本月排行TOP10

最新推荐

专题导航

您现在的位置:kastop>> Kas信息 Web3信息>>正文内容

揪出 Claude Code 源码泄露的人 是个自嘲「门外汉」的华人小哥

作者:未知 来源:kastop.com 发布时间:2026年04月01日 点击数:

Claude Code 源码被泄露了。

近两千份文件、超过五十万行 TypeScript 代码,全部暴露在公开网络上。这是迄今为止 AI 头部公司中规模最大的源码意外公开事件之一。

率先发现并公开披露这一「漏洞」的,是开发者 Chaofan Shou(寿超璠)。

qXvmxi1c7p20BoMdhUwkZfB0aN294bIdxevkME6v.png

开发者 @realsigridjin 动作极快,第一时间将泄露的源码备份至 GitHub,仓库名为 instructkr/claude-code,标注为「Claude Code Snapshot for Research」。

仓库上线仅两小时,stars 数量便突破五万,创下 GitHub 有史以来最快达成这一里程碑的纪录。

g8J3fzamamKofJPRKPZbn2LBmDCzQ1FRmMNPo6nv.png

附上 Github 地址:https://github.com/instructkr/claude-code

事情起因于 Anthropic 在一次 Claude Code 版本发布中,误将 source map 调试文件一并打包并发布到公开的软件包仓库。

该 source map 文件暴露了原始源码归档的位置,外界随后可据此访问 Anthropic 云端存储中的源码压缩包并下载。

Anthropic 官方随后回应,此次事件属于「打包环节的人为失误」,并非安全入侵,没有任何用户数据或凭证遭到泄露。Claude Code 之父 Boris Cherny 也在 X 上简短留言,确认这只是「开发者的操作失误」。

GzP20JWhKzuNrGrvLZAUaqIdMqnFIsGHowralG4e.png

消息发酵后,马斯克也来凑了个热闹,转发网友调侃 Anthropic 现在比 OpenAI 更开放的帖子,并留下一句「太绝了?」。

bwJsE3lCbEJ91tHnbJkfakWhxiJitnWQWgzOQ8l6.png

值得一提的是,发现这次泄露的 Chaofan Shou,是一位履历相当亮眼的华人安全研究员,GitHub 用户名为 shouc,X 账号为 @shoucccc。

yVYyqgR98jIxVDH8DoBsMYdfdWz7qc9IcU6XEwxE.png

据其 LinkedIn 资料,2019 年他进入加州大学圣塔芭拉分校攻读计算机科学本科,仅用约 2 年时间便完成全部学业,以满绩点 4.0 提前毕业。学历一栏的备注只有两个字:「too easy」。

bKGTvn5bQSWiXbNlqTOlRUWg9GwBW6xjgqZtIwtK.png

有网友算了一笔账,这相当于每学期都维持高考冲刺强度,连续三年每门课都拿最高分。

本科毕业后,他进入加州大学伯克利分校攻读计算机科学博士,师从程序分析领域知名教授 Koushik Sen,后来选择退学创业。LinkedIn 上的备注同样简洁:「dropped out lol(退学了,哈哈)」。

他早年在 Salesforce 担任安全工程师,负责静态代码分析工具和数据管道的开发,之后加入 Veridise 主导智能合约自动化测试工具的研发。

WTtTyRXw9THfr65QQitTfLfWmpRLqcsCRRh5Ms0T.png

2023 年,他联合创办了 Web3 安全与高频交易公司 Fuzzland 并担任 CTO,该公司后被 Solayer 收购,他随之出任 Solayer 全职软件工程师,职位描述一栏写的是「full-time larping on twitter(全职在推特上演戏)」。

简单来说,他是在调侃自己成天在 Twitter 上发帖刷存在感,自嘲自己不干正事。

Fuzzland 协助追回了超过 3000 万美元的被盗链上资产,目前保护和管理的资产规模超过 50 亿美元。他在 GitHub 上的代表项目 ityfuzz 是一个面向智能合约的快照模糊测试工具,累计已获超过 1100 个 Star。

hjezIPLATMCK3wDRhE23K9k51EcEze9pkjVUBRuw.png

学术层面,他的 Google Scholar 页面显示总引用量达 224 次,h-index 为 6,i10-index 为 4,论文发表于 CCS、ISSTA、CoNext 等顶级学术会议,研究方向涵盖智能合约模糊测试、Web 安全与分布式系统。

漏洞赏金领域,他从 2016 年便已活跃其中。披露过的漏洞覆盖 Twitter、Etherscan、Devin.ai、Google Nest 等知名平台,涉及账户劫持、系统接管、用户行为泄露等多类高危问题,累计获得漏洞赏金约 190 万美元。

rzscWEzq4OkXx01iAlJmxxbn3LaT8vW7sKRoLOGE.png

https://github.com/shouc

过去一年,他在 GitHub 上仍保持着 1159 次提交的活跃节奏。

此人的身份在社交媒体上引发广泛讨论后,有网友在评论区留言:「是寿超璠嘛,这是我高中学弟阿。」

iSpclN3FLu5VTGqHkewC2538oxnIiK7Avqart72Z.png

公开资料也似乎印证了这一线索:他曾就读上海平和双语学校,曾入选中国计算机学会(CCF)高校宣传员名单。

cq7kRMRHeRnayeeJg7rN7I3B9kQTPBOz5vYkR4JB.png

截图来自公众号平和教育

网络上,甚至流传着他手绘辅助图解 AMC10 题目的教学材料。当然,也不排除存在同名同姓的可能。

HSeYdGs2fmL0tL7Ew6ip6bYIjcduGnSKoOa7Bw6V.png

有趣的是,Anthropic 把自己包装成最在乎安全的 AI 公司,而拆穿这层包装的人,是一个在 GitHub 上自称「senior script kiddie」的华人程序员。

「script kiddie」在黑客文化里是专门用来嘲笑技术门外汉的词,指那些不懂原理、只会照搬工具的人,将这段话贴在自己主页最显眼的位置,本意无疑只是调侃。

但正是这样一个人或许是职业习惯使然,在一次随手的技术检查中,让 Anthropic 的五十万行源代码出现在了所有人面前。



感动 同情 无聊 愤怒 搞笑 难过 高兴 路过
【字体: 】【收藏】【打印文章】 【 打赏 】 【查看评论

相关文章

    没有相关内容