Kebocoran paket npm alat pemrograman Claude Code dari Anthropic AI berisi kode sumber lengkap

Berita Gate, 31 Maret, peneliti magang keamanan blockchain Chaofan Shou dari Fuzzland di X menunjukkan bahwa paket npm dari alat pemrograman AI Claude Code milik Anthropic berisi file source map lengkap (cli.js.map, sekitar 60MB), yang dapat digunakan untuk memulihkan seluruh kode sumber TypeScript. Setelah diverifikasi, versi terbaru v2.1.88 yang dirilis hari ini masih menyertakan file tersebut, yang berisi kode lengkap untuk 1.906 file sumber bawaan Claude Code, mencakup detail implementasi seperti desain API internal, sistem analitik telemetri, alat kriptografi, protokol komunikasi antarproses, dan lainnya. Source map adalah file debug dalam pengembangan JavaScript yang digunakan untuk memetakan kode terkompresi kembali ke kode sumber asli, dan semestinya tidak muncul dalam paket rilis produksi. Pada Februari 2025, versi awal Claude Code juga pernah diungkap karena masalah yang sama; saat itu Anthropic menghapus versi lama dari npm dan menghapus source map, tetapi masalah tersebut kemudian muncul lagi. Di GitHub sudah ada banyak repositori publik yang mengekstrak dan menyusun ulang kode sumber hasil pemulihan, dan ghuntley/claude-code-source-code-deobfuscation berhasil meraih hampir seribu bintang. Yang bocor adalah kode implementasi sisi klien dari alat CLI Claude Code, tidak melibatkan bobot model atau data pengguna, sehingga tidak menimbulkan risiko keamanan langsung bagi pengguna biasa; namun paparan kode sumber yang lengkap secara berkelanjutan berarti arsitektur internal, mekanisme keamanan, dan logika telemetri sepenuhnya transparan bagi pihak luar.