Claude Code 的源码原本只应该存在于开发者的本地机器中,没想到却被一个名叫 Chaofan 的人扒出来放在了公共区域。Anthropic 旗下的这个命令行工具,核心是 TypeScript 写的,被编译成了 JavaScript 后交给 npm 托管。结果在这个包里混入了一份 source map 文件,它就像一扇后门,让拿到压缩包的人能直接复原回未加密的源码。 事情是从一个叫 @anthropic-ai/claude-code 的 npm 包开始的。这个包里不仅有编译好的 JavaScript,还留着原始的 TypeScript 代码位置。Shaofan Shou 发现了这个漏洞,他还在 X 上贴了个能直接下载的压缩包链接,这个包还在 Anthropic 自己的 R2 云盘上躺着。后来有人把这个完整的 src 目录备份到了 GitHub 上,变成了一个公开的仓库分支。 打开泄露的代码库一看,好家伙,足足 1900 多个文件、51 万多行代码。这个工具是用 Bun 运行的,界面还用了 React Ink 这种技术来做。这里面的核心模块一个不少:负责调用大模型 API 的 QueryEngine.ts 有 4.6 万行代码,还有定义权限模型的 Tool.ts 以及管理命令的 commands.ts。最关键的是,这些代码里透露出了不少内部正在测试的东西,比如 PROACTIVE、BRIDGE_MODE 和 KAIROS 这些特性开关。 这个工具支持大概 40 种 AgentTool,包括 BashTool、FileReadTool 这类好用的工具,还能通过斜杠命令调用 Git 操作或者管理多智能体协作。虽然 source map 本来是为了方便开发者调试用的,但这次它却成了泄露源码的祸根。一旦开发者把这种文件打包进正式的发布版里,就等于直接把未加密的代码暴露在了外面。 这已经不是 Anthropic 第一次碰到这种问题了。早在 2025 年年初,他们就修补过一次源映射相关的漏洞。这次泄露的不仅是 API 的逻辑,连 OAuth 的认证流程和权限控制也被人看光了。这种情况给 Anthropic 带来了很大的安全风险,可能会损害他们的知识产权。 目前官方还没说话。用了这个工具的组织得赶紧盯着官方的通告,在 npm 里更新版本,千万别去碰那些第三方镜像里的代码。