Claude Code 外洩爆雙重危機：51萬行原始碼曝光、偽造儲存庫散布竊資程式

Anthropic 旗下 AI 編碼工具 Claude Code 於 2026 年 3 月 31 日發生原始碼外洩事件，起因是 npm 套件中誤含 59.8MB 的 JavaScript source map 檔案，導致超過 51 萬行未經混淆的 TypeScript 原始碼曝光。攻擊者迅速利用此事件在 GitHub 建立偽造儲存庫，以「解鎖版」為誘餌散布 Vidar 資訊竊取程式，開發者社群面臨雙重安全威脅。

事件起因：發布流程缺乏內容檢查機制

資安研究員 Chaofan Shou 率先在社群平台 X 上揭露此事件。根據 AI 安全公司 Straiker 的分析，外洩的 source map 檔案包含 1,906 個檔案、約 51.3 萬行程式碼，完整揭露了 Claude Code 的用戶端代理框架架構。

Straiker 全端工程師 Jun Zhou 指出，Claude Code 在執行階段內建超過 25 個 bash 安全驗證器，展現出相當成熟的安全工程設計，然而發布流程卻缺乏基本的內容檢查機制，導致近 60MB 的 source map 檔案被推送至公開的 npm registry。此事件凸顯即使產品本身具備完善的安全控制，若 CI/CD 管線存在疏漏，仍可能造成嚴重的資訊外洩。

外洩內容解析：代理架構與安全機制全面曝光

根據多家資安公司的分析，此次外洩的原始碼涵蓋多項關鍵技術細節。在代理協調邏輯方面，外洩內容揭露了 Claude Code 如何處理上下文管線、記憶體管理與任務驅動流程。在權限與執行系統方面，沙箱邊界設定、權限驗證器的實作方式均被公開。此外，隱藏功能與建置細節、安全相關內部機制等資訊也一併曝光。

Straiker AI 紅隊成員 Jesus Ramon 警告，攻擊者現已取得 Claude Code 完整架構的藍圖，可據此設計能繞過安全鏈間隙、並在上下文壓縮過程中持續存活的惡意酬載。

值得注意的是，此次外洩並未包含模型權重 (model weights)，這是封閉式 AI 框架中最核心的資產。然而專家強調，外洩的工程實作細節本身即具有高度價值，因為它揭示了原始語言模型如何被轉化為可運作的工具，這些設計取捨與工程決策通常是企業嚴密保護的商業機密。

攻擊者迅速行動：偽造儲存庫散布竊資軟體

雲端資安公司 Zscaler 的研究團隊在監控 GitHub 威脅時，發現攻擊者迅速利用此事件發動惡意軟體散布攻擊。一個名為「idbzoomh1」的使用者建立了標題為「Leaked Claude Code」的儲存庫，其 README.md 檔案宣稱該內容係從 npm 套件中的 .map 檔案取得並重建為功能性分支，號稱已「解鎖」Claude Code 的企業功能且無訊息數量限制。

Zscaler 研究人員表示，該儲存庫的 releases 區段包含名為「Claude Code – Leaked Source Code (.7z)」的惡意壓縮檔，內含一個名為 ClaudeCode_x64.exe 的 Rust 編寫投放器。一旦執行，該程式將部署 Vidar v18.7 資訊竊取程式與 GhostSocks 網路流量代理工具。Vidar 是一款專門竊取敏感資訊的惡意程式，而 GhostSocks 則用於代理網路流量以隱匿攻擊者行蹤。

該惡意儲存庫經過搜尋引擎最佳化處理，在 Google 搜尋「leaked Claude Code」時一度出現在搜尋結果前列，大幅增加開發者誤觸的風險。Zscaler 觀察到攻擊者在短時間內上傳了兩個不同版本的惡意壓縮檔，並在另一個帳號「my3jie」下建立了內容相同的儲存庫，顯示攻擊者正在測試不同的散布策略。

AI 編碼代理放大供應鏈風險

此事件也凸顯 AI 編碼代理所帶來的新型攻擊面。Jun Zhou 指出，開發者工作站是「憑證豐富、高度信任、低度可視」的環境，而在其中運作的 AI 編碼代理正在放大這種曝險程度。

Jesus Ramon 進一步說明，傳統遭入侵的套件在有限的執行環境中運作，但編碼代理可存取整個檔案系統、Shell、網路與 MCP 伺服器，因此影響範圍可擴及整個開發者工作站。更重要的是，AI 代理引入了新型態的攻擊持久化機制：被污染的指令可在上下文壓縮過程中存活，並以模型視為合法指令的形式重新出現，進而流入 pull request 與生產環境程式碼。

事件回應與後續影響

Anthropic 在發現後迅速修補問題，並向 GitHub 上近 100 個鏡像儲存庫發出版權侵害通知。然而，部分使用者已利用 AI 代理將程式碼重構並轉譯為 Python 與 Rust 版本，這些衍生專案並未收到下架通知。

此事件的影響已擴散至全球開發者社群。在中國，由於 Anthropic 服務並未正式進入該市場，開發者透過 VPN 大量下載外洩的原始碼，相關討論在社群平台上迅速蔓延。一位北京工程師表示，這些外洩文件如同黃金，讓在資源受限環境下工作的團隊得以一窺高階系統設計。

資安建議

針對此事件，資安專家提出以下建議。對於開發者而言，切勿從任何宣稱提供「外洩版 Claude Code」的 GitHub 儲存庫下載、fork、建置或執行程式碼，所有來源均應透過 Anthropic 官方管道驗證。對於企業而言，應強化 CI/CD 管線安全，限制敏感憑證存取權限，實施嚴格的秘密管理實務，並在發布流程中加入內容檢查機制，以防止類似的意外外洩事件。

Zscaler 已公布與此攻擊活動相關的入侵指標 (IoC)，供企業進行威脅偵測與回應。