就在近日,Anthropic 公司旗下的 AI 编程助手 Claude Code 再次发生源码泄露事件。其发布在 npm 上的软件包中,意外包含了一个用于调试的 source map 文件,导致其经过压缩的客户端代码被完全还原。
此次泄露的核心是一个体积高达 60 多 MB 的 .map 文件。source map 文件的本意是帮助开发者在浏览器中调试时,将压缩、混淆后的代码映射回原始的、可读的源码。在标准的软件发布流程中,这类包含完整源码映射关系的文件绝对不应该被包含在生产环境的发行包里。然而,Anthropic 似乎并未吸取教训——早在去年 2 月,他们就曾因同样的疏忽导致源码泄露;令人惊讶的是,在最新发布的 v2.1.88 版本中,这个本应被移除的文件依然存在。
这次事件的发现者是来自 Fuzzland 的一名实习生。他在社交平台 X 上披露此事后,迅速引发了开发社区的关注。很快,GitHub 上便出现了整理好的源码仓库,其中 Claude Code 客户端的内部 API 接口、遥测数据收集逻辑以及部分加密机制等关键细节均被暴露无遗。
从目前泄露的内容来看,所幸这主要是客户端侧的代码,并未涉及服务器端逻辑或用户隐私数据,因此对普通用户的直接影响有限。尽管如此,作为一家以安全为核心竞争力的 AI 公司,Anthropic 在基础的 npm 包发布流程上连续两次“翻车”,其内部的质量控制和发布审核机制难免令人质疑。
此次泄露的源码为 TypeScript 编写,对于关注 AI 辅助编程工具实现细节或前端工程化的开发者而言,无疑是一次难得的“学习”机会。但这也再次为所有开发者敲响了警钟:在构建和发布流程中,必须严格区分开发与生产环境,任何可能暴露内部信息的调试辅助文件都需被彻底清理。
后续,我们可以从这次事件深入探讨现代前端项目的构建发布流程中可能存在的安全盲点。如果你对这类技术安全事件或 前端工程化 的实践细节感兴趣,欢迎在 云栈社区 交流讨论。 | 
发表于 2 小时前
|
查看: 3|
回复: 0
