Claude Code完全ソースコード公開

Odaily星球日报によると、ブロックチェーン・セキュリティ会社Fuzzlandのインターン研究員Chaofan ShouがX上で、Anthropic傘下のAIプログラミングツールClaude Codeのnpmパッケージに、完全なソースマップファイル（cli.js.map、約60MB）が含まれており、そこからTypeScriptのソースコード全体を復元できると指摘しました。検証したところ、今日公開された最新版v2.1.88にも引き続きこのファイルが含まれており、Claude Code固有の1,906個のソースファイルの完全なコードが含まれています。内部API設計、分析テレメトリーシステム、暗号化ツール、プロセス間通信プロトコルなどの実装詳細がカバーされています。

ソースマップは、JavaScript開発において圧縮されたコードを元のソースコードに対応付けるためのデバッグ用ファイルであり、プロダクションの配布パッケージに含まれるべきではありません。2025年2月、Claude Codeの初期バージョンも同じ問題で以前露呈しており、Anthropicは当時npmから旧バージョンを削除し、ソースマップも削除していました。しかし、その後この問題は再発しています。GitHubには、復元されたソースコードを抽出・整理した複数の公開リポジトリが既に存在し、その中でもghuntley/claude-code-source-code-deobfuscationは約千個のスターを獲得しています。

漏洩したのはClaude Code CLIツールのクライアント実装コードであり、モデルの重みやユーザーデータは関与していません。一般のユーザーに対して直接的な安全リスクはありません。ただし、完全なソースコードが継続的に外部に露出していることは、内部アーキテクチャ、安全メカニズム、テレメトリーのロジックが外部に対して完全に透明であることを意味します。