Claude Code toàn bộ mã nguồn bị lộ

Odaily Tin tức Nhà nghiên cứu thực tập Chaofan Shou từ công ty an ninh blockchain Fuzzland đã chỉ ra trên X rằng gói npm của công cụ lập trình AI Claude Code thuộc Anthropic có chứa tệp source map đầy đủ (cli.js.map, khoảng 60MB), từ đó có thể khôi phục toàn bộ mã nguồn TypeScript. Sau khi xác minh, phiên bản mới nhất v2.1.88 phát hành hôm nay vẫn chứa tệp này, bao gồm mã nguồn đầy đủ của 1,906 tệp nguồn riêng của Claude Code, bao gồm chi tiết triển khai như thiết kế API nội bộ, hệ thống phân tích telemetry, công cụ mã hóa, giao thức giao tiếp giữa các tiến trình, v.v.

Source map là tệp gỡ lỗi trong phát triển JavaScript dùng để ánh xạ mã đã nén trở lại mã nguồn gốc, không nên xuất hiện trong gói phát hành sản xuất. Vào tháng 2 năm 2025, phiên bản đầu của Claude Code đã từng bị phơi bày vì cùng một vấn đề, Anthropic khi đó đã xóa phiên bản cũ khỏi npm và loại bỏ source map. Tuy nhiên, vấn đề này sau đó lại xuất hiện trở lại, trên GitHub đã có nhiều kho lưu trữ công khai trích xuất và tổ chức mã nguồn đã được khôi phục, trong đó ghuntley/claude-code-source-code-deobfuscation đã nhận được gần một nghìn sao.

Nội dung bị rò rỉ là mã triển khai phía client của công cụ CLI Claude Code, không liên quan đến trọng số mô hình hoặc dữ liệu người dùng, không có rủi ro bảo mật trực tiếp đối với người dùng thông thường. Tuy nhiên, việc mã nguồn đầy đủ liên tục bị phơi bày có nghĩa là kiến trúc nội bộ, cơ chế bảo mật và logic telemetry hoàn toàn minh bạch với bên ngoài.