Claude Code完全ソースコードが暴露

Odaily ブロックチェーンセキュリティ企業Fuzzlandのインターン研究員Chaofan Shou氏がXで指摘したところによると、Anthropic傘下のAIプログラミングツールClaude Codeのnpmパッケージには完全なソースマップファイル（cli.js.map、約60MB）が含まれており、これからすべてのTypeScriptソースコードを復元できることが判明した。検証の結果、本日リリースされた最新版v2.1.88にも依然としてこのファイルが含まれており、Claude Code独自の1,906のソースファイルの完全なコードが含まれている。これには内部API設計、分析テレメトリシステム、暗号化ツール、プロセス間通信プロトコルなどの実装詳細が網羅されている。

ソースマップは、JavaScript開発において圧縮されたコードを元のソースコードにマッピングするためのデバッグファイルであり、本番リリースパッケージに含まれるべきではない。2025年2月、Claude Codeの初期バージョンは同じ問題で既に暴露されており、Anthropicは当時、npmから旧バージョンを削除し、ソースマップを削除した。しかし、この問題はその後再発し、GitHub上では復元されたソースコードを抽出・整理した複数の公開リポジトリが存在し、その中でもghuntley/claude-code-source-code-deobfuscationは約1,000のスターを獲得している。

漏洩したのはClaude Code CLIツールのクライアント実装コードであり、モデルの重みやユーザーデータは含まれておらず、一般ユーザーに直接的なセキュリティリスクはない。しかし、完全なソースコードが継続的に暴露されていることは、内部アーキテクチャ、セキュリティメカニズム、テレメトリロジックが外部に完全に透明化されていることを意味する。