Під час витоку npm-пакета інструменту для програмування Claude Code від Anthropic AI було розкрито повний вихідний код

Оновлення Gate News, 31 березня, співробітник-інтерн із безпекових досліджень блокчейну Fuzzland Чаофань Шоу у X повідомив, що npm-пакет AI-інструмента для програмування Claude Code від Anthropic містить повний файл source map (cli.js.map, приблизно 60MB), з якого можна відновити весь вихідний код TypeScript. Під час перевірки з’ясувалося, що опублікована сьогодні найновіша версія v2.1.88 усе ще містить цей файл; всередині — повний код 1,906 власних вихідних файлів Claude Code, що охоплює деталі реалізації, зокрема внутрішній дизайн API, систему аналітичної телеметрії, криптографічні інструменти, протоколи міжпроцесної взаємодії тощо. Source map — це відладочний файл, який у розробці JavaScript використовується для зіставлення стисненого коду з вихідним кодом; він не має з’являтися в пакеті для промислового релізу. У лютому 2025 року рання версія Claude Code вже була викрита через ту саму проблему: тоді Anthropic видалила стару версію з npm і видалила source map, але згодом проблема знову повторилася. На GitHub уже є кілька публічних репозиторіїв, які витягнули та впорядкували відновлений вихідний код, серед яких ghuntley/claude-code-source-code-deobfuscation отримав майже тисячу зірок. Витекла реалізація клієнтської частини CLI-інструмента Claude Code; це не стосується ваг моделі чи даних користувачів і не несе прямого ризику безпеці для звичайних користувачів, але тривале розкриття повного вихідного коду означає, що внутрішня архітектура, механізми безпеки та логіка телеметрії повністю прозорі для зовнішніх осіб.