Anthropic 自曝源代碼後發出 8000+ 版權撤除請求，「安全至上」人設遭遇最尷尬一週

作者：深潮 TechFlow

Anthropic 因一次 npm 發布設定失誤，意外公開了旗下最賺錢產品 Claude Code 的全部原始碼。約 51.2 萬行 TypeScript 程式碼在數小時內被數萬名開發者鏡像、拆解，並被 AI 改寫成 Python 和 Rust 版本。Anthropic 隨即向 GitHub 發出 DMCA 版權撤除請求，波及約 8100 個程式碼倉庫，但因誤傷大量無關專案引發社群強烈反彈，最終被迫撤回絕大多數請求，只保留對 1 個倉庫及 96 個分叉的撤除。這是 Anthropic 一週內第二次重大洩露事故，距其 Mythos 模型資訊洩露僅隔五天。

以「AI 安全」為品牌核心的 Anthropic，正經歷自創立以來最難堪的一週。

據《華爾街日報》4 月 1 日報道，Anthropic 在 3 月 31 日的一次例行版本更新中，因建構流程中的人為操作失誤，將 Claude Code 的完整原始碼連同 npm 套件一同發布。安全研究員 Chaofan Shou 於美東時間凌晨 4:23 在 X 平台公開了下載連結，貼文瀏覽量迅速突破 2100 萬。數小時內，程式碼被鏡像至 GitHub 並獲得數萬顆星標；一位韓國開發者 Sigrid Jin 甚至在天亮前就用 AI 工具將整個程式碼庫改寫為 Python 版本，該專案在兩小時內收穫 5 萬顆 GitHub 星標，很可能創下該平台歷史上成長最快的紀錄。

Anthropic 發言人向 CNBC 確認了洩露事實，稱：「這是一次由人為錯誤導致的發布打包問題，不是安全漏洞。未涉及或暴露任何敏感客戶資料或憑證。」

一個缺失的設定項，洩露了 51.2 萬行核心程式碼

洩露的技術原因並不複雜。Claude Code 以 Bun（Anthropic 於 2025 年底收購的 JavaScript 執行時工具）建構，Bun 預設會生成 source map 偵錯檔案。發布團隊在推送 npm 套件時，未在 .npmignore 設定中排除該檔案，導致一個 59.8MB 的 source map 檔案隨 Claude Code 2.1.88 版本一同上線。這個檔案包含了約 1900 個 TypeScript 原始檔的完整內容，總計約 51.2 萬行程式碼，可讀、附註解、未經任何混淆處理。

Claude Code 負責人 Boris Cherny 承認：「我們的部署流程有幾個手動步驟，其中一步沒有正確執行。」他補充說，團隊已修復問題並正在增加更多自動化檢查，同時強調這類錯誤指向流程或基礎設施問題，而非某個人的責任。

這並非首次發生。2025 年 2 月，一次幾乎相同的 source map 洩露曾暴露過 Claude Code 早期版本的原始碼。同一類事故在 13 個月內重演，令外界對這家估值約 3800 億美元、正籌備 IPO 的公司的營運成熟度產生疑問。

開發者從洩露程式碼中發現了什麼

洩露的程式碼庫相當於 Anthropic 從未打算公開的一份產品路線圖。據 VentureBeat 和多位開發者的分析，程式碼中包含 44 個功能開關（feature flag），其中超過 20 項是已完成開發但尚未發布的功能。

其中最受關注的包括：一個名為「KAIROS」的自主守護進程模式，允許 Claude Code 在使用者閒置時作為後台持續運行的智能體自主工作，能週期性地修復錯誤、執行任務並向使用者發送推播通知；一套三層「自愈式記憶」架構，透過名為「dreaming」的記憶整合流程，在後台合併分散的觀察結果、消除邏輯矛盾；以及一個完整的多智能體協調系統，可將 Claude Code 從單一智能體轉變為能並行生成、指揮和管理多個工作智能體的協調器。

爭議最大的發現是一個名為 undercover.ts 的檔案。據 The Hacker News 報道，該檔案約 90 行程式碼，在 Anthropic 員工使用 Claude Code 向開源專案提交程式碼時，會注入系統提示，指示 Claude 絕不透露自己是 AI，並剝除所有 Co-Authored-By 歸屬標註。程式碼中寫道：「你正在一個公共/開源程式碼倉庫中執行臥底任務。你的提交資訊、PR 標題和 PR 內文絕不能包含任何 Anthropic 內部資訊。不要暴露你的身分。」

此外，程式碼還包含一個 ANTI_DISTILLATION_CC 標記，會向 API 請求中注入偽造的工具定義，目的是污染競爭對手可能攔截的訓練資料。程式碼中同樣出現了 Anthropic 內部模型代號：Capybara 對應一個尚未發布的新模型層級，Fennec 對應現有的 Opus 4.6。這與五天前 Anthropic 因 CMS 設定失誤洩露的 Mythos 模型資訊相互印證。

網路安全公司 Code Wall 創辦人 Paul Price 對 Business Insider 表示，此次洩露「與其說造成了實際損害，不如說令人尷尬。真正有價值的核心是其內部模型權重，那些並未洩露。」但他也指出，Claude Code 是「目前設計最好的智能體工具架構之一，現在我們能看到他們如何解決那些困難問題了」，這對競爭對手而言具有明顯的情報價值。

8100 個倉庫遭誤封，DMCA 撤除「翻車」引發更大反彈

程式碼擴散後，Anthropic 迅速依據美國《數位千年版權法》（DMCA）向 GitHub 提交版權撤除請求。據 GitHub 公開紀錄，該請求最初波及約 8100 個程式碼倉庫。但問題在於，被撤除的倉庫不僅包含洩露程式碼的鏡像，還包括 Anthropic 自己公開發布的 Claude Code 官方倉庫的合法分叉。

大量開發者在 X 平台表達憤怒。開發者 Danila Poyarkov 報告稱，自己只不過是分叉了 Anthropic 的公開倉庫，就收到了撤除通知。另一位使用者 Daniel San 收到的 GitHub 郵件顯示，被撤除的倉庫僅包含技能範例和文件，與洩露程式碼毫無關係。有開發者直言：「Anthropic 的律師剛醒過來就在撤除我的倉庫。」

面對社群反彈，Anthropic 在 4 月 1 日部分撤回了請求。據 GitHub 上的撤回紀錄，Anthropic 將撤除範圍縮減至 1 個倉庫（nirholas/claude-code）以及原始通知中單獨列出的 96 個分叉 URL，其餘約 8000 個倉庫的存取權限已由 GitHub 恢復。

Anthropic 發言人向 TechCrunch 表示：「通知中指定的倉庫屬於與我們公開 Claude Code 倉庫相連的分叉網路，因此撤除波及的倉庫超出了預期。我們已撤回除一個倉庫外的所有通知，GitHub 已恢復對受影響分叉的存取。」

程式碼已在去中心化平台永久存檔，DMCA 效力有限

Anthropic 的版權撤除行動面臨一個根本性的困境：程式碼已不可逆地擴散。

據 Decrypt 報道，去中心化 Git 平台 Gitlawb 已鏡像了完整原始程式碼，並附註稱「永遠不會被撤除」。DMCA 對中心化平台（如 GitHub）有效，因為後者必須依法執行，但對去中心化基礎設施無法施加管轄權。洩露發生數小時內，程式碼就已透過足夠多的鏡像和不同類型的基礎設施實現了事實上的永久公開。

更具諷刺意味的是，韓國開發者 Sigrid Jin 使用 AI 編排工具 oh-my-codex，將整個程式碼庫從 TypeScript 改寫為 Python，專案名稱為 claw-code。The Pragmatic Engineer 創辦人 Gergely Orosz 在 X 平台指出，這是「乾淨室改寫」（clean-room rewrite），構成獨立的創作作品；在設計上就是 DMCA 無法觸及的。若 Anthropic 主張 AI 改寫的程式碼仍然侵權，這恰恰會削弱 AI 公司在訓練資料版權訴訟中的核心抗辯邏輯——即 AI 從受版權保護的輸入生成的輸出構成合理使用。

版權立場的尷尬：自己打臉還是法律必需？

此次事件中最受社群關注的張力在於版權立場的矛盾。Anthropic 於 2025 年 9 月被法院判決因使用盜版書籍與影子圖書館訓練 Claude 而賠償 15 億美元；Reddit 於 2025 年 6 月起訴 Anthropic 未經授權抓取使用者生成內容用於模型訓練。一家因訓練資料版權問題身陷多起訴訟的公司，轉身使用版權法來保護自己的程式碼，社群反應可預見。

Slashdot 上的高讚評論直接概括了這種情緒：「『我們公開發布的、用偷來的東西賺錢的東西，你們怎麼敢偷！』——這真是個立場。」另一位使用者則認為，從法律策略角度看，DMCA 行動並非毫無道理：「如果 Anthropic 未來想追究其他公司使用其程式碼的責任，而他們連讓散發者撤除都沒有嘗試過，那在法庭上說不過去。」

這場爭論也涉及 AI 生成程式碼的版權歸屬這項前沿法律問題。據 Gartner 與 Anthropic 先前的公開披露，Claude Code 約 90% 的程式碼由 AI 生成。美國聯邦法院在 2025 年 3 月裁定，AI 生成的作品因缺乏人類作者身分而不享有版權保護；最高法院於 2026 年 3 月拒絕受理上訴。如果 Claude Code 的大部分程式碼確實由 Claude 自己撰寫，Anthropic 的版權主張在法律上就存在實質的不確定性。

一週兩次洩露，IPO 前夕的營運安全警報

此次原始程式碼洩露距離 Anthropic 上一次洩露事件僅隔五天。3 月 26 日，《财富》雜誌報道稱，Anthropic 因內容管理系統的設定失誤，導致近 3000 份未發布的內部文件暴露在公開可檢索的資料快取中，其中包含即將發布的 Claude Mythos 模型的詳細資訊。兩起事故均被歸因於「人為錯誤」。

這些事故的時間點十分敏感。Anthropic 於 2026 年 2 月完成 300 億美元 G 輪融資，估值達 3800 億美元，據報道正籌備最早於 2026 年 10 月進行的 IPO，預計融資規模可能超過 600 億美元。高盛、摩根大通與摩根士丹利均已在早期接洽中。Claude Code 年化收入已超過 25 億美元，是公司最重要的收入引擎。TechCrunch 指出，對於正在準備上市的公司而言，洩露原始程式碼意味著幾乎必然面臨股東訴訟。

VentureBeat 在事件分析中提出了更尖銳的問題：Anthropic 在 3 月發生了十餘起事故，但僅公開發布過一份事後報告；第三方監控系統偵測到故障的時間比 Anthropic 自己的狀態頁面早了 15 到 30 分鐘。一家正以 3800 億美元估值駛向公開市場的公司，其營運透明度與成熟度是否配得上這項估值，投資者需要自己判斷。