夜雨聆风
那个发现 Claude 源码泄露的人,是谁?
AGENTSEY
AI观察
源于学术,归于生活。
理解 AI,不止于技术。
—— Agentsey Team
大家好,我是40+、文科背景的AI大姨。
昨天发了一篇Claude code全代码泄露事件的文章,目前关于这件事的讨论热度依然不减。还不清楚整个事件来龙去脉的小伙伴,看这里。
AI源码大泄露: 25亿美金的秘密,被全行业抄作业了(一个文科大姨的观察)
这里不讨论过多技术细节。大姨对最先发现这个漏洞的人,充满好奇。
01
Chaofan Shou是谁?
这位Twitter上名叫Chaofan Shou的华人天才少年,到底是何人许?
Google一下Chaofan Shou相关词条,搜索量还在上升。
看了他的个人主页:https://scf.so/ ,就知道他并不是前几天发现Claude泄露而一夜成名。这位天才少年,是妥妥的一大串战绩。
简单总结三个标签:
-
本科满分毕业Linkedin只留了一句‘too easy’。博士:师从名师,读了一半,退学创业了。
-
Web3 安全专家:顶尖安全公司联合创始人。
-
顶级“赏金猎人”:靠找系统漏洞,赚了 190 万美元赏金。
不得不说他拿的是人生顶配剧本。
02
这次“Claude 泄露”,他语气平淡地发了一条推文
3 月 31 日凌晨 4:23,他在 X(Twitter) 上发了一段语气平淡得像在问“大家都睡了吗?”的推文。
内容大意是:Anthropic 的 Claude Code 源码,通过一个 NPM 的 map 文件泄露了。
这条推文在 24 小时内直接炸裂:3200 万人围观。
03
他不是“第一次干这种事”
在他的主页有一项叫 ‘Things I Broke’ (我攻破的那些事,中文翻译让它失去了魅力,sorry)
看看这一长串被他破坏过的事,我们摘几个普通人关心的。
-
2024 年 – Devin.ai:他发现了 SSRF 漏洞,直接导致用户信息泄露,甚至可以完全接管系统。要知道,Devin 可是号称“全球首个 AI 程序员”的明星产品。
-
2023 年 – Twitter:他利用 XSS + CSRF + CSP 绕过,实现了一个组合拳漏洞,理论上可以接管 Twitter 全平台所有账号。
-
2020 年 – 百度:他发现了多个存储型 XSS 漏洞,这意味着可能导致 2.18 亿个百度账号 被接管。
你会发现一个规律:他专挑“大块头”下手,而且一捅就是个大窟窿。
04
最离谱的,是他的“Too Easy”人生
曾经作为HR的我,看到他履历时,的确是我眼中的优秀简历,就是本事越大,字越少的那种。
-
本科:加州大学圣塔芭芭拉分校(UCSB),2 年 就读完了全部学分,GPA 4.0 满分毕业。
-
博士:加州大学伯克利分校(UC Berkeley),师从名师,但读一半退学创业去了。
他在简历里对这段学霸经历的评价只有两个词:“Too Easy”。
05
在漏洞里“掏金”的人
退学之后,他把这种“破坏力”变成了极大的商业价值:
-
创办 FuzzLand:专注 Web3 安全,帮客户追回了超过 3000 万美元 的被盗资产。
-
管理巨额资产:手里护航的链上资产规模超过 50 亿美元。
-
成功离场:2025 年公司被 Solana 生态的 Solayer 收购。
结语:
不得不说整件事围观下来还是相当刺激的。AI圈堪比娱乐圈,一天一个大瓜吃不过来。
一些对技术有极度热爱和追求的人,推着这个时代往前走。
即便像Anthropic 这么强调安全的公司,还是被这个天才少年发现了漏洞。这或许在提醒我们:在这个技术狂飙的时代,保持好奇和警惕,永远比迷信权威更重要。
Anyway, AI时代已来。
我是AI大姨(40+,文科背景),咱们一起探索AI。