Claude Code完整源碼暴露

Odaily訊 區塊鏈安全公司 Fuzzland 實習研究員 Chaofan Shou 在 X 上指出，Anthropic 旗下 AI 編程工具 Claude Code 的 npm 套件中包含完整的 source map 檔案（cli.js.map，約 60MB），可從中還原出全部的 TypeScript 原始碼。經驗證，今天發布的最新版 v2.1.88 仍然包含該檔案，內含 1,906 個 Claude Code 自有原始檔案的完整程式碼，涵蓋內部 API 設計、分析遙測系統、加密工具、行程間通訊協定等實作細節。

Source map 是 JavaScript 開發中用於將壓縮程式碼映射回原始原始碼的除錯檔案，不應出現在生產發布套件中。2025 年 2 月，Claude Code 早期版本就曾因同一問題被曝光，Anthropic 當時從 npm 移除了舊版本並刪除了 source map。但該問題後來再次出現，GitHub 上已有多個公開儲存庫提取並整理了還原後的原始碼，其中 ghuntley/claude-code-source-code-deobfuscation 獲得近千顆星。

洩露的是 Claude Code CLI 工具的客戶端實現代碼，不涉及模型權重或用戶資料，對普通用戶沒有直接安全風險。但完整原始碼的持續暴露意味著內部架構、安全機制和遙測邏輯對外完全透明。