كود كلود الكامل مكشوف

أودايلي كوكب التقارير، أفاد باحث متدرّب في شركة أمان البلوك تشين Fuzzland ويدعى Chaofan Shou على منصة X بأن حزمة npm الخاصة بأداة برمجة الذكاء الاصطناعي Claude Code التابعة لـ Anthropic تحتوي على ملف source map كامل (cli.js.map، بحجم يقارب 60MB)، ويمكن من خلالها استعادة جميع أكواد TypeScript المصدرية. وبالتحقق، لا تزال النسخة الأحدث التي تم إصدارها اليوم v2.1.88 تتضمن هذا الملف؛ إذ يحتوي على الكود الكامل لـ 1,906 ملف مصدر خاص بـ Claude Code، ويغطي تفاصيل تنفيذ مثل تصميم API الداخلي، ونظام التحليلات والقياس عن بُعد (telemetry)، وأدوات التشفير، وبروتوكولات الاتصال بين العمليات (IPC).

يُعدّ source map ملفًا تصحيحيًا في تطوير JavaScript يستخدم لربط الكود المضغوط بالشفرة المصدرية الأصلية، ولا ينبغي أن يظهر ضمن حزم الإصدارات الإنتاجية. في فبراير 2025، تم الكشف عن إصدار مبكر من Claude Code بسبب المشكلة نفسها؛ وفي ذلك الوقت قامت Anthropic بإزالة النسخة القديمة من npm وحذف source map. لكن المشكلة عادت للظهور لاحقًا؛ وعلى GitHub توجد بالفعل عدة مستودعات عامة استخرجت الأكواد المصدرية المُعَادَة وتجميعها، حيث حصل ghuntley/claude-code-source-code-deobfuscation على ما يقرب من ألف نجمة.

المُسرب هو كود التنفيذ الخاص بعميل أداة Claude Code CLI، ولا يتعلق بأوزان النموذج أو بيانات المستخدمين، وبالتالي لا يشكل خطرًا أمنيًا مباشرًا على المستخدمين العاديين. لكن استمرار تعرّض الكود المصدر بالكامل يعني أن المعمارية الداخلية وآليات الأمان ومنطق القياس عن بُعد (telemetry) باتت شفافة بالكامل أمام الآخرين.