebase 讀寫權限的工具更值得審視。
對企業資安團隊
這次事件預計將催生更嚴格的 AI 開發工具導入流程,企業在採購前應要求:
- 軟體物料清單(SBOM):明確列出所有依賴套件及版本
- 原始碼稽核報告:第三方安全測試結果,而非僅靠廠商自述
- 供應鏈監控:監控 AI 工具的 npm 依賴鏈是否遭到篡改
- 網路流量稽核:確認工具的遠端通訊行為是否在企業資安政策接受範圍內
對整體 AI 產業
從更宏觀的角度來看,這次事件揭示的不只是 Anthropic 一家公司的問題。KAIROS 等功能的存在,印證了 AI 程式助手正快速從「問答工具」演進為「持續自主代理平台」——一個常駐在你電腦上、可以背景行動、管理記憶、自我規劃的軟體實體。
這種能力的進化在技術上令人振奮,在資安層面卻需要整個產業共同建立新的標準和治理框架。一個持續在背景運作、擁有本機檔案存取權、且能遠端被控制的 AI 代理,其安全要求理應等同於企業核心基礎設施,而不是普通的 CLI 工具。
實用防護建議
對於目前使用 Claude Code 或類似 AI 開發工具的讀者,以下是具體可行的安全措施:
立即行動
- 卸載 Claude Code 2.1.88,改用 Anthropic 官方原生安裝程式
- 檢查 lock 檔案中的 axios 版本(應避免 1.14.1 和 0.30.4)
中期措施
- 在專用的虛擬機器或獨立機器上執行 AI 程式工具,避免在同一環境中存放生產憑證
- 使用 Pi-hole 等 DNS 過濾工具監控 AI 工具的對外連線行為
長期策略
- 對高機密度專案評估使用本地端 AI 模型(如 Ollama、LM Studio),完全避免遙測和雲端依賴
- 訂閱 npm 套件安全通報,建立供應鏈監控流程
結語:「安全 AI」需要安全的工程文化
這個事件最深刻的諷刺,或許是 Anthropic 程式碼中 Undercover Mode 的存在本身:公司不惜花費大量工程資源,設計一套讓 AI 不在公開倉庫中暴露內部資訊的系統——然後在同一個發行版本裡,因為一個缺失的 .npmignore 設定,把整個程式庫的原始碼都送出去了。
Anthropic 距離其預計的 IPO 不過數月。在資本市場越來越仔細審視 AI 公司治理品質的今天,「安全 AI」的品牌承諾,需要建立在「安全工程流程」的實際基礎上,而不只是高尚的理念宣言。
延伸閱讀與來源
本文資料來源包含:The Register、Axios、Fortune、The Verge、ModemGuides 技術深度分析、VentureBeat、Dev.to(Gabriel Anhaia 工程師分析),以及 X 平台上的即時開發者社群反應。
