Claude Code código fuente completo expuesto

Informe diario de Odaily Planet, según se indica, el investigador en prácticas de la empresa de seguridad blockchain Fuzzland, Chaofan Shou, señaló en X que el paquete npm de la herramienta de programación con IA Claude Code, de Anthropic, contiene archivos completos de source map (cli.js.map, de aproximadamente 60MB), a partir de los cuales se puede reconstruir todo el código fuente de TypeScript. Tras la verificación, la versión más reciente v2.1.88 publicada hoy todavía incluye dicho archivo; contiene el código completo de 1,906 archivos fuente propios de Claude Code, e incluye detalles de implementación como el diseño de la API interna, el sistema de telemetría de análisis, herramientas de cifrado, protocolos de comunicación entre procesos, entre otros.

El source map es un archivo de depuración utilizado en el desarrollo de JavaScript para mapear el código comprimido de vuelta al código fuente original, y no debería aparecer en los paquetes de publicación para producción. En febrero de 2025, una versión temprana de Claude Code ya había sido expuesta por el mismo problema: Anthropic eliminó la versión antigua de npm y borró el source map. Pero el problema volvió a aparecer posteriormente; en GitHub ya existen varios repositorios públicos que extrajeron y organizaron el código fuente reconstruido, entre los cuales ghuntley/claude-code-source-code-deobfuscation obtuvo cerca de mil estrellas.

Lo filtrado es el código de implementación del lado cliente de la herramienta de CLI de Claude Code; no involucra pesos del modelo ni datos de los usuarios, por lo que no representa un riesgo de seguridad directo para los usuarios comunes. Sin embargo, la exposición continua del código fuente completo implica que la arquitectura interna, los mecanismos de seguridad y la lógica de telemetría son totalmente transparentes para el exterior.