AI News HubLIVE
站內改寫2 分鐘閱讀

AI編碼助手悄悄洩露你的秘密

AI編碼助手正在程式碼庫中留下新的痕跡:配置檔案、日誌和輔助工件,這些原本不應離開你的筆記型電腦。研究顯示,這些檔案已透過npm包、GitHub和Web資產洩露敏感憑證。文章探討了問題的普遍性及應對措施。

來源Hacker News AI作者: k1r111

AI編碼助手正在程式碼庫中留下新的痕跡:配置檔案、日誌和輔助工件,這些原本不應離開你的筆記型電腦。本文作者在一次偶然的安全掃描中發現了這一問題,隨後展開的研究揭示了其普遍性,並指出這是一個生態系統層面的問題,而非單個漏洞。

一切始於一個npm包中的.claude資料夾。作者在掃描npm釋出包時,發現了一個本不應存在的.claude/settings.local.json檔案,其中包含真實的秘密,如curl命令中的Bearer令牌、API_KEY環境變數等。Claude Code的文件中描述該檔案為專案級別的個人覆蓋設定,應保持本地化,不應共享。但顯然,它已透過npm包洩露。

Lakera研究團隊對此進行了大規模調查。他們構建了一個登錄檔端掃描器,跟蹤npm的CouchDB變更流,下載新包並提取.claude/settings.local.json檔案。在約46,500個包中,428個包含該檔案,其中30個包的33個檔案含有真實憑證,包括npm認證令牌、GitHub個人訪問令牌、Telegram機器人令牌、Hugging Face令牌等。研究還顯示,類似問題出現在Python、Java和容器製品中。

為評估問題在Web上的普遍性,作者開發了webcensus掃描器,對多個大型域名列表進行掃描。結果發現,大約每1000個網站中就有1個公開了.claude/settings.local.json檔案,內容包含即時API令牌、資料庫憑證、內部主機名等敏感資訊。

GitHub上同樣存在大量洩露。使用path:".claude/settings.local.json" "Authorization: Bearer"等簡單搜尋查詢,即可找到包含真實令牌的檔案。類似問題也出現在其他AI工具中,如OpenAI Codex CLI的~/.codex/auth.json檔案。

蘋果公司也未能倖免。2026年5月1日,安全研究員Aaron發現蘋果支援應用更新中包含CLAUDE.md檔案,疑似內部指令文件,引用了蘋果的“Juno AI”等內部系統。蘋果隨後緊急釋出熱修復移除這些檔案。

作者認為,這已不是單個漏洞,而是生態系統層面的問題。預設的.gitignore和打包模板未考慮AI助手生成的檔案;工具的設計假設與打包習慣產生衝突;而且洩露途徑繁多,從npm到GitHub再到Web資產,難以一一管控。

作者建議:將AI助手資料夾(如.claude/)新增到.gitignore和包忽略列表中;在釋出前審計包內容;在最終制品上執行秘密掃描;AI工具應改進預設設定,避免將明文秘密寫入易被打包的路徑。

問題不會自行消失,但透過持續討論和提高意識,我們可以使“將AI助手的殘留檔案釋出到生產環境”變得像提交.env檔案一樣明顯錯誤。