Anthropic 重大安全疏忽：Claude Code 全部源码因 source map 打包失误而泄露

Anthropic 在发布其 AI 编程助手 Claude Code 时，犯下了一个低级但后果严重的错误：将包含全部项目源码的 source map 文件直接打包进了公开发布的 npm 包中。这并非遭遇黑客攻击，而是一次纯粹的内部发布流程失误。一个名为 `cli.js.map`、大小达 57MB 的文件，完整包含了 Claude Code 项目 4756 个源文件的内容，其中 1906 个是 Claude Code 自身的核心 TypeScript/TSX 源码，其余 2850 个为 node_modules 依赖。这意味着，任何下载了该公开 npm 包的人，都能轻易获得 Claude Code 的完整“蓝图”。

此次泄露的核心在于 `source map` 文件。该文件本用于在开发调试时将压缩后的代码映射回原始源码，绝不应出现在生产环境的发布包中。Anthropic 的工程团队显然在构建和发布流程中遗漏了关键的安全检查步骤，导致这个本应被剥离或严格保护的调试文件被一并公开。泄露的 1906 个自有源码文件，几乎涵盖了 Claude Code 前端逻辑、AI 交互接口、功能模块实现等核心商业机密。

这次泄露事件的影响远超一般代码片段泄露。竞争对手或研究者可以借此深入分析 Claude Code 的架构设计、实现细节、潜在弱点乃至未公开的功能路径。虽然依赖库（node_modules）本身是公开的，但自有源码的完全暴露，使得针对 Claude Code 的针对性攻击、功能仿制或商业逻辑逆向工程的门槛大幅降低。这为 Anthropic 带来了直接的知识产权风险与安全压力，也对其作为顶尖 AI 公司的工程严谨性与发布治理流程提出了严峻质疑。事件暴露了在 AI 工具快速迭代的竞争压力下，基础安全流程可能存在的致命缺口。