Claude Code最新版npm包内含60MB source map，完整源码持续暴露

据 1M AI News 监测，区块链安全公司 Fuzzland 实习研究员 Chaofan Shou 在 X 上指出，Anthropic 旗下 AI 编程工具 Claude Code 的 npm 包中包含完整的 source map 文件（cli.js.map，约 60MB），可从中还原出全部 TypeScript 源代码。经验证，今天发布的最新版 v2.1.88 仍然包含该文件，内含 1,906 个 Claude Code 自有源文件的完整代码，涵盖内部 API 设计、分析遥测系统、加密工具、进程间通信协议等实现细节。Source map 是 JavaScript 开发中用于将压缩代码映射回原始源代码的调试文件，不应出现在生产发布包中。2025 年 2 月，Claude Code 早期版本就曾因同一问题被曝光，Anthropic 当时从 npm 移除了旧版本并删除了 source map。但该问题后来再次出现，GitHub 上已有多个公开仓库提取并整理了还原后的源代码，其中 ghuntley/claude-code-source-code-deobfuscation 获得近千颗星。泄露的是 Claude Code CLI 工具的客户端实现代码，不涉及模型权重或用户数据，对普通用户没有直接安全风险。但完整源码的持续暴露意味着内部架构、安全机制和遥测逻辑对外完全透明。