意外的公開:51 萬行原始碼外洩
AI 新創公司 Anthropic 近期發生了嚴重的資安意外。在一項發佈於 npm 套件庫的代碼更新中,該公司意外地將一個 59.8 MB 的原始映射(source map)檔案納入其中,導致總計 512,000 行未經混淆的 TypeScript 代碼被公開。這些內容不僅包含了 Claude Code 的權限模型與 Bash 安全驗證邏輯,甚至還意外曝光了 Anthropic 尚未發布的功能標記及神秘的新模型開發計畫。
爭議性的 GitHub 封鎖與 DMCA 風波
為了抑制代碼流傳,Anthropic 採取了大規模的 GitHub 儲存庫封鎖行動。然而,該舉措被指控濫用《數位千禧年著作權法》(DMCA)第 512 條的「避風港」條款。多名開發者與法律專家指出,若 Anthropic 對不構成侵權的程式代碼實施 takedown,根據美國著作權法 17 U.S.C. § 512(f),該公司可能面臨「不實陳述」的法律責任。雖然 Anthropic 隨後表示封鎖行動是「意外」且已撤回大部分通知,但這一事件已在開發者社區引發巨大信任危機。
安全性影響與企業防禦
對於企業安全領導者而言,此次洩漏不僅是智財權的損失,更是一次嚴重的安全威脅。攻擊者可藉此深入研究系統的權限驗證漏洞。安全研究人員建議,採用 AI 編碼工具的企業應立即重新評估其存取模型,並進行全面的代碼安全審計,以確保內部流程不會因為這類意外洩漏而曝露。
未來觀察重點
此事件為所有 AI 產業敲響警鐘。隨著生成式 AI 輔助開發工具成為企業標配,如何平衡代碼安全與智財權保障將是接下來兩年的關鍵挑戰。監管機關是否會介入調查 Anthropic 在處理封鎖請求時的行為,以及這是否會成為未來 AI 相關資安法規的判例,值得長期追蹤。