Claude Code 源码通过 NPM 源映射文件意外泄露事件分析

近日，Anthropic 的 Claude Code 工具源代码被发现通过其发布于 NPM 的包中附带的 source map 文件意外泄露。该 source map 文件本应用于前端调试，却错误地包含了后端 TypeScript 源码路径与原始代码片段。社区用户在 XCancel 和 Hacker News 上迅速展开讨论，指出泄露内容包括部分 CLI 逻辑、正则表达式处理模块及内部工具链代码。值得注意的是，泄露代码中存在明显用于测试的占位符（如 TODO: replace with real auth）和虚构 API 端点（如 /api/v1/fake-llm-call），表明泄露源码并非生产环境核心逻辑。部分开发者指出，泄露代码中正则表达式存在低效写法（如 /^(a+)+$/ 类回溯风险模式），引发对代码质量的讨论。Anthropic 已迅速下架相关 NPM 包版本并发布修复说明，强调无用户数据或密钥暴露风险。