近日,Anthropic公司旗下流行的“情感编码”工具Claude Code的源代码意外被公开,随即引发了一场网络安全风波。在源代码泄露后,大量用户开始在开发者平台GitHub上重新发布这些代码。
然而,BleepingComputer报告称,部分重新发布者并非善意分享,而是黑客。他们利用此次泄露事件,在这些被重新发布的Claude Code代码中偷偷植入了窃密(infostealer)恶意软件。这意味着,尝试下载这些GitHub仓库的用户可能在不知不觉中感染恶意软件。
Anthropic公司已经迅速采取行动,通过发出版权下架通知,努力删除这些泄露的代码副本(无论是否包含恶意软件)。《华尔街日报》报道指出,Anthropic最初试图下架GitHub上超过8,000个相关仓库,但后来将重点缩小到96个确认为泄露或改编的副本。
这并非黑客首次利用人们对Claude Code的兴趣进行攻击。早在今年3月,404 Media就曾披露,谷歌搜索结果中的赞助广告曾将用户引导至伪装成官方Claude Code安装指南的网站,诱导用户运行恶意指令。鉴于Claude Code要求用户通过复制粘贴安装命令进行操作,这种机制本身就为不熟悉终端操作的用户带来了潜在的安全风险。
在另一项重要的安全更新中,苹果公司本周罕见地为iOS 18发布了“回溯移植”(backported)补丁。此举旨在保护数百万仍在使用旧版操作系统的用户,使其免受“DarkSword”黑客技术的攻击。DarkSword漏洞于3月被发现,允许攻击者通过受感染的网站感染iPhone设备。尽管苹果最初建议用户升级到最新版iOS 26,但鉴于DarkSword的持续传播,最终还是为iOS 18发布了关键补丁。