新智元報(bào)道

編輯：好困 桃子

【新智元導(dǎo)讀】51萬(wàn)行Claude Code代碼全網(wǎng)裸奔，背后泄密第一人竟是他。就在剛剛，CC之父回應(yīng)來(lái)了：是人，不是Bun。

爆出Claude Code源碼第一人，竟被全網(wǎng)扒出來(lái)了！

3月31日凌晨4點(diǎn)23分，安全研究員Chaofan Shou在X上甩出一句話(huà)——

Claude Code源代碼通過(guò)npm注冊(cè)表中的map文件泄露，并附上了下載鏈接。

至今，帖子發(fā)出不到24小時(shí)，引來(lái)2800萬(wàn)人圍觀，帖子下方的評(píng)論區(qū)徹底炸鍋。

Sigrid Jin上傳到GitHub上的鏡像倉(cāng)庫(kù)被fork超7.7萬(wàn)次，速度之快，連OpenClaw都要讓位。

51.2萬(wàn)行TypeScript代碼、1900個(gè)源文件，Anthropic最賺錢(qián)的產(chǎn)品Claude Code，就這么在全網(wǎng)裸奔了。

而撕開(kāi)這道口子的人，不是什么競(jìng)爭(zhēng)對(duì)手的商業(yè)間諜，是一個(gè)簡(jiǎn)歷上寫(xiě)著「退學(xué)」的華人安全研究員。

就在剛剛，針對(duì)這次重大泄露事故，Claude Code之父回應(yīng)了——

與Bun漏洞無(wú)瓜，純?nèi)藶閷?dǎo)致的泄露。

從他的「擊殺清單」說(shuō)起

扒光Anthropic的這個(gè)人，來(lái)頭不小。

Chaofan Shou，現(xiàn)任Solayer軟件工程師，此前是區(qū)塊鏈安全公司FuzzLand的聯(lián)合創(chuàng)始人兼CTO。

他的個(gè)人主頁(yè)上有一個(gè)叫「Things I Broke」的欄目，密密麻麻排了三十多條記錄，讀起來(lái)像一份硅谷安全圈的「通緝名單」，只不過(guò)角色反過(guò)來(lái)了，被通緝的是那些漏洞。

Bug Bounty總收入，190萬(wàn)美元。

這份擊殺清單里，最驚人的幾筆是這樣的。

2021年，CVS Pharmacy被他找到SSRF加TLS投毒，整個(gè)內(nèi)部系統(tǒng)門(mén)戶(hù)大開(kāi)。

2023年，他發(fā)現(xiàn)Twitter存在XSS加CSRF加CSP繞過(guò)的組合漏洞，理論上可以接管全平臺(tái)所有賬戶(hù)。

2024年，他的目標(biāo)清單開(kāi)始向AI圈蔓延。

先是AI編程工具Devin.ai，被他發(fā)現(xiàn)SSRF導(dǎo)致用戶(hù)信息泄露和完整系統(tǒng)接管。然后是Etherscan，區(qū)塊鏈?zhǔn)澜缱畛Ｓ玫臑g覽器，被他找到XSS加Cloudflare繞過(guò)，理論上能接管所有用戶(hù)賬號(hào)。

還有FTX、Polygon、DogeChain、Google Nest、三星智能家居……清單還在往下延伸。

伯克利博士輟學(xué)，自創(chuàng)業(yè)

他的學(xué)術(shù)履歷同樣扎實(shí)。

本科畢業(yè)于UC Santa Barbara計(jì)算機(jī)科學(xué)專(zhuān)業(yè)，之后在Salesforce做安全工程師，負(fù)責(zé)靜態(tài)分析工具和內(nèi)網(wǎng)掃描服務(wù)。再之后去了區(qū)塊鏈安全初創(chuàng)公司Veridise做創(chuàng)始工程師。

然后是UC Berkeley的博士，Sky Computing Lab，導(dǎo)師是程序分析領(lǐng)域的大牛Koushik Sen。

讀了一陣，退學(xué)了。他自己在主頁(yè)上寫(xiě)得很輕松，「but I dropped out :p」。

退學(xué)之后，他和Jeff Liu一起創(chuàng)辦了FuzzLand，專(zhuān)注Web3安全和高頻交易。

公司的核心產(chǎn)品是基于模糊測(cè)試和AI的智能合約安全分析平臺(tái)，幫助追回過(guò)超3000萬(wàn)美元被黑資金，目前保護(hù)和管理的鏈上資產(chǎn)超過(guò)50億美元。

2024年2月拿到300萬(wàn)美元種子輪融資，投資方包括1kx和HashKey Capital。

2025年1月，F(xiàn)uzzLand被Solana生態(tài)的Solayer收購(gòu)，Chaofan Shou也隨之加入Solayer做軟件工程師。

他的學(xué)術(shù)產(chǎn)出也沒(méi)斷。

ItyFuzz（鏈上智能合約模糊測(cè)試工具）發(fā)表在ISSTA 2023，另有CCS 2024、CoNEXT 2024等多篇頂會(huì)論文。

一個(gè)有意思的細(xì)節(jié)，他在個(gè)人主頁(yè)上承認(rèn)自己用強(qiáng)化學(xué)習(xí)和微調(diào)LLM做過(guò)量化交易，戰(zhàn)績(jī)是「PnL -92%」。

安全領(lǐng)域無(wú)敵，投資領(lǐng)域反向天才，反差感拉滿(mǎn)。

同樣的錯(cuò)誤，第二次了

回到這次泄露本身。

技術(shù)原因其實(shí)很低級(jí)。Anthropic在發(fā)布Claude Code v2.1.88的npm包時(shí)，沒(méi)有從發(fā)行包中剔除一個(gè)59.8MB的source map文件cli.js.map。

Source map是開(kāi)發(fā)者用來(lái)調(diào)試的工具，能把壓縮混淆后的代碼還原成可讀的原始源碼。

正常情況下，發(fā)布到生產(chǎn)環(huán)境時(shí)必須刪，但Anthropic沒(méi)刪。

更諷刺的是，這個(gè)map文件里還指向了一個(gè)Anthropic自家Cloudflare R2存儲(chǔ)桶上的zip壓縮包。

任何人都可以下載、解壓，拿到完整的TypeScript源碼樹(shù)。

最要命的一點(diǎn)，這已經(jīng)是第二次了。

2025年2月，Claude Code早期版本就因?yàn)橥瑯拥膕ource map問(wèn)題泄露過(guò)一次。Anthropic當(dāng)時(shí)的處理方式是從npm刪包、移除map文件。一年后，同樣的事又發(fā)生了。

有開(kāi)發(fā)者挖出了可能的根源，一個(gè)Bun運(yùn)行時(shí)的已知bug。

這個(gè)bug在3月11日就被人在GitHub上報(bào)了，編號(hào)#28001，反映的問(wèn)題是Bun在生產(chǎn)模式下依然會(huì)輸出source map。三周過(guò)去了，issue仍然是open狀態(tài)。

CC之父回應(yīng)來(lái)了

但就在剛剛，Claude Code之父Boris Cherny現(xiàn)身回應(yīng)，這和Bun無(wú)關(guān)，僅是開(kāi)發(fā)者的一個(gè)錯(cuò)誤。

面對(duì)這場(chǎng)泄露重大事故，Anthropic終于做出了正面回應(yīng)。

Anthropic發(fā)言人對(duì)The Register的回應(yīng)是——

今天的一次Claude Code發(fā)布包含了部分內(nèi)部源代碼，強(qiáng)調(diào)沒(méi)有客戶(hù)數(shù)據(jù)或憑證泄露。

這是一個(gè)由人為失誤導(dǎo)致的發(fā)布打包問(wèn)題，不是安全漏洞。

有人從源碼中，意外發(fā)現(xiàn)了一個(gè)叫SPINNER_VERBS的常量，列表中塞進(jìn)了整整187個(gè)等待加載的動(dòng)詞。

從正經(jīng)的「正在計(jì)算」（Calculating）到離譜的「正做白日夢(mèng)」（Daydreaming），甚至還有「正在蒸發(fā)」（Evaporating）、「正在跳迪斯科」（Boogieing）......

有網(wǎng)友提議：希望將gooning加入列表。

Boris幽默地拒絕了，并調(diào)侃道「雖然我覺(jué)得這很奇怪，但如果你真想要，可以去設(shè)置里讓Claude自己想」。

源碼還揭露了一個(gè)嚴(yán)密的過(guò)濾機(jī)制：系統(tǒng)會(huì)自動(dòng)生成隨機(jī)ID，并剔除潛在的違禁詞匯。

更有趣的是，Anthropic的內(nèi)部監(jiān)控非?！赣洺稹埂?/p>

如果你在Claude Code的日志里對(duì)它爆粗口，提示詞（prompt）會(huì)直接被系統(tǒng)標(biāo)記為負(fù)面樣本。

具體來(lái)說(shuō)，Claude Code中設(shè)置了一套「正則表達(dá)式」。

它是專(zhuān)門(mén)用來(lái)檢測(cè)用戶(hù)輸入的：「垃圾」、「垃圾代碼」、「去你的」等負(fù)面詞匯。

當(dāng)檢測(cè)到這些詞匯時(shí)，AI系統(tǒng)會(huì)默默在后臺(tái)分析數(shù)據(jù)中標(biāo)記is_negative: true。Anthropic內(nèi)部甚至將這些數(shù)據(jù)可視化。

對(duì)此，Boris透露，他們內(nèi)部有一個(gè)專(zhuān)門(mén)的看板，被戲稱(chēng)為「fucks」圖表，用來(lái)直觀監(jiān)測(cè)用戶(hù)的挫敗感。

諷刺的是，泄露的代碼中有一個(gè)叫「Undercover Mode」的子系統(tǒng)。專(zhuān)門(mén)用來(lái)防止Anthropic員工在公開(kāi)倉(cāng)庫(kù)操作時(shí)泄露內(nèi)部信息。

它會(huì)自動(dòng)抹除提交記錄中的AI痕跡和內(nèi)部代號(hào)。

一個(gè)專(zhuān)門(mén)為了防泄露而設(shè)計(jì)的系統(tǒng)，連同它自己一起泄露了。

這場(chǎng)由一個(gè)Source Map引發(fā)的「51萬(wàn)行代碼大逃殺」，最終以一種荒誕的幽默感收?qǐng)觥?/p>

參考資料：

https://x.com/Fried_rice/status/2038894956459290963

https://scf.so/

https://x.com/bcherny/status/2039168928145109343?s=20