Anthropic AI 编程工具 Claude Code 的 npm 包泄露完整源码

GateNews

2026-03-31 10:01:10

Gate News 消息，3 月 31 日，区块链安全公司 Fuzzland 实习研究员 Chaofan Shou 在 X 上指出，Anthropic 旗下 AI 编程工具 Claude Code 的 npm 包中包含完整的 source map 文件（cli.js.map，约 60MB），可从中还原出全部 TypeScript 源代码。经验证，今天发布的最新版 v2.1.88 仍然包含该文件，内含 1,906 个 Claude Code 自有源文件的完整代码，涵盖内部 API 设计、分析遥测系统、加密工具、进程间通信协议等实现细节。Source map 是 JavaScript 开发中用于将压缩代码映射回原始源代码的调试文件，不应出现在生产发布包中。2025 年 2 月，Claude Code 早期版本就曾因同一问题被曝光，Anthropic 当时从 npm 移除了旧版本并删除了 source map，但该问题后来再次出现。GitHub 上已有多个公开仓库提取并整理了还原后的源代码，其中 ghuntley/claude-code-source-code-deobfuscation 获得近千颗星。泄露的是 Claude Code CLI 工具的客户端实现代码，不涉及模型权重或用户数据，对普通用户没有直接安全风险，但完整源码的持续暴露意味着内部架构、安全机制和遥测逻辑对外完全透明。

View Source

Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to Disclaimer.

Commento

0/400

Nessun commento