Claude Code最新版npm包意外打入60MB source map，时隔一年源码再次泄露

据 1M AI News 监测，区块链安全公司 Fuzzland 实习研究员 Chaofan Shou 在 X 上指出，Anthropic 旗下 AI 编程工具 Claude Code 的 npm 包中包含完整的 source map 文件（cli.js.map，约 60MB），可从中还原出全部 TypeScript 源代码。经验证，该文件出现在 3 月 30 日发布的 v2.1.88 中，前一版 v2.1.87（3 月 29 日）并不包含，包体积也从 17MB 骤增至 31MB（解压后约 60MB），属于最新一次构建意外引入。

还原后的 source map 内含 1,906 个 Claude Code 自有源文件的完整文本，涵盖内部 API 设计、遥测系统、加密工具、进程间通信协议等实现细节（不含 package.json 等构建配置，无法直接编译运行）。Source map 是 JavaScript 开发中用于将压缩代码映射回原始源代码的调试文件，不应出现在生产发布包中。

2025 年 2 月 Claude Code 首次发布时也曾因包含 source map 被公开讨论，此后该文件从 npm 包中消失，但提取源码的行为并未停止。目前 GitHub 上仍有多个公开仓库整理了还原后的源代码，其中 ghuntley/claude-code-source-code-deobfuscation 获得近千颗星。此次泄露的是 Claude Code CLI 客户端实现代码，不涉及模型权重或用户数据，对普通用户没有直接安全风险。