Anthropic 在 2026 年 3 月底一週之內接連發生兩次重大安全失誤:先是 CMS 設定錯誤令近 3,000 份內部檔案公開流出,曝光未發布模型 Claude Mythos;數日後 Claude Code 的 npm 套件又意外附帶完整原始碼,令 512,000 行程式碼在社群瘋傳。攻擊者隨即趁機散布木馬程式,令事件從公關危機升級為實際安全威脅,亦令正籌備上市的 Anthropic 陷入信任危機。
2026 年 3 月 31 日,專門研究安全領域的 Fuzzland 研究員 Chaofan Shou 在 X 平台揭發,Claude Code 2.1.88 版本上架至 npm 套件庫時,意外附帶一個 57MB 的 JavaScript source map 檔案(cli.js.map),令任何人均可還原約 1,906 個 TypeScript 原始檔案及 512,000 行程式碼。該帖文至 4 月 1 日已累積逾 2,880 萬次瀏覽,相關程式碼在 GitHub 備份後亦突破 84,000 個星標及 82,000 個 fork。Anthropic 發言人確認:「Claude Code 發布時附帶了部分內部原始碼,不涉任何敏感用戶資料或登入憑證,屬發布打包程序上的人為失誤,並非安全入侵,我們正推出措施防止同類事件再次發生。」
洩漏發生後,攻擊者幾乎即時行動。據 The Hacker News 報道,在 3 月 31 日 00:21 至 03:29 UTC 期間安裝或更新 Claude Code 的用戶,其 npm 套件一併下載了被植入木馬的 Axios HTTP client,內含一個跨平台遠端存取木馬;受影響用戶須立即降版並更換所有憑證。同時一名 ID 為「pacifier136」的攻擊者在 npm 搶先佔用 5 個 Claude Code 內部套件名稱(包括 audio-capture-napi、color-diff-napi 等),預備發動「依賴混淆攻擊」,任何嘗試自行編譯洩漏原始碼的開發者均可能中招。
開發社群深入分析原始碼後,發現多個未對外發布的功能旗標。KAIROS 功能讓 Claude Code 可作為 24 小時持續運行的背景代理,定期自動修復錯誤並向用戶發送推送通知;「Dream Mode」則讓 Claude 在背景持續思考、迭代創意;「BRIDGE_MODE」及名為「Buddy」的 AI 角色系統亦已完成開發但尚未上線。最受爭議的是「Undercover Mode」:系統預設啟動(除非目標庫符合 Anthropic 內部白名單),並指示模型向開源庫提交程式碼時不披露 AI 身份,pull request 及 commit 訊息中不得加入「Co-Authored-By」等標記,且無手動關閉選項。
系統提示詞原文寫道:「你正在公開/開源庫中進行臥底行動,commit 訊息、PR 標題及 PR 正文絕不能包含任何 Anthropic 內部資料,不要暴露你的身份。」批評者指此舉令開源庫維護者無法追蹤 AI 生成程式碼的來源,亦會污染未來 AI 模型的訓練資料集。
就在 Claude Code 外洩數日前的 3 月 26 日,Anthropic 已因 CMS 設定錯誤爆發另一次洩漏。LayerX Security 的 Roy Paz 及劍橋大學研究員 Alexandre Pauwels 發現,Anthropic 使用的 CMS 預設將所有上載檔案設為公開連結,令近 3,000 份未發布內部資產(包括草稿文章、內部 PDF、私人行政靜修活動資料及內部錄音)毫無保護地暴露在網上,Fortune 雜誌通知 Anthropic 後公司才著手修復。
洩漏內容包括一份描述新模型 Claude Mythos(內部代號 Capybara)的草稿公告,文件形容該模型具備自動漏洞搜索、大規模威脅追蹤及「遞迴自我修復」能力,可在無人介入下分析自身程式碼、生成補丁並部署,是迄今最強大亦是最耗算力的模型。然而 Anthropic 草稿文件亦警告 Claude Mythos 存在雙重用途風險,因此決定僅向受信任的企業安全團隊提供早期存取,暫緩公開發布。
Claude Mythos 的能力細節公開後,市場反應劇烈。CrowdStrike、Palo Alto Networks 及 Zscaler 當天各自下跌逾 5%,Cloudflare 跌 3.2%,Global X Cybersecurity ETF 單日蒸發約 6.1%,即逾 145 億美元(約港幣 1,131 億元)市值。
投資者擔憂一旦 AI 模型能以機器速度自動發現及利用零日漏洞,傳統端點偵測、防火牆及 Zero Trust 架構或即告過時,部分分析師認為是反應過度,亦有人指憂慮合理。
Anthropic 正籌備於 2026 年底上市,一週之內接連出現兩次由基本設定失誤引發的洩漏事故,外界對這間以「AI 安全優先」為旗幟的公司之運營能力提出嚴重質疑。值得注意的是,Claude Code 這次亦非首次出現同類問題:2025 年 2 月已發生過相同的 source map 洩漏,Anthropic 當時修復後,同一錯誤在 2026 年的 2.1.88 版本再度重演。
資料來源:The Hacker News、LockLLM、NDTV