Phiên bản mới nhất của gói npm của Claude Code đã vô tình chứa một bản đồ nguồn (source map) có dung lượng lên tới 60MB, một năm sau, mã nguồn đã bị rò rỉ một lần nữa.

Theo theo giám sát của 1M AI News, nghiên cứu sinh thực tập của công ty bảo mật Blockchain Fuzzland, Chaofan Shou, đã chỉ ra trên X rằng, trong gói npm của công cụ lập trình trí tuệ nhân tạo Claude Code thuộc Anthropic, có chứa tệp bản đồ nguồn đầy đủ (cli.js.map, khoảng 60MB), cho phép khôi phục toàn bộ mã nguồn TypeScript. Đã xác nhận rằng tệp này xuất hiện trong phiên bản v2.1.88 phát hành vào ngày 30 tháng 3, phiên bản trước đó v2.1.87 (ngày 29 tháng 3) không chứa, và kích thước gói cũng tăng đáng kể từ 17MB lên 31MB (khoảng 60MB sau khi giải nén), đây là một lỗi trong quá trình xây dựng gần đây.

Sau khi khôi phục, bản đồ nguồn chứa văn bản đầy đủ của 1.906 tệp nguồn riêng của Claude Code, bao gồm các chi tiết thực hiện như thiết kế API nội bộ, hệ thống giám sát từ xa, công cụ mã hóa, giao thức liên tiến trình, v.v. (không bao gồm cấu hình xây dựng như package.json, không thể biên dịch và chạy trực tiếp). Bản đồ nguồn là một tệp gỡ lỗi trong JavaScript được sử dụng để ánh xạ mã được nén trở lại mã nguồn ban đầu, không nên xuất hiện trong gói phát hành sản xuất.

Vào tháng 2 năm 2025, khi Claude Code được phát hành lần đầu, cũng đã từng bị thảo luận công khai về việc chứa bản đồ nguồn, sau đó tệp này đã biến mất khỏi gói npm, nhưng hành vi trích xuất mã nguồn vẫn tiếp tục. Hiện nay, vẫn có nhiều kho lưu trữ công khai trên GitHub đã sắp xếp mã nguồn đã khôi phục, trong đó kho ghuntley/claude-code-source-code-deobfuscation đã có gần 1.000 ngôi sao. Sự rò rỉ lần này là mã nguồn thực thi của khách hàng CLI của Claude Code, không liên quan đến trọng lượng mô hình hoặc dữ liệu người dùng, không có rủi ro bảo mật trực tiếp đối với người dùng thông thường.