华人安全研究员寿超璠揭露 Claude Code 源码泄露事件

洒脱喜1 小时前

近日,Claude Code 的源码遭到意外泄露,近两千份文件、超过五十万行 TypeScript 代码被公开在网络上。这是迄今为止 AI 领域头部公司中规模最大的源码泄露事件之一。

率先发现并公开披露这一漏洞的,是一位自嘲为“门外汉”的华人安全研究员——寿超璠(Chaofan Shou)。

qXvmxi1c7p20BoMdhUwkZfB0aN294bIdxevkME6v.png

开发者 @realsigridjin 第一时间将泄露的源码备份至 GitHub,仓库名为 instructkr/claude-code,标注为「Claude Code Snapshot for Research」。

该仓库上线仅两小时,stars 数量便突破五万,创下 GitHub 有史以来最快达成这一里程碑的纪录。

g8J3fzamamKofJPRKPZbn2LBmDCzQ1FRmMNPo6nv.png

附上 Github 地址:https://github.com/instructkr/claude-code

事件起因于 Anthropic 在一次 Claude Code 版本发布中,误将 source map 调试文件一并打包并发布到公开的软件包仓库。source map 文件暴露了原始源码归档的位置,导致外界能够访问 Anthropic 云端存储中的源码压缩包并下载。

Anthropic 官方随后回应称,此次事件属于“打包环节的人为失误”,并非安全入侵,没有任何用户数据或凭证遭到泄露。Claude Code 之父 Boris Cherny 也在 X 上简短留言,确认这只是“开发者的操作失误”。

GzP20JWhKzuNrGrvLZAUaqIdMqnFIsGHowralG4e.png

消息发酵后,马斯克也加入讨论,转发网友调侃 Anthropic 现在比 OpenAI 更开放的帖子,并留下一句“太绝了?”。

bwJsE3lCbEJ91tHnbJkfakWhxiJitnWQWgzOQ8l6.png

值得一提的是,发现这次泄露的寿超璠,是一位履历亮眼的华人安全研究员,GitHub 用户名为 shouc,X 账号为 @shoucccc。

yVYyqgR98jIxVDH8DoBsMYdfdWz7qc9IcU6XEwxE.png

据其 LinkedIn 资料显示,寿超璠于 2019 年进入加州大学圣塔芭拉分校攻读计算机科学本科,仅用约 2 年时间便以满绩点 4.0 提前毕业。他在学历一栏备注道:“too easy(太简单了)”。

bKGTvn5bQSWiXbNlqTOlRUWg9GwBW6xjgqZtIwtK.png

有网友计算,这相当于每学期都维持高考冲刺强度,连续三年每门课都拿最高分。

本科毕业后,他进入加州大学伯克利分校攻读计算机科学博士,师从程序分析领域知名教授 Koushik Sen,但后来选择退学创业。LinkedIn 上的备注同样简洁:“dropped out lol(退学了,哈哈)”。

他曾担任 Salesforce 安全工程师,负责静态代码分析工具和数据管道的开发,之后加入 Veridise 主导智能合约自动化测试工具的研发。

WTtTyRXw9THfr65QQitTfLfWmpRLqcsCRRh5Ms0T.png

2023 年,他联合创办了 Web3 安全与高频交易公司 Fuzzland 并担任 CTO,该公司后被 Solayer 收购,他随之出任 Solayer 全职软件工程师,职位描述一栏写的是“full-time larping on twitter(全职在推特上演戏)”。

简单来说,他是在调侃自己成天在 Twitter 上发帖刷存在感,自嘲自己不干正事。

Fuzzland 协助追回了超过 3000 万美元的被盗链上资产,目前保护和管理的资产规模超过 50 亿美元。他在 GitHub 上的代表项目 ityfuzz 是一个面向智能合约的快照模糊测试工具,累计已获超过 1100 个 Star。

hjezIPLATMCK3wDRhE23K9k51EcEze9pkjVUBRuw.png

学术层面,他的 Google Scholar 页面显示总引用量达 224 次,h-index 为 6,i10-index 为 4,论文发表于 CCS、ISSTA、CoNext 等顶级学术会议,研究方向涵盖智能合约模糊测试、Web 安全与分布式系统。

漏洞赏金领域,他从 2016 年便活跃其中,披露过的漏洞覆盖 Twitter、Etherscan、Devin.ai、Google Nest 等知名平台,涉及账户劫持、系统接管、用户行为泄露等多类高危问题,累计获得漏洞赏金约 190 万美元。

rzscWEzq4OkXx01iAlJmxxbn3LaT8vW7sKRoLOGE.png

https://github.com/shouc

过去一年,他在 GitHub 上仍保持着 1159 次提交的活跃节奏。

此人的身份在社交媒体上引发广泛讨论后,有网友在评论区留言:“是寿超璠嘛,这是我高中学弟阿。”

iSpclN3FLu5VTGqHkewC2538oxnIiK7Avqart72Z.png

公开资料也似乎印证了这一线索:他曾就读上海平和双语学校,曾入选中国计算机学会(CCF)高校宣传员名单。

cq7kRMRHeRnayeeJg7rN7I3B9kQTPBOz5vYkR4JB.png

截图来自公众号平和教育

网络上,甚至流传着他手绘辅助图解 AMC10 题目的教学材料。当然,也不排除存在同名同姓的可能。

HSeYdGs2fmL0tL7Ew6ip6bYIjcduGnSKoOa7Bw6V.png

有趣的是,Anthropic 把自己包装成最在乎安全的 AI 公司,而拆穿这层包装的人,是一个在 GitHub 上自称“senior script kiddie”的华人程序员。

“script kiddie”在黑客文化里是专门用来嘲笑技术门外汉的词,指那些不懂原理、只会照搬工具的人。将这段话贴在自己主页最显眼的位置,本意无疑只是调侃。

但正是这样一个人,或许是职业习惯使然,在一次随手的技术检查中,让 Anthropic 的五十万行源代码出现在了所有人面前。

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代币币情的观点或立场

首页首页 行情 平台 快讯快讯 我的