Claude Code 源码泄露:AI 时代的安全,还是没逃出 “人的边界”

2026 年 3 月 31 日，Anthropic 旗下 Claude Code 因 “源码泄露” 登上各大科技媒体头条。

这件事值得关注，但与其讨论 “AI 有多危险”，不如先看清一个核心事实：Claude Code 这次暴露的，从来不是 AI 本身的风险，而是人类团队在工程管理、权限边界、流程规范上，犯了最传统、也最不该犯的错。

根据公开报道，Anthropic 在发布“ @anthropic-ai/claude-code 2.1.88 ”版本时，误将 source map 打包进公开分发包，外部研究者直接重建出大量核心源码。

这不是 “顶级 AI 公司被黑客攻破” 的惊险故事，也不是 “AI 机密被盗” 的科幻剧情，本质就是一次典型的工程事故：发布流程失守、产物校验缺位，不该公开的内容被直接推到了台前。

而这，正是这件事最值得深思的地方。

• 人把不该给 AI 的数据，主动喂给 AI；

• 人给 AI 远超必要的权限，却不设边界；

• 人用潦草的流程，把 AI 接入高风险系统。

说到底，很多所谓的 AI 安全问题，首先不是模型问题，而是人的边界感、权限观、流程纪律出了问题。Claude Code 只是一面镜子，它照出的不是 AI 有多可怕，而是哪怕顶尖 AI 公司，也依然会犯人类团队的 “老毛病”。

真正常见的 AI 风险：不是模型失控，是人先失控

现在很多人对 AI 安全的理解跑偏了。大家紧盯提示词注入、焦虑模型乱说话、关心回答合不合规 —— 这些固然重要，但如果只盯着模型输出，就会忽略一个更关键的现实：

当 AI 开始连接工具、数据、代码库、浏览器、终端，它的风险就从 “说错话” 变成 “做错事”。而 “做错事” 的根源，往往不在模型，而在人为它搭建的环境。

第一种高频风险：数据不是被偷，是被亲手送进去

这个问题不新鲜，却反复发生。

2023 年，三星员工把内部代码、会议纪要直接贴进 ChatGPT，导致信息泄露，公司不得不紧急限制生成式 AI。很多人以为 “是 AI 在偷数据”，但真相是：绝大多数泄露，是人亲手送进去的。

风险之所以高发，就是因为太顺手：复制、粘贴、问一句 “帮我优化代码”“帮我总结纪要”。很多泄露根本不在惊心动魄的攻击里，而在最日常的工作动作中。

这也是为什么主流 AI 厂商反复提醒：不要输入敏感信息。不是保守，是因为门槛极低、破坏力极大。

第二种致命风险：给 AI 过大权限，却放弃边界管控

纯聊天模型和能执行操作的 AI Agent，完全是两码事。

前者最多语言出错，后者一旦连上文件系统、终端、数据库、生产环境，就拥有了真实的 “行动能力”。这时候你该担心的，不是它 “说什么”，而是它 “能做什么”。

如果一个 AI Agent 默认可以读写文件、联网、执行命令、调用内部 API、甚至触碰生产环境，它的风险和一个权限失控的自动化脚本没有区别。

OWASP 在大模型风险里专门定义了 Excessive Agency（过度代理）：本该让 AI 只提建议，你却让它直接执行；本该只给局部数据，你却敞开了整个系统。这种情况出事，怪不到 AI，先看设计者有没有尽责。

第三种被低估的风险：把 AI 排除在企业治理之外

这是现在很多团队最危险的盲区。

数据库有权限审批，代码发布有 CI/CD，外部工具有合规审查，员工设备有审计与防泄漏。可一到 AI，很多公司的态度变成：先接上、先提效、先跑起来，出问题再说。

这很荒谬：我们对实习生登录 VPN 都格外谨慎，却放任一个接了终端、仓库、工具的 AI Agent，在无审批、无隔离、无审计的环境里自由运行。

不是 AI 有魔法，是大家把它当成 “高级助手”，却忘了它早已是 “系统执行者”。角色变了，治理没变，事故只是时间问题。

Claude Code 最敲醒人的一点：越强调安全，越不能丢基础流程

我不认为这次事件说明 Anthropic 不行，也不觉得一次源码泄露就塌了护城河。真正让人警醒的是：Anthropic 一直以安全、谨慎、可靠为核心，却在最基础的发布环节栽了坑。

这说明一件事：AI 时代没有全新的安全宇宙，很多问题还是老问题。只是 AI 能力更强、接入更深、链路更长，老问题一旦爆发，放大更快、影响更大。

以前一次配置失误，影响一个服务；现在一次失误，可能波及整套带权限的 Agent 系统。以前员工误发一份文件；现在可能把整套代码、业务逻辑全喂给模型。以前脚本权限过大是风险；现在 AI 代理权限过大，还被包装成 “智能化升级”。

所以我始终认为：AI 安全最可怕的，不是模型 “觉醒”，而是人类在面对 AI 时，丢掉了对边界的敬畏。

落地 AI 别空谈安全，先做好这 5 件实事

我一直不喜欢把 AI 安全讲得玄乎。多数公司缺的不是理念，是动作。如果你正在企业落地 AI，或重度使用 Agent、AI IDE、自动化工作流，先把这 5 点做到位：

1. 明确数据边界：划定能进 AI / 绝对不能进 AI 的清单，靠制度与技术，不靠员工自觉

2. 最小权限原则：AI 默认只给最少权限，不碰生产、不随便开执行能力

3. 全流程可追溯：所有动作留日志、可审计，关键操作必须有人确认

4. 纳入供应链管理：AI 不是小插件，是软件供应链的一部分，要管控、审查、测试

5. 全员共同担责：AI 安全不只是安全团队的事，产品、工程、业务一起把关

说到底，AI 确实带来新风险，但绝大多数真实事故的原因都很朴素：

不是 AI 失控了，而是人太急了。权限给快了，边界想少了，流程做松了。

这才是 Claude Code 源码泄露最该记住的教训。它看似是一次技术事故，实则在提醒所有用 AI 的人：

你以为面对的是全新的 AI 安全问题，很多时候，只是把人类的老问题，用 AI 的方式又犯了一遍。