Gate News 訊息,3 月 31 日,區塊鏈安全公司 Fuzzland 實習研究員 Chaofan Shou 在 X 上指出,Anthropic 旗下 AI 編程工具 Claude Code 的 npm 套件中包含完整的 source map 檔案(cli.js.map,約 60MB),可從中還原出全部 TypeScript 原始碼。經驗證,今天發布的最新版 v2.1.88 仍然包含該檔案,內含 1,906 個 Claude Code 自有原始檔的完整程式碼,涵蓋內部 API 設計、分析遙測系統、加密工具、程序間通信協定等實作細節。Source map 是 JavaScript 開發中用於將壓縮程式碼映射回原始原始碼的除錯檔案,不應出現在正式發布套件中。2025 年 2 月,Claude Code 的早期版本就曾因同一問題被曝光,Anthropic 當時從 npm 移除了舊版本並刪除了 source map,但該問題後來再次出現。GitHub 上已有多個公開倉庫提取並整理了還原後的原始碼,其中 ghuntley/claude-code-source-code-deobfuscation 獲得近千顆星。洩露的是 Claude Code CLI 工具的用戶端實作程式碼,不涉及模型權重或使用者資料,對一般使用者沒有直接的安全風險,但完整原始碼的持續暴露意味著內部架構、安全機制和遙測邏輯對外完全透明。
