Claude Code đầy đủ mã nguồn đã được tiết lộ

Odaily Tinh Cầu Báo đưa tin: Nhà nghiên cứu thực tập của công ty an ninh blockchain Fuzzland là Chaofan Shou đã chỉ ra trên X rằng gói npm của công cụ lập trình AI Claude Code thuộc Anthropic bao gồm đầy đủ các tệp source map (cli.js.map, khoảng 60MB), từ đó có thể khôi phục lại toàn bộ mã nguồn TypeScript. Qua xác minh, phiên bản mới nhất v2.1.88 được phát hành hôm nay vẫn còn chứa tệp đó; bên trong có mã đầy đủ của 1.906 tệp nguồn thuộc riêng Claude Code, bao gồm các chi tiết triển khai như thiết kế API nội bộ, hệ thống phân tích telemetry, công cụ mã hóa, giao thức truyền thông liên tiến trình (IPC), v.v.

Source map là tệp gỡ lỗi trong phát triển JavaScript dùng để ánh xạ mã đã nén trở lại mã nguồn gốc; tệp này không nên xuất hiện trong gói phát hành sản xuất. Tháng 2 năm 2025, phiên bản Claude Code sớm cũng từng bị phơi bày vì cùng một vấn đề; khi đó Anthropic đã gỡ bỏ phiên bản cũ khỏi npm và xóa source map. Nhưng sự cố này sau đó lại tái diễn; trên GitHub đã có nhiều kho công khai trích xuất và sắp xếp lại mã nguồn đã được khôi phục, trong đó ghuntley/claude-code-source-code-deobfuscation đạt gần một nghìn sao.

Vật bị rò rỉ là mã triển khai phía máy khách của công cụ CLI của Claude Code, không liên quan đến trọng số mô hình hay dữ liệu người dùng, nên không gây rủi ro an toàn trực tiếp cho người dùng phổ thông. Tuy nhiên, việc mã nguồn hoàn chỉnh tiếp tục bị lộ đồng nghĩa với việc kiến trúc nội bộ, các cơ chế bảo mật và logic telemetry đang trở nên hoàn toàn minh bạch đối với bên ngoài.