五天两次泄露:Anthropic 的安全管理危机
3 月 26 日 CMS 配置失误,3 月 31 日 npm source map 错误——不到一周两次重大数据曝光,Anthropic 的运维安全出了什么问题。
一句话概括: 2026 年 3 月 26 日到 31 日之间,Anthropic 在两个完全不同的系统上出了两次数据曝光事故。第一次是 CMS 配置错误暴露了约 3,000 份未发布文件,包括 Claude Mythos 的博客草稿。第二次是 npm 打包错误把 Claude Code 2.1.88 版本的 59.8 MB source map 发了出去,导致 512,000 行专有 TypeScript 代码曝光。两次事件都被归因于「人为失误」,但反映的是同一个底层问题:部署和发布管线缺少足够的安全防护。对一家筹备 600 亿美元 IPO、号称造出了「网安能力远超任何其他 AI」的公司来说,这个规律很难被当作巧合。
时间线:一周内的两次 Anthropic 泄露
2026 年 3 月 26 日——CMS 配置错误(第一次泄露)
安全研究员 Roy Paz(LayerX Security)和 Alexandre Pauwels(剑桥大学)发现 Anthropic 的内容管理系统配置有误,约 3,000 份未发布文件无需认证即可公开访问。其中最关键的是一篇描述全新模型层级「Capybara」及其首个模型 Claude Mythos 的博客草稿。消息引发 Fortune、CNBC 等媒体密集报道,网安板块急跌——全球网安指数 24 小时内下跌 4.2%,蒸发市值约 4,000 亿美元。
2026 年 3 月 31 日——npm Source Map 曝光(第二次泄露)
安全研究员 Chaofan Shou 发现 @anthropic-ai/claude-code npm 包 2.1.88 版本包含一个 59.8 MB 的 JavaScript source map 文件,指向 Cloudflare R2 上一个公开的存储桶。桶里是约 1,900 个 TypeScript 文件,超过 512,000 行代码——Claude Code 的完整源代码树。GitHub 备份仓库被 fork 超过 41,500 次。代码中暴露了 44 个未发布 feature flag,包括自主守护模式(KAIROS)、并行 worker agent(Coordinator Mode)和远程多 agent 规划(ULTRAPLAN)。
并排对比:
| 第一次(3 月 26 日) | 第二次(3 月 31 日) | |
|---|---|---|
| 载体 | CMS 配置错误 | npm 包附带 source map |
| 发现者 | Roy Paz、Alexandre Pauwels | Chaofan Shou |
| 规模 | ~3,000 份未发布文件 | ~1,900 文件,512,000 行源代码 |
| 核心曝光 | Claude Mythos 模型细节 | Claude Code 完整源代码 + 44 个 flag |
| 市场影响 | 4,000 亿美元网安板块抛售 | 声誉损害;41,500+ GitHub fork |
| Anthropic 说法 | 内部发布错误 | 「发布打包问题,人为失误」 |
| 间隔 | — | 5 天 |
两次泄露各自是怎么发生的
两次泄露利用的系统不同、机制不同,但根因模式完全一样。
第一次:CMS 配置错误。 Anthropic 的 CMS 把草稿文件存在一个可公开搜索的数据存储中。公网和约 3,000 份本不该外泄的文件之间没有任何认证网关。发现问题的研究员不需要绕过任何安全机制——文件就在那里,被索引了,可以直接访问。
第二次:npm 构建管线故障。 Claude Code 的构建流程没有在发布到 npm 前剔除 source map 文件。Source map 是标准的开发产物,在生产构建中一般会被排除,因为它们会暴露内部代码结构。偏偏这个 source map 还引用了一个没有设访问控制的 Cloudflare R2 存储桶。两个错误任何一个单独存在都不会导致全部源码暴露,但叠在一起就出事了。
两次事件 Anthropic 都归类为「人为失误」。技术上没错,但不够完整。人为失误在每个组织中都是常态。真正该问的不是人会不会犯错,而是有没有机制在错误到达生产环境前把它截住。
第一次,CMS 部署管线显然没有验证草稿文件是否可公开访问。第二次,npm 发布管线显然没有检查异常文件大小或 source map 的存在。一个 59.8 MB 的 npm 包文件,以任何标准衡量都够显眼了。两个错误都不新奇——都是有成熟预防手段的已知失败模式。
问题不在于 Anthropic 的员工犯了错,而在于 Anthropic 的发布流程没有足够的护栏来阻止已知类型的错误到达公众面前。
Anthropic 安全失误的讽刺之处
泄露的 Mythos 博客草稿里描述这个模型「在网络安全能力上远超任何其他 AI」。Anthropic 自己的措辞把 Claude Mythos 定位为 AI 网安能力的代际飞跃——厉害到发布策略需要「更慢、更渐进」,先给网安防御方用。
这番话因为一个可预防的 CMS 错误变成公开信息五天后,公司整个 Claude Code 源代码树又因为一个可预防的 npm 打包错误变成了公开信息。
Fortune 在第二次事件报道中直接说了:这是 Anthropic「五天内的第二次重大安全事故」。Anthropic 反对用「事故」这个词,区分「人为失误导致的意外暴露」和「涉及未授权访问的安全事故」。这个区分在法律和监管层面有意义,但在叙事层面意义不大。
这里暴露的差距不是 Anthropic 的 AI 能力和竞争对手之间的差距,而是他们造的 AI 系统的精密程度和承载这些系统的基础设施的运维纪律之间的差距。Anthropic 在这方面不是特例——科技公司的历史上到处都是世界级工程团队被日常运维失误拖后腿的例子。但 Anthropic 在对比的具体性上是独一份的:一家旗舰产品被描述为前所未有的网安工具的公司,在五天内被那种基本 CI/CD 审计就能抓住的配置和打包错误暴露了两次。
安全社区注意到了这个讽刺。研究人员和评论者指出,两次事件的预防措施——CMS 部署的访问控制验证、npm 发布的 source map 剔除和文件大小检查——都是标准做法,不是什么尖端技术。Anthropic 不需要用自家 AI 来防止这些泄露,需要的只是一个检查清单。
这对 Anthropic 的 600 亿美元 IPO 意味着什么
Anthropic 的目标是 2026 年第四季度 IPO,10 月被广泛认为是最可能的窗口。2026 年 2 月的最近一轮融资估值约 3,800 亿美元,融了 300 亿美元。据报道已聘请 Wilson Sonsini Goodrich & Rosati 为 IPO 法律顾问。
IPO 目标估值预计超过 600 亿美元,这会是历史上最大规模的科技 IPO 之一。
五天两次数据曝光造成的叙事问题,跟单次事件不同,在某些方面破坏力更大。一次泄露可以被框架成孤立失误。不到一周通过两个不同系统泄露两次,暗示的是运营管控的系统性缺口。评估 Anthropic IPO 的投资者会把技术护城河和这些事件暴露的运营风险放在天平上称量。
对 Anthropic 来说,逻辑很具体。公司的价值主张建立在信任上:相信它能造出最强的 AI,也相信它能负责任地部署。后半句话在基础部署管线一周内失败两次的情况下,变得更难维持。
Anthropic 能重建信任吗
在 IPO 申报前恢复信心需要具体的、可验证的行动,而不是安抚性的声明。
公开两次事件的事后分析。 Anthropic 至今没有发布过详细说明到底出了什么问题、根本原因是什么、实施了哪些具体改变。对一家以透明度为核心价值的公司来说,技术事后分析的缺席本身就很显眼。
对部署和发布管线做独立安全审计。 两次泄露来自不同系统(CMS 和 npm),说明管控缺口不局限于单条管线。可信的审计需要覆盖 Anthropic 向外部平台发布代码、内容和产物的全部系统。
带可衡量结果的流程改进。 对草稿文件做自动公开可访问性检查。npm 发布时强制剔除 source map 和检查文件大小。发布前安全审查门禁。这些不是什么新做法——它们的缺席才是泄露得以发生的原因。
时钟在走。如果 Anthropic 计划 2026 年第四季度提交 IPO 申请,S-1 文件需要用具体语言回应运营风险。承销商会要求,SEC 会审查,每个潜在投资者读风险因素章节的时候都会知道:离上市不到半年,这家公司五天出了两次事。
技术能力没人质疑。被质疑的是运营成熟度。这两者之间的区分将决定市场如何给 Anthropic 的公开上市定价。
延伸阅读
- Claude Mythos 泄露始末 — 3 月 26 日 CMS 事件的完整还原
- Claude Code 源代码泄露 — 3 月 31 日 npm 曝光的完整分析
- Anthropic IPO 与 Mythos 泄露的影响 — 泄露如何影响 Anthropic 上市之路
- 泄露时间线 — 两次事件逐小时还原