Claude Code đầy đủ mã nguồn đã được tiết lộ

Odaily Planet Daily thông tin nhanh: Nghiên cứu viên thực tập của công ty bảo mật blockchain Fuzzland, Chaofan Shou, đã chỉ ra trên X rằng gói npm của công cụ lập trình AI Claude Code thuộc Anthropic có chứa đầy đủ tệp source map (cli.js.map, khoảng 60MB), từ đó có thể khôi phục toàn bộ mã nguồn TypeScript. Qua xác minh, phiên bản mới nhất v2.1.88 được phát hành hôm nay vẫn chứa tệp này; bên trong có mã hoàn chỉnh của 1.906 tệp mã nguồn tự có của Claude Code, bao gồm các chi tiết hiện thực như thiết kế API nội bộ, hệ thống phân tích telemetry, công cụ mã hóa, giao thức truyền thông liên tiến trình.

Source map là tệp gỡ lỗi trong phát triển JavaScript dùng để ánh xạ mã đã nén trở lại mã nguồn gốc, và không nên xuất hiện trong gói phát hành sản xuất. Tháng 2 năm 2025, phiên bản Claude Code giai đoạn đầu cũng từng bị phơi bày vì cùng một vấn đề; khi đó Anthropic đã xóa phiên bản cũ khỏi npm và xóa source map. Nhưng vấn đề này sau đó lại tái xuất hiện; trên GitHub đã có nhiều kho lưu trữ công khai trích xuất và sắp xếp lại mã nguồn đã được khôi phục, trong đó ghuntley/claude-code-source-code-deobfuscation đã nhận được gần một nghìn sao.

Thông tin rò rỉ là mã cài đặt phía máy khách của công cụ CLI của Claude Code, không liên quan đến trọng số mô hình hay dữ liệu người dùng, nên không có rủi ro bảo mật trực tiếp đối với người dùng phổ thông. Tuy nhiên, việc mã nguồn hoàn chỉnh tiếp tục bị phơi bày đồng nghĩa với việc kiến trúc nội bộ, các cơ chế bảo mật và logic telemetry đã hoàn toàn minh bạch trước bên ngoài.