AI News HubLIVE
站內改寫2 分鐘閱讀

AI編碼助手悄悄泄露你的秘密

AI編碼助手正在代碼庫中留下新的痕跡:配置文件、日誌和輔助工件,這些原本不應離開你的筆記本電腦。研究顯示,這些文件已通過npm包、GitHub和Web資產泄露敏感憑證。文章探討了問題的普遍性及應對措施。

來源Hacker News AI作者: k1r111

AI編碼助手正在代碼庫中留下新的痕跡:配置文件、日誌和輔助工件,這些原本不應離開你的筆記本電腦。本文作者在一次偶然的安全掃描中發現了這一問題,隨後展開的研究揭示了其普遍性,並指出這是一個生態系統層面的問題,而非單個漏洞。

一切始於一個npm包中的.claude文件夾。作者在掃描npm發佈包時,發現了一個本不應存在的.claude/settings.local.json文件,其中包含真實的秘密,如curl命令中的Bearer令牌、API_KEY環境變量等。Claude Code的文檔中描述該文件為項目級別的個人覆蓋設置,應保持本地化,不應共享。但顯然,它已通過npm包泄露。

Lakera研究團隊對此進行了大規模調查。他們構建了一個註冊表端掃描器,跟蹤npm的CouchDB變更流,下載新包並提取.claude/settings.local.json文件。在約46,500個包中,428個包含該文件,其中30個包的33個文件含有真實憑證,包括npm認證令牌、GitHub個人訪問令牌、Telegram機器人令牌、Hugging Face令牌等。研究還顯示,類似問題出現在Python、Java和容器製品中。

為評估問題在Web上的普遍性,作者開發了webcensus掃描器,對多個大型域名列表進行掃描。結果發現,大約每1000個網站中就有1個公開了.claude/settings.local.json文件,內容包含實時API令牌、數據庫憑證、內部主機名等敏感信息。

GitHub上同樣存在大量泄露。使用path:".claude/settings.local.json" "Authorization: Bearer"等簡單搜索查詢,即可找到包含真實令牌的文件。類似問題也出現在其他AI工具中,如OpenAI Codex CLI的~/.codex/auth.json文件。

蘋果公司也未能倖免。2026年5月1日,安全研究員Aaron發現蘋果支持應用更新中包含CLAUDE.md文件,疑似內部指令文檔,引用了蘋果的“Juno AI”等內部系統。蘋果隨後緊急發佈熱修復移除這些文件。

作者認為,這已不是單個漏洞,而是生態系統層面的問題。默認的.gitignore和打包模板未考慮AI助手生成的文件;工具的設計假設與打包習慣產生衝突;而且泄露途徑繁多,從npm到GitHub再到Web資產,難以一一管控。

作者建議:將AI助手文件夾(如.claude/)添加到.gitignore和包忽略列表中;在發佈前審計包內容;在最終制品上運行秘密掃描;AI工具應改進默認設置,避免將明文秘密寫入易被打包的路徑。

問題不會自行消失,但通過持續討論和提高意識,我們可以使“將AI助手的殘留文件發佈到生產環境”變得像提交.env文件一樣明顯錯誤。