|
|
源码详细指南:https://pub-aea8527898604c1bbb12468b1581d95e.r2.dev/src.zip
https://github.com/instructkr/claude-code
Chaofan Shou 发现Anthropic 在 npm 发布 Claude Code 时再次意外包含了 source map 文件(cli.js.map,57MB),导致完整源码泄露。该文件本质是一个 JSON,包含 sources(4756 个文件路径)和 sourcesContent(对应完整源码)两个数组,索引一一对应,提取极其简单——不需要反编译或反混淆。其中 1906 个是 Claude Code 自身的 TypeScript/TSX 源码,2850 个是 node_modules 依赖。
从还原的源码可以看到:Claude Code 用 React +Ink 构建 CLI 界面,核心是一个 REPL 循环,支持自然语言输入和 slash 命令,底层通过工具系统与 LLM API 交互。架构设计、系统提示词、工具调用逻辑全部一览无余。模块结构包括 skills、plugins、tools、screens、keybindings、coordinator、upstream proxy 等。
这已是第三次类似事件(v0.2.8 和 v0.2.28 均曾泄露)。Anthropic 后来移除了 source map,GitHub 上提取源码的仓库也被 DMCA 了,但早期版本的 npm 包已经被存档,源码早就在社区流传。有评论指出这本质上是构建流水线缺陷——source map 是开发调试用的,不应出现在生产发布物中。也有人质疑 Anthropic 的运维安全水平与其安全品牌的反差。
给所有发布 npm 包的开发者提个醒:发布前检查你的 .map 文件。一行 sourcesContent 就能让你的所有代码公之于众。
|
|
[信息未更新]
发表于 2026-4-1 17:24
置顶卡
千斤顶