Công cụ lập trình AI của Anthropic Claude Code — sự rò rỉ gói npm chứa toàn bộ mã nguồn

Tin tức Gate News: Vào ngày 31 tháng 3, nhà nghiên cứu thực tập của công ty bảo mật blockchain Fuzzland là Chaofan Shou đã chỉ ra trên X rằng gói npm của công cụ lập trình AI Claude Code thuộc Anthropic chứa đầy đủ các tệp source map (cli.js.map, khoảng 60MB), từ đó có thể khôi phục toàn bộ mã nguồn TypeScript. Đã được xác minh, phiên bản mới nhất v2.1.88 được phát hành hôm nay vẫn chứa tệp này, bên trong có mã đầy đủ của 1.906 tệp mã nguồn do Claude Code tự sở hữu, bao gồm chi tiết triển khai như thiết kế API nội bộ, hệ thống phân tích telemetry, công cụ mã hóa, giao thức truyền thông liên tiến trình (IPC) và các cơ chế khác. Source map là tệp gỡ lỗi trong phát triển JavaScript dùng để ánh xạ mã đã nén trở lại mã nguồn gốc, và không nên xuất hiện trong các gói phát hành dành cho sản xuất. Tháng 2 năm 2025, phiên bản sớm của Claude Code cũng từng bị phơi bày vì đúng vấn đề này; khi đó, Anthropic đã gỡ các phiên bản cũ khỏi npm và xóa source map, nhưng vấn đề sau đó lại tái diễn. Trên GitHub đã có nhiều kho lưu trữ công khai trích xuất và sắp xếp mã nguồn đã được khôi phục, trong đó ghuntley/claude-code-source-code-deobfuscation đạt gần một nghìn lượt sao. Thông tin bị rò rỉ là mã triển khai phía máy khách của công cụ Claude Code CLI, không liên quan đến trọng số mô hình hay dữ liệu người dùng, nên không gây rủi ro an toàn trực tiếp cho người dùng phổ thông; tuy nhiên, việc mã nguồn đầy đủ tiếp tục bị lộ đồng nghĩa với việc kiến trúc nội bộ, các cơ chế bảo mật và logic telemetry được tiết lộ hoàn toàn ra bên ngoài.