AI News HubLIVE
站内改写2 分钟阅读

AI编码助手悄悄泄露你的秘密

AI编码助手正在代码库中留下新的痕迹:配置文件、日志和辅助工件,这些原本不应离开你的笔记本电脑。研究显示,这些文件已通过npm包、GitHub和Web资产泄露敏感凭证。文章探讨了问题的普遍性及应对措施。

来源Hacker News AI作者: k1r111

AI编码助手正在代码库中留下新的痕迹:配置文件、日志和辅助工件,这些原本不应离开你的笔记本电脑。本文作者在一次偶然的安全扫描中发现了这一问题,随后展开的研究揭示了其普遍性,并指出这是一个生态系统层面的问题,而非单个漏洞。

一切始于一个npm包中的.claude文件夹。作者在扫描npm发布包时,发现了一个本不应存在的.claude/settings.local.json文件,其中包含真实的秘密,如curl命令中的Bearer令牌、API_KEY环境变量等。Claude Code的文档中描述该文件为项目级别的个人覆盖设置,应保持本地化,不应共享。但显然,它已通过npm包泄露。

Lakera研究团队对此进行了大规模调查。他们构建了一个注册表端扫描器,跟踪npm的CouchDB变更流,下载新包并提取.claude/settings.local.json文件。在约46,500个包中,428个包含该文件,其中30个包的33个文件含有真实凭证,包括npm认证令牌、GitHub个人访问令牌、Telegram机器人令牌、Hugging Face令牌等。研究还显示,类似问题出现在Python、Java和容器制品中。

为评估问题在Web上的普遍性,作者开发了webcensus扫描器,对多个大型域名列表进行扫描。结果发现,大约每1000个网站中就有1个公开了.claude/settings.local.json文件,内容包含实时API令牌、数据库凭证、内部主机名等敏感信息。

GitHub上同样存在大量泄露。使用path:".claude/settings.local.json" "Authorization: Bearer"等简单搜索查询,即可找到包含真实令牌的文件。类似问题也出现在其他AI工具中,如OpenAI Codex CLI的~/.codex/auth.json文件。

苹果公司也未能幸免。2026年5月1日,安全研究员Aaron发现苹果支持应用更新中包含CLAUDE.md文件,疑似内部指令文档,引用了苹果的“Juno AI”等内部系统。苹果随后紧急发布热修复移除这些文件。

作者认为,这已不是单个漏洞,而是生态系统层面的问题。默认的.gitignore和打包模板未考虑AI助手生成的文件;工具的设计假设与打包习惯产生冲突;而且泄露途径繁多,从npm到GitHub再到Web资产,难以一一管控。

作者建议:将AI助手文件夹(如.claude/)添加到.gitignore和包忽略列表中;在发布前审计包内容;在最终制品上运行秘密扫描;AI工具应改进默认设置,避免将明文秘密写入易被打包的路径。

问题不会自行消失,但通过持续讨论和提高意识,我们可以使“将AI助手的残留文件发布到生产环境”变得像提交.env文件一样明显错误。