Claude Code源码因npm source map再次泄露

源码下载地址：https://pub-aea8527898604c1bbb12468b1581d95e.r2.dev/src.zip

Chaofan Shou 发现 Anthropic 在 npm 发布 Claude Code 时再次意外包含了 source map 文件（cli.js.map，57MB），导致完整源码泄露。该文件本质是一个 JSON，包含 sources（4756 个文件路径）和 sourcesContent（对应完整源码）两个数组，索引一一对应，提取极其简单——不需要反编译或反混淆。其中 1906 个是 Claude Code 自身的 TypeScript/TSX 源码，2850 个是 node_modules 依赖。

从还原的源码可以看到：Claude Code 用 React + Ink 构建 CLI 界面，核心是一个 REPL 循环，支持自然语言输入和 slash 命令，底层通过工具系统与 LLM API 交互。架构设计、系统提示词、工具调用逻辑全部一览无余。模块结构包括 skills、plugins、tools、screens、keybindings、coordinator、upstream proxy 等。

这已是第三次类似事件（v0.2.8 和 v0.2.28 均曾泄露）。Anthropic 后来移除了 source map，GitHub 上提取源码的仓库也被 DMCA 了，但早期版本的 npm 包已经被存档，源码早就在社区流传。有评论指出这本质上是构建流水线缺陷——source map 是开发调试用的，不应出现在生产发布物中。也有人质疑 Anthropic 的运维安全水平与其安全品牌的反差。

给所有发布 npm 包的开发者提个醒：发布前检查你的 .map 文件。一行 sourcesContent 就能让你的所有代码公之于众。

原文链接：https://x.com/Fried_rice/status/2038894956459290963

#Claude Code #源码泄露 #npm安全 #source map #Anthropic #前端安全 #构建流水线