Утечка полного исходного кода npm-пакета программного инструмента Anthropic AI Claude Code

Gate News сообщает, 31 марта, блокчейн-компания по кибербезопасности Fuzzland стажер-исследователь Chaofan Shou в X указал, что npm-пакет AI-инструмента для программирования Claude Code от Anthropic содержит полный файл source map (cli.js.map, около 60MB), из которого можно восстановить все исходные файлы TypeScript. Проверка показала, что опубликованная сегодня последняя версия v2.1.88 по-прежнему включает этот файл; в нем содержатся полностью закодированные 1,906 собственных исходных файлов Claude Code, включая детали реализации, такие как дизайн внутренних API, система аналитической телеметрии, криптографические инструменты, протоколы межпроцессного взаимодействия и т.д. Source map — это отладочный файл в разработке на JavaScript, который используется для отображения сжатого кода обратно на исходный исходный код; он не должен присутствовать в производственном дистрибутиве. В феврале 2025 года ранняя версия Claude Code уже была раскрыта из-за той же проблемы: тогда Anthropic удалил старую версию с npm и убрал source map, но позже эта проблема снова повторилась. На GitHub уже есть несколько публичных репозиториев, извлекших и систематизировавших восстановленный исходный код; среди них ghuntley/claude-code-source-code-deobfuscation получил почти тысячу звезд. Утекла клиентская реализация CLI-инструмента Claude Code; модельные веса или пользовательские данные не затрагиваются, и для обычных пользователей нет прямого риска безопасности, но постоянное раскрытие полного исходного кода означает, что внутренняя архитектура, защитные механизмы и логика телеметрии полностью прозрачны для внешних лиц.