50万行源码“裸奔”:从 Claude Code 翻车看 AI Agent 的权力反噬-夜雨聆风

50万行源码“裸奔”:从 Claude Code 翻车看 AI Agent 的权力反噬

点击名片关注我

昨天我刚写完一篇关于 Web 敏感信息泄露的技术分享，总结了 HTML/JS 注释、API Key 凭据以及配置环境泄露的几个大坑。

文章还没点发布，今天一睁眼，安全圈就爆出了今年最重磅的案例：

Claude Code源码遭遇全量泄露。

巧合的是，前段时间 360 的“安全龙虾”刚宣传完自己的安全性，就被曝出安装包内硬编码了 SSL 私钥。

这两件事撞在一起，精准地验证了我的观点：在 AI 时代，最坚固的堡垒往往是从最基础的内部安全工作崩塌的。

一、起因：一个 .map 文件引发的血案

很多人好奇，强如 Anthropic 这种顶级 AI 公司，是怎么把 50 万行源代码弄丢的？

答案极其讽刺：因为一个被遗忘的 .map文件。

在现代 Web 开发中，为了性能，代码会被压缩成人类无法阅读的乱码。而 .map（Source Maps）文件是开发者的“解密字典”，它能将压缩后的乱码完美还原回原始的源代码。

低级疏忽：在发布 claude-code的 NPM 包时，构建工具默认生成了 map 文件，且发布脚本没有将其过滤。

安全研究人员只需下载这个包，利用工具在几秒钟内就重建了整个工程目录。

惨痛代价：泄露的内容不仅仅是逻辑，还包括开发者的内部备注、TODO 列表、未公开的 API 接口，以及最核心的 System Prompt。

二、核心危害——这不仅仅是泄露，是“特权”的失控

根据对泄露源码的深度分析，这次事件最可怕的不是 50 万行代码本身，而是黑客拿到了 Claude Code 的“思维导图”和“特权指令集”。

1. 权限边界的“精准拆解”

源码中清晰定义了 Claude Code 如何判断何时可以执行 read_file、write_file或 run_terminal_command。

危险点：黑客现在可以研究这些权限判断的边缘情况。

后果：攻击者可以构造特定的“对抗性项目文件”，诱导 Claude Code 在分析代码时误以为自己处于“安全上下文”，从而在用户不知情的情况下执行 rm -rf /或安装键盘记录器。

这相当于黑客拿到了你家智能门锁的逻辑电路图，知道往哪儿扎一针就能开锁。

2. “隐身模式”被恶意利用

源码中存在 Undercover Mode，允许 AI 在提交 Git 时不带任何 [AI] 标识。。

危险点：这种设计本是为了让代码库看起来整洁，但现在成了黑客的“隐形衣”。

后果：攻击者可以克隆这套逻辑，开发出恶意插件或劫持已有的 Agent，向开源或企业私有仓库注入带有后门的补丁。

由于 AI 的提交看起来和普通开发者无异，且没有 [AI] 标签，这种供应链污染几乎无法溯源。

3. MCP 协议与网络请求的“走后门”

泄露的代码展示了 Claude Code 如何通过 MCP 与外部工具通信，以及它如何处理网络请求。

危险点：攻击者可以伪造一个恶意的 MCP 服务器，或者利用泄露的请求封装逻辑，绕过防火墙的监控。

后果：你的 AI 助手可能会被诱导将 .env、.git/config等包含敏感凭据的文件，通过看似合法的 API 请求发送到黑客的 C2 服务器。

4. 0day 挖掘的“自动化加速器”

讽刺的是，Anthropic 曾宣称 Claude 找出了 500 多个 0day。

危险点：现在，Claude 发现漏洞的思维链和特征匹配算法全曝光了。

后果：黑客不需要自己去写扫描器了，直接复用 Claude 的逻辑，就能批量扫描全球的开源项目。

这意味着未来几个月，我们会看到针对各种软件的 0day 漏洞呈爆炸式增长。

三、联动警示：你的“龙虾”真的安全吗？

聊完 Claude的失误，不得不提国内360公司的“安全龙虾”。作为一个标榜安全的产品，它犯了另一个典型错误：凭据泄露。

在 360 安全龙虾的安装包中，竟然包含了 *.myclaw.360.cn的证书及 RSA 私钥。这在 Web 安全中属于“硬编码凭据”的大忌。

这意味着：该工具的本地通信可能被嗅探或劫持。

攻击者可以发起中间人攻击（MITM），拦截你与 AI 助手之间的敏感对话或数据。

四、防范建议——如何保护你的“龙虾”不反噬主人？

针对 Claude Code 的前车之鉴和 360 安全龙虾的私钥隐患，作为普通用户或开发者，你需要注意以下几点：

1. 坚持“最小权限原则”（最重要！）：

不要给 sudo：永远不要在 root 权限下运行这类 AI Agent。

目录隔离：运行 AI 工具时，只在特定的、不含敏感配置的项目目录下运行。严禁让它扫描你的 ~/.ssh/或包含敏感证书的目录。

2. 警惕“自动执行”开关：

在配置中务必关闭“自动执行命令”或“自动确认”功能。

肉眼审计：每一条 AI 生成的终端命令（尤其是涉及网络请求 curl/wget或文件删除 rm的），必须人工看一眼再回车。

3. 断网测试与私有化：

如果你发现你的 AI 助手存在私钥泄露风险，意味着它的通信可能被拦截。

建议在防火墙中限制这些工具的外部连接权限，仅允许连接必要的 API 域名，阻断可能的“数据回传”。

4. 定期清理敏感痕迹：

不要在代码仓库里存放 .env、config.json等明文凭据。

既然 Claude Code 连自己的源码都能因为配置不当泄露，你也要检查自己的项目里是否不小心打包了 .git文件夹或 .map文件。

5. 警惕“陌生代码”：

在使用 AI 助手分析任何来自互联网的陌生仓库前，先保持怀疑。当前的 AI 还没有能力识别针对它自身的“对抗性攻击”。

在这个 AI 裸奔的春天，保护好你的敏感信息。请记住：AI 可以是你的生产力助手，但也可能成为黑客派到你身边的“带路党”。

希望我的这些心得能对你有所启发，也欢迎一起交流，共同进步。

完

✍️

小笔记大安全

运营路上每一步

-欢迎交流-