据区块链安全公司Fuzzland研究员Chaofan Shou披露,Anthropic旗下AI编程工具Claude Code的npm包中,再次被发现包含完整的source map文件(cli.js.map,约60MB)。该文件可被用于还原出全部TypeScript源代码。
核心问题
- 版本情况:最新版v2.1.88中仍包含该文件。
- 泄露内容:文件内含1,906个自有源文件的完整代码,涵盖内部API设计、遥测系统、加密工具及进程间通信协议等核心实现细节。
- 性质:Source map是用于调试的开发文件,不应出现在生产环境的发布包中。
事件背景
这并非首次发生。2025年2月,Claude Code早期版本就曾因同一问题被曝光,Anthropic当时移除了相关文件。但问题复发,导致GitHub上已出现多个整理还原后代码的公开仓库。
影响评估
- 此次泄露的是CLI工具的客户端代码,不涉及AI模型权重或用户数据,对普通用户无直接安全风险。
- 然而,完整源码的持续暴露,使得其内部架构、安全机制和业务逻辑对外完全透明。
