Anthropic源码泄漏!一个年收入25亿美元的AI公司,给自己埋了颗雷-夜雨聆风

Anthropic源码泄漏!一个年收入25亿美元的AI公司,给自己埋了颗雷

昨天，AI大企业Anthropic传来了一个大瓜。

据传它的工程师在打包 Claude Code 2.1.88 时，把 source map 文件一起塞进了 npm 包。

这个看似无害的操作，让 51.2 万行 TypeScript 源代码暴露在一个没有访问权限控制的 Cloudflare R2 存储桶里。

安全研究员 Chaofan Shou 在北京时间凌晨 4:23 发推发现了这个bug，六小时后这条推文被浏览了 2100 万次，GitHub 上的 fork 超过 41500 次。

讽刺的是，Anthropic 为了防止内部信息泄露，特意开发了一套名为 Undercover Mode 的防护系统。结果呢，他们没等到内部人员泄露，先因为一个 npm 包的配置错误，把整个源码自己暴露了。

就在五天前，他们的 Capybara 模型描述文件也被发现可以公开访问，导致一个“史上最强AI系统”Mythos被提前泄漏。

一周两次，说明这不是个人疏忽，是系统性问题。

01

Source map 是个技术细节，但正是接下来我要说的这个细节捅了娄子。

前端开发者都知道，TypeScript 代码在发布前要编译成 JavaScript，source map 是用来把压缩后的代码映射回原始代码的调试工具。正常来说，生产环境的包不应该包含它。但 Anthropic 的某个工程师显然忘了这茬，或者 CI/CD 流程里没有自动剔除的环节。

更离谱的是存储桶的权限配置。Cloudflare R2 默认不是公开的，需要手动设置才能对外暴露。这意味着有人在某个时刻，有意或无意地把权限改成了”任何人可访问”。

这不是什么高深的 0day 漏洞，就是基础设施配置错误。

更讽刺的是，Anthropic 甚至知道信息泄露有多危险——所以他们才建了 Undercover Mode 这套防内部泄露的系统。

结果呢？防护系统还在，源码却因为最基础的配置错误裸奔了。

看来，”知道”和”做到”之间的距离，有时候比想象中更远。

51.2 万行代码是什么概念？Claude Code 的核心逻辑、API 调用方式、内部工具函数，全在里面。

泄漏的代码还暴露了一些未公开的功能规划，虽然 Anthropic 声称”没有客户数据或敏感信息”被泄露，但源代码本身就是情报。

竞争对手可以从中推断出 Claude 的架构设计、功能路线图，甚至找到潜在的安全漏洞。

Chaofan Shou 的推文之所以在六小时内引爆，时机很关键。A

nthropic 正在筹备 IPO，目标估值 600 亿美元，最早 10 月上市。

Claude Code 的年化收入已经超过 25 亿美元，企业客户超过 500 家，其中包括 8 家财富 10 强公司。

一家估值百亿美元的 AI 公司，在上市前夕连续出现低级安全失误，投资者会怎么想？那些正在评估是否把核心业务接入 Claude API 的企业客户，又会怎么想？

02

这件事的讽刺之处在于，Anthropic 一直以“安全优先”自居。

他们是 AI 安全研究的重镇，创始人 Dario Amodei 和 Daniela Amodei 兄妹俩从 OpenAI 出走，就是因为担心 AI 发展的安全风险。他们提出了”宪法 AI”的概念，强调对齐人类价值观，甚至在公司内部设立了专门的安全团队。

但安全文化和工程实践是两回事。

从这次泄漏可以看出，Anthropic 的 DevOps 流程存在明显漏洞。

Source map 进生产包、存储桶权限配置错误，这些都是有标准解决方案的问题。

GitHub 上随便一搜，就有几十个检测 source map 的 pre-commit hook；AWS 和 Cloudflare 都有工具可以扫描公开存储桶。

这些措施没到位，说明要么流程没覆盖，要么执行没到位。

更深一层的问题是自我认知的矛盾：Anthropic 显然知道泄露有多危险——所以他们才建立 Undercover Mode 来防内部人员。

但他们在”防自己”上花了心思，却在”防配置错误”这个更基础的环节失手。

这种“知道危险却栽在基础环节”的反差，比单纯的”不懂安全”更让人担忧。

当一家公司把”安全”作为品牌标签时，任何安全失误都会被放大审视。

OpenAI 也出过类似问题——去年他们的 Redis 配置错误导致部分用户对话泄露——但舆论反应没有这么强烈。因为 OpenAI 从来没把自己包装成”最安全的 AI 公司”。

Anthropic 的困境在于，他们既要追求商业扩张（IPO、25 亿美元收入、500+ 企业客户），又要维持”安全守护者”的人设。这两个目标在资源分配上天然冲突。

安全团队的预算和话语权，往往会在增长压力下被稀释。

而当你的核心卖点是”安全”时，这种稀释的代价会被市场放大。

03

对于普通用户来说，这件事的影响有限。

Anthropic 的说法是”没有客户数据泄露”，如果你只用 Claude 的网页版或 App，源代码暴露不会直接影响你。

但对于企业客户和开发者，这是个值得警惕的信号。

500 多家企业客户里有 8 家财富 10 强，这些公司在评估 AI 供应商时，安全合规是核心考量。

一次源码泄露可能不会让他们立即弃用 Claude，但会让他们重新评估 Anthropic 的工程成熟度。

一家准备上市的公司，在一周内连续出现两次配置错误，说明他们的内部流程还有提升空间。

但这对我们意味着什么呢？

更宏观的视角是：AI 行业的安全标准正在形成期。

OpenAI、Anthropic、Google DeepMind 这些头部公司，实际上在定义什么是”AI 安全”的行业基准。他们的每一次失误，都会影响监管机构和公众对 AI 风险的认知。

Anthropic 这次栽的跟头，可能会加速行业对供应链安全的重视。

NPM 包、Docker 镜像、云存储权限——这些基础设施层面的安全，和模型对齐一样重要。

而“安全承诺”和”实际执行力”之间的差距，可能是比技术漏洞更难解决的问题。

最后，这件事最终会怎么收场？

Anthropic 已经撤销了存储桶的公开访问权限，Chaofan Shou 的推文也在传播后删除了具体的技术细节。但从 2100 万次浏览量和 41500 次 GitHub fork来看，损害已经造成。

对于一家即将 IPO 的公司，这种负面新闻的时机确实敏感。目标估值 600 亿美元的路演中，投资者关心的不只是收入数字，还有公司治理和风险管理能力。

一周两次失误，Anthropic 需要给出更有说服力的解释——不只是”我们修复了”，而是“为什么有 Undercover Mode 的系统，却防不住最基本的配置错误”。

而对于 AI 行业整体，这是一次提醒：

当技术能力成为竞争焦点时，基础设施安全往往被忽视。但正是这些看似枯燥的配置细节，以及“知道”和”做到”之间的差距，决定了你能走多远。

（参考来源：CNBC、The Register、Gizmodo）