2026 年 3 月底,Anthropic 在發佈 Claude Code npm 套件時意外夾帶了 source map 檔案,導致 512,000 行 TypeScript 原始碼全部曝光。安全研究員與開發者迅速從中挖出 token 消耗過快的 autocompact bug、Permission system 安全漏洞,以及 KAIROS 常駐代理、BUDDY AI 寵物等隱藏功能。這篇文章整理洩漏的原因、原始碼揭露的架構設計、已知 Bug、爭議功能。
Claude Code 原始碼意外洩漏|512,000 行程式碼揭露的架構、Bug 與隱藏功能
npm 與 pip 套件遭供應鏈攻擊|axios、LiteLLM 事件解析與防範指南
2026 年 3 月,npm 上每週破億下載的 axios 與 PyPI 上 AI 熱門套件 LiteLLM 接連遭到供應鏈攻擊,惡意程式碼透過正常的套件安裝流程直接進入開發者的電腦,竊取憑證、植入後門。這篇文章會介紹什麼是套件管理器與供應鏈攻擊、拆解 axios 和 LiteLLM 兩起事件的攻擊手法與時間線,並提供 npm、pip、Maven、Gradle 開發者在 AI 時代可以馬上實踐的防範措施與工具推薦。