claude-code源码泄露:元凶竟是
今天休假在家,刚看完 learn-claude-code,结果真神 claude-code 把源码自动送上门了。有人说:claude-code 泄露了 source map 文件。
我赶紧去看了一下,发现 npm 仓库里果然有个 59.8MB 的 cli.js.map 文件。

马上下载下来上科技,结果 Cursor 三下五除六就给我整出来了。

扫了一眼代码,还好 claude-code 会校验真实客户端。这段逻辑是在 Zig 里实现的,没有暴露在 JS 里,否则,呵呵。

什么是 source map?
一句人话:它是“代码的导航地图”。
上线后的 JS 通常是压缩版,变量名像 a/b/c,人几乎看不懂。为了让开发调试更轻松,构建工具会生成一个 .map 文件,告诉浏览器:
-
• 压缩代码的某个位置; -
• 对应原始源码的哪个文件、哪一行、哪个函数。
开发阶段这很有用。但如果生产环境也能访问这个文件,攻击者就拿到了“反向导航”。
为什么它会导致源码泄露?
核心就一句:压缩是为了性能,不是为了保密。
只要 .map 暴露在公网,别人就可以还原你的代码。有些 map 里还可能带 sourcesContent,相当于把原始代码片段直接塞进去。这就不是“猜”,而是“送”。
夜雨聆风