Claude Code código fuente completo expuesto

Según informa Odaily Planet Daily, el investigador en prácticas de la empresa de seguridad blockchain Fuzzland, Chaofan Shou, señaló en X que el paquete npm de la herramienta de programación con IA Claude Code, de Anthropic, contiene archivos source map completos (cli.js.map, de aproximadamente 60MB), a partir de los cuales se puede reconstruir todo el código fuente de TypeScript. Tras verificación, la versión más reciente v2.1.88 publicada hoy todavía incluye dicho archivo; contiene el código completo de 1.906 archivos fuente propios de Claude Code, e incluye detalles de implementación como el diseño de APIs internas, el sistema de telemetría analítica, herramientas criptográficas, protocolos de comunicación entre procesos, etc.

El source map es un archivo de depuración usado en el desarrollo de JavaScript para mapear el código comprimido de vuelta al código fuente original; no debería aparecer en los paquetes de publicación para producción. En febrero de 2025, una versión temprana de Claude Code ya había sido expuesta por el mismo problema: Anthropic eliminó la versión anterior del npm y borró el source map. Sin embargo, el problema volvió a aparecer más tarde; en GitHub ya hay varios repositorios públicos que han extraído y organizado el código fuente reconstruido, y el repositorio ghuntley/claude-code-source-code-deobfuscation obtuvo casi mil estrellas.

Lo que se filtró es el código de la implementación del lado del cliente de la herramienta de línea de comandos Claude Code CLI; no involucra pesos del modelo ni datos de usuarios, por lo que no hay un riesgo de seguridad directo para los usuarios comunes. Pero la exposición continua del código fuente completo significa que la arquitectura interna, los mecanismos de seguridad y la lógica de telemetría quedan totalmente transparentes hacia el exterior.