币须知道据 1M AI News 监测,区块链安全公司 Fuzzland 实习研究员 Chaofan Shou 在 X 上指出,Anthropic 旗下 AI 编程工具 Claude Code 的 npm 包中包含完整的 source map 文件(cli.js.map,约 60MB),可从中还原出全部 TypeScript 源代码。经验证,今天发布的最新版 v2.1.88 仍然包含该文件,内含 1,906 个 Claude Code 自有源文件的完整代码,涵盖内部 API 设计、分析遥测系统、加密工具、进程间通信协议等实现细节。
Source map 是 JavaScript 开发中用于将压缩代码映射回原始源代码的调试文件,不应出现在生产发布包中。2025 年 2 月,Claude Code 早期版本就曾因同一问题被曝光,Anthropic 当时从 npm 移除了旧版本并删除了 source map。但该问题后来再次出现,GitHub 上已有多个公开仓库提取并整理了还原后的源代码,其中 ghuntley/claude-code-source-code-deobfuscation 获得近千颗星。
泄露的是 Claude Code CLI 工具的客户端实现代码,不涉及模型权重或用户数据,对普通用户没有直接安全风险。但完整源码的持续暴露意味着内部架构、安全机制和遥测逻辑对外完全透明。
