夜雨聆风
Claude源码意外外泄,创始人Boris Cherny的“官方”解释:流程漏洞不是个人失误
在过去的24 小时里,AI行业的热搜几乎被同一个关键词占满——“Claude源码泄露”。从GitHub上成千上万的fork,到社区迅速推出的各种解析工具,整个现象堪称“技术界的春运”。然而,真正令人担心的不是代码本身,而是背后那几个负责打包NPM发布的工程师:在大公司里,一次失误往往会被当作“背锅”事件处理。所幸,Anthropic的创始人之一、Claude项目的技术总监Boris Cherny在社交媒体上及时发声,展示了难得的“大局观”,并没有把责任直接压在基层员工身上。
1️⃣ 事故的根源:人为操作还是系统缺陷?
“这是一场无心的错误,任何大型组织都难免出现类似的意外。关键在于,这并非个人的失误,而是流程、文化乃至基础设施上的漏洞。”
Boris Cherny在回应中明确指出,泄露的关键环节本应是全自动化的发布流程,却因为某次手动介入导致了源代码被意外上传至公开仓库。手动步骤的出现,说明原本的CI/CD(持续集成/持续部署)链路并未覆盖全部场景,缺乏足够的防止意外公开的检查点。
核心细节: – 触发泄露的是一次手动部署,而非预设的自动化脚本。 – 该手动环节本应在内部进行代码审计后再提交,但审计步骤在当时被省略。 – 失误被发现后,团队立即着手将流程迁移至全自动化,并加入多层次的权限校验。
[
]
2️⃣ 迅速的应急措施:DMCA删库与代码清理
在确认泄露后,Anthropic并未坐等事态发酵,而是立刻启动了版权保护程序:
-
向GitHub提交了8000余条DMCA删除请求,强制下架所有基于泄露源码的仓库。 -
同时,内部安全团队启动了“代码回收”机制,对已被fork的项目进行批量追踪和删除。
虽然如此,社区仍有不少开发者在持续提交新的实现版本,彻底根除泄露的副本仍是一个长期挑战。
3️⃣ “泄露”真的会影响Claude的竞争力吗?
从商业层面来看,这次源码外泄对Claude的核心竞争优势影响有限:
- 模型本体未泄露
Claude的关键资产是其庞大的预训练模型和独有的数据标签体系,这些内容并未出现在此次代码泄露中。 - 源码可读性有限
即便拿到所有实现细节,想要在短时间内复制出同等性能的AI系统仍需巨大的算力和数据资源。 - 生态正向反馈
开源社区的热情可能会促生更多围绕Claude的二次开发工具,反而提升了Claude在AI编程领域的可用性和用户黏性。
4️⃣ 流程改进的方向:自动化与AI辅助
Boris Cherny透露,团队已经对发布流程进行了以下两项升级:
- 全链路自动化
从代码提交到NPM发布全部由CI系统完成,手动干预被严格限制在“异常排查”阶段。 - AI审计助手
未来将引入内部训练的AI模型,对即将发布的包进行多维度检查(如敏感文件、授权信息、代码相似度等),进一步降低人为疏漏的可能性。
这两项改动的核心思路,是把“人为错误”转化为“系统错误”,让问题在出现之前就被捕获。
Google推出成本友好版 Veo 3.1 Lite:低价高效的文本/图像生成视频模型
英伟达斥资20亿美元入股Marvell,硅光子技术或大幅降低AI成本
Claude Code 源码意外泄露:npm source map 让专有代码曝光