【科技纵览】一次发布流程中的配置疏漏,竟演变为涉及8100个GitHub仓库的大规模下架风波。事件源于Anthropic在npm包中意外包含了一个名为package/cli.js.map的source map文件,该文件使得其Claude Code命令行工具约51.2万行源代码、内部模型代号及产品路线图面临被逆向还原的风险。
周二,一名软件工程师率先发现这一异常,并迅速在开发者社区引发关注。随后,相关文件被上传至GitHub并广泛传播,促使Anthropic启动紧急应对机制。公司选择依据美国《数字千年版权法》(DMCA)提交下架请求,以快速遏制代码扩散。然而,由于GitHub对fork网络的连带处理机制,此次操作不仅覆盖了包含泄露内容的仓库,还波及大量合法fork及基于Claude Code的个人项目。
面对舆论发酵,Claude Code项目负责人Boris Cherny公开回应称,此次大规模下架系“意外操作”所致。Anthropic随即调整策略,撤回绝大多数DMCA请求,仅保留针对1个原始泄露仓库及96个确证包含敏感代码的fork。GitHub亦同步恢复其余受影响仓库的访问权限。
值得注意的是,此次事件发生在Anthropic筹备IPO的关键阶段。据TechCrunch报道,此类因内部流程漏洞导致的重大信息泄露,若发生在上市公司,可能触发股东质疑甚至合规审查,对公司治理能力构成考验。
与常规问责逻辑不同,Anthropic并未追究涉事员工责任,而是将问题归因于“易出错的手动发布流程”。公司强调,任何开发者在当前架构下都可能犯下类似错误,因此改进重点在于推动打包与发布环节的自动化,减少人为干预。
技术层面,Anthropic已推出Claude Code 2.1.90版本,彻底移除引发泄露的source map文件,并实施两项关键安全增强:一是默认禁用对本地DNS缓存(如Get-DnsClientCache和ipconfig /displaydns)的自动访问;二是强化PowerShell执行权限校验,修补多条潜在绕过路径,提升本地运行时安全性。
此次事件折射出AI初创企业在高速迭代中面临的工程治理挑战——当产品复杂度与发布频率同步攀升,缺乏自动化保障的手动流程极易成为系统性风险的导火索。而如何在敏捷开发与安全合规之间取得平衡,或将成为行业下一阶段的重要命题。
