Claude Code最新版npm套件意外包含了60MB的源代码映射文件，一年后再次泄露源代码

据 1M AI News 监测，Solayer 创始人 Chaofan Shou 在 X 上指出，Anthropic 旗下 AI 编程工具 Claude Code 的 npm 包中包含完整的 source map 文件（cli.js.map，约 60MB），可从中还原出全部 TypeScript 源代码。经验证，该文件出现在 3 月 30 日发布的 v2.1.88 中，前一版 v2.1.87（3 月 29 日）并不包含，包体积也从 17MB 骤增至 31MB（解压后约 60MB），属于最新一次构建意外引入。

还原后的 source map 內含 1,906 個 Claude Code 自有源文件的完整文本，涵蓋內部 API 設計、遙測系統、加密工具、進程間通信協議等實現細節（不含 package.json 等構建配置，無法直接編譯運行）。Source map 是 JavaScript 開發中用於將壓縮代碼映射回原始源代碼的調試文件，不應出現在生產發布包中。

2025 年 2 月 Claude Code 首次發布時也曾因包含 source map 被公開討論，此後該文件從 npm 包中消失，但提取源碼的行為並未停止。目前 GitHub 上仍有多個公開倉庫整理了還原後的源代碼，其中 ghuntley/claude-code-source-code-deobfuscation 獲得近千顆星。此次洩露的是 Claude Code CLI 客戶端實現代碼，不涉及模型權重或使用者數據，對普通使用者沒有直接安全風險。