五天兩次洩露:Anthropic 的安全管理危機
3 月 26 日 CMS 設定失誤,3 月 31 日 npm source map 錯誤——不到一週兩次重大資料曝光,Anthropic 的維運安全出了什麼問題。
一句話概括: 2026 年 3 月 26 日到 31 日之間,Anthropic 在兩個完全不同的系統上出了兩次資料曝光事故。第一次是 CMS 設定錯誤暴露了約 3,000 份未發佈檔案,包括 Claude Mythos 的部落格草稿。第二次是 npm 打包錯誤把 Claude Code 2.1.88 版本的 59.8 MB source map 發了出去,導致 512,000 行專有 TypeScript 程式碼曝光。兩次事件都被歸因於「人為失誤」,但反映的是同一個底層問題:部署和發佈管線缺少足夠的安全防護。對一家籌備 600 億美元 IPO、號稱造出了「網安能力遠超任何其他 AI」的公司來說,這個規律很難被當作巧合。
時間線:一週內的兩次 Anthropic 洩露
2026 年 3 月 26 日——CMS 設定錯誤(第一次洩露)
安全研究員 Roy Paz(LayerX Security)和 Alexandre Pauwels(劍橋大學)發現 Anthropic 的內容管理系統設定有誤,約 3,000 份未發佈檔案無需認證即可公開存取。其中最關鍵的是一篇描述全新模型層級「Capybara」及其首個模型 Claude Mythos 的部落格草稿。全球網安指數 24 小時內下跌 4.2%,蒸發市值約 4,000 億美元。
2026 年 3 月 31 日——npm Source Map 曝光(第二次洩露)
安全研究員 Chaofan Shou 發現 @anthropic-ai/claude-code npm 套件 2.1.88 版本包含一個 59.8 MB 的 JavaScript source map 檔案,指向 Cloudflare R2 上一個公開的儲存桶。桶裡是約 1,900 個 TypeScript 檔案,超過 512,000 行程式碼。GitHub 備份倉庫被 fork 超過 41,500 次。程式碼中暴露了 44 個未發佈 feature flag。
並排對比:
| 第一次(3 月 26 日) | 第二次(3 月 31 日) | |
|---|---|---|
| 載體 | CMS 設定錯誤 | npm 套件附帶 source map |
| 發現者 | Roy Paz、Alexandre Pauwels | Chaofan Shou |
| 規模 | ~3,000 份未發佈檔案 | ~1,900 檔案,512,000 行原始碼 |
| 核心曝光 | Claude Mythos 模型細節 | Claude Code 完整原始碼 + 44 個 flag |
| 市場影響 | 4,000 億美元網安板塊拋售 | 聲譽損害;41,500+ GitHub fork |
| Anthropic 說法 | 內部發佈錯誤 | 「發佈打包問題,人為失誤」 |
| 間隔 | — | 5 天 |
兩次洩露各自是怎麼發生的
兩次洩露利用的系統不同、機制不同,但根因模式完全一樣。
第一次:CMS 設定錯誤。 Anthropic 的 CMS 把草稿檔案存在一個可公開搜尋的資料存放區中。公網和約 3,000 份本不該外洩的檔案之間沒有任何認證閘門。
第二次:npm 建置管線故障。 Claude Code 的建置流程沒有在發佈到 npm 前剔除 source map 檔案。偏偏這個 source map 還引用了一個沒有設存取控制的 Cloudflare R2 儲存桶。兩個錯誤任何一個單獨存在都不會導致全部原始碼暴露,但疊在一起就出事了。
問題不在於 Anthropic 的員工犯了錯,而在於 Anthropic 的發佈流程沒有足夠的護欄來阻止已知類型的錯誤到達公眾面前。
Anthropic 安全失誤的諷刺之處
洩露的 Mythos 部落格草稿裡描述這個模型「在網路安全能力上遠超任何其他 AI」。
這番話因為一個可預防的 CMS 錯誤變成公開資訊五天後,公司整個 Claude Code 原始碼樹又因為一個可預防的 npm 打包錯誤變成了公開資訊。
Fortune 直接說了:這是 Anthropic「五天內的第二次重大安全事故」。
安全社群注意到了這個諷刺。研究人員和評論者指出,兩次事件的預防措施——CMS 部署的存取控制驗證、npm 發佈的 source map 剔除和檔案大小檢查——都是標準做法。Anthropic 不需要用自家 AI 來防止這些洩露,需要的只是一個檢查清單。
這對 Anthropic 的 600 億美元 IPO 意味著什麼
Anthropic 的目標是 2026 年第四季度 IPO,10 月被廣泛認為是最可能的視窗。2026 年 2 月的最近一輪融資估值約 3,800 億美元,融了 300 億美元。
五天兩次資料曝光造成的敘事問題,跟單次事件不同。一次洩露可以被框架成孤立失誤。不到一週通過兩個不同系統洩露兩次,暗示的是營運管控的系統性缺口。
公司的價值主張建立在信任上:相信它能造出最強的 AI,也相信它能負責任地部署。後半句話在基礎部署管線一週內失敗兩次的情況下,變得更難維持。
Anthropic 能重建信任嗎
在 IPO 申報前恢復信心需要具體的、可驗證的行動。
公開兩次事件的事後分析。 Anthropic 至今沒有發佈過詳細說明到底出了什麼問題、根本原因是什麼。
對部署和發佈管線做獨立安全稽核。 兩次洩露來自不同系統,說明管控缺口不侷限於單條管線。
帶可衡量結果的流程改進。 自動公開可存取性檢查、強制 source map 剔除、檔案大小驗證、發佈前安全審查閘門。這些不是什麼新做法——它們的缺席才是洩露得以發生的原因。
技術能力沒人質疑。被質疑的是營運成熟度。這兩者之間的區分將決定市場如何給 Anthropic 的公開上市定價。
延伸閱讀
- Claude Mythos 洩露始末 — 3 月 26 日 CMS 事件的完整還原
- Claude Code 原始碼洩露 — 3 月 31 日 npm 曝光的完整分析
- Anthropic IPO 與 Mythos 洩露的影響 — 洩露如何影響 Anthropic 上市之路
- 洩露時間線 — 兩次事件逐小時還原