乐于分享
好东西不私藏

claude-code源码泄露:元凶竟是

本文最后更新于2026-03-31,某些文章具有时效性,若有错误或已失效,请在下方留言或联系老夜

claude-code源码泄露:元凶竟是

今天休假在家,刚看完 learn-claude-code,结果真神 claude-code 把源码自动送上门了。有人说:claude-code 泄露了 source map 文件。

我赶紧去看了一下,发现 npm 仓库里果然有个 59.8MB 的 cli.js.map 文件。

马上下载下来上科技,结果 Cursor 三下五除六就给我整出来了。

扫了一眼代码,还好 claude-code 会校验真实客户端。这段逻辑是在 Zig 里实现的,没有暴露在 JS 里,否则,呵呵。

什么是 source map?

一句人话:它是“代码的导航地图”。

上线后的 JS 通常是压缩版,变量名像 a/b/c,人几乎看不懂。为了让开发调试更轻松,构建工具会生成一个 .map 文件,告诉浏览器:

  • • 压缩代码的某个位置;
  • • 对应原始源码的哪个文件、哪一行、哪个函数。

开发阶段这很有用。但如果生产环境也能访问这个文件,攻击者就拿到了“反向导航”。

为什么它会导致源码泄露?

核心就一句:压缩是为了性能,不是为了保密。

只要 .map 暴露在公网,别人就可以还原你的代码。有些 map 里还可能带 sourcesContent,相当于把原始代码片段直接塞进去。这就不是“猜”,而是“送”。