AI研究公司Anthropic旗下大型語言模型Claude Code的原始碼近期意外外洩近萬份副本,隨後Anthropic發出著作權下架通知,此事件不僅揭示AI模型開發中潛在的資安漏洞,更凸顯人工智慧領域智慧財產權保護的複雜性與挑戰。
根據《Technobezz》報導,此事件源於Anthropic在版本2.1.88的npm套件中,不慎包含了一個原始碼地圖(source map)檔案。該檔案指向專有程式碼的線上位置,導致研究人員得以大量下載並在GitHub儲存庫中分享,流通數量一度達到8千份。Anthropic最初對這8千份副本發出下架通知,但隨後將範圍縮小至96份,聲明最初的請求涵蓋了比預期更多的帳戶。
此次外洩的程式碼揭露了Claude Code作為自主代理運作的工程技術細節,包括名為「harness」的架構。不過,Anthropic強調,此次事件並未導致任何客戶資料或內部數學權重外洩。公司將這次錯誤歸因於「人為疏失」。
然而,安全研究人員Adversa卻在這些外洩的程式碼中,發現了一個安全漏洞。《Technobezz》指出,當Claude Code在單一指令中處理超過50個子命令時,會繞過原有的安全檢查。一旦超過這個數量,安全分析會被覆寫,並提示使用者確認是否繼續執行。Anthropic雖已開發出名為「tree-sitter parser」的修復方案,但尚未將其應用於公開版本中。
這並非Anthropic首次面臨智慧財產權爭議。在Claude早期開發階段,Anthropic曾被指控使用盜版書籍來訓練其模型。此類指控最終導致Anthropic支付15億美元達成和解。據悉,Anthropic曾從LibGen和Pirate Library Mirror等「影子圖書館」下載數百萬卷書籍。此外,內部文件顯示,Anthropic曾秘密執行「巴拿馬計畫」(Project Panama),透過工業切割設備掃描並銷毀數百萬本實體書籍,其2024年的內部規劃文件更表明「我們不希望外界知道我們正在進行這項工作」。雖然當時法庭裁定實體書籍數位化的行為合法,但連串事件已讓Anthropic在智慧財產權領域備受關注。
此類事件對全球AI產業帶來警示,也提醒台灣AI新創與研究機構,在加速發展的同時,應更加重視智慧財產權與程式碼安全防護。從程式碼管理到模型訓練資料的合法性,任何環節的疏漏都可能引發嚴重的法律及聲譽風險。
