This page collects WhisperX intelligence signals tagged #npm. It is designed for humans, search engines, and AI agents: each item links to a canonical source-backed record with sector, source, timestamp, credibility, and exportable structured data.
硅谷AI巨头Anthropic遭遇重大源代码泄露。其核心开发工具Claude Code的完整底层代码,因一个低级的npm配置错误,通过一个公开的Source Map文件被彻底曝光。超过1900个文件、总计51.2万行TypeScript代码瞬间在全球开发者社区“裸奔”,引发全网技术狂欢与对Anthropic内部安全流程的严重质疑。 泄露由开发者Chaofan Shou率先曝光。他在公共npm注册表中发现了一个名为`@anthropic-ai/claude-code`的包,其中包含一个容量高达59.8 MB的`cli.js.map`文件。Source Map文件本用于开发调试,能将压缩后的代码映射回原始源码。此次泄露无异于将Clau...
Anthropic 在发布其官方代码工具 Claude Code 更新时,因配置失误,将包含完整源码的调试文件直接发布到了 npm 官方仓库。此次泄露的并非模型权重,而是约 60MB 的 Source Map 文件,安全研究人员已据此完整还原出 1906 个原始 TypeScript 源码文件。这意味着,Claude Code 这一被视为 AI 辅助编程领域重要产品的内部架构,被彻底摊开在公众视野之下。 泄露的源码详尽展示了 Claude Code 与后端 API 的交互协议、内部遥测数据采集逻辑、安全沙箱的实现机制,以及此前被视为核心机密的 Prompt 拼接策略(System Prompt)。这些内容直接暴露了该工具的核心工程...
Claude Code 的核心源码因一个致命的发布失误而完全暴露。在发布 v2.1.88 版本时,一个本不该出现的、用于开发调试的 60MB source map 文件被意外打包进了 npm 发布包。这导致 1906 个源文件、总计超过 51 万行代码一览无余,使得这个关键的代码生成 CLI 工具的核心逻辑与架构被彻底“扒光”。对于一款主要功能运行在用户本地的客户端工具而言,此次泄露意味着任何有能力的开发者理论上都能基于此代码复制出一个功能相似的产品。 泄露事件发生后,代码在数小时内被迅速备份至多个 GitHub 仓库,引发了社区的深度挖掘。分析发现,泄露的代码不仅包含了已上线的功能,还揭示了大量被功能开关(feature fla...
愚人节前夕,Anthropic 的 AI 编程工具 Claude Code 再次上演了令人啼笑皆非的“开源”事件。其全部源码在 NPM 包中意外泄露,这已是该项目在一年内以几乎完全相同的方式第二次翻车。上一次发生在去年 2 月 24 日的研究预览版发布期间,源码同样通过 NPM 被公开复制。此次事件并非外部攻击,而是源于 JavaScript 生态固有的透明性与开发流程中的配置疏忽。 Claude Code 采用 TypeScript 编写,并通过 `npm install -g` 进行全局安装分发。这一选择直接暴露了其脆弱性:NPM 包本身是透明的,任何人都可以解压 `.tgz` 文件检查内容。关键在于,构建流水线中用于调试的 ...
Anthropic 的 AI 编程工具 Claude Code 在愚人节前夕,再次因 NPM 包配置问题,将全部源码泄露。这已是该产品在一年内以几乎完全相同的方式第二次“被开源”。上一次发生在 2023 年 2 月 24 日,其研究预览版同样因 NPM 包包含源码而泄露,并被广泛复制。此次事件凸显了依赖 NPM 等透明包管理器进行软件分发的固有风险。 Claude Code 采用 TypeScript 编写,并通过 `npm install -g` 命令进行全局安装分发。这一选择直接导致了其源码的暴露。在 JavaScript 生态中,NPM 包本质上是透明的,任何人都可以解压 `.tgz` 文件检查其内容。更关键的是,构建流水线...
一个59.8MB的源代码映射文件,让Anthropic斥巨资构建的技术壁垒瞬间瓦解。当地时间3月31日,AI安全研究员Chaofan Shou在npm包管理仓库中发现,Anthropic旗下明星AI编程工具Claude Code在发布2.1.88版本更新时,意外将一份完整的`.map`文件打包并公开分发。打开这份文件,超过51.2万行TypeScript源码、4756个源文件以及40余个工具模块,以一种极其荒诞的方式暴露在全世界面前。这并非黑客攻击,而是一场由“配置疏忽”导致的自我解除武装。 Source Map文件本用于开发者调试,能将混淆后的代码“翻译”回原始可读源码。将其留在正式发布包中,等同于在银行金库门上挂了一把开着的锁...
2026年3月31日,AI编程领域的明星产品Claude Code遭遇了一场堪称“魔幻现实主义”的意外泄露。Anthropic在一次常规的npm包更新中,不慎将一个本应被严格保密的“cli.js.map”文件公开发布。这个59.8MB的.map文件,如同一把万能钥匙,使得Claude Code的核心工程源码——包括4756个文件、超过1800个核心源码文件以及开发者手写的详细注释——瞬间暴露在全球开发者面前。安全研究员Chaofan Shou的发现,让这家以“闭源”和“AI安全”为傲的巨头,以一种极其尴尬的方式站到了开源世界的聚光灯下。 此次泄露的细节令人震惊。技术人员通过该.map文件可以轻易还原出Claude Code完整的顶...
Anthropic最赚钱的产品Claude Code,其51.2万行TypeScript核心源码,因一次“纯人为”失误,已在全网彻底裸奔。安全研究员Chaofan Shou于3月31日凌晨在X平台公开了通过npm注册表泄露的源码下载链接,不到24小时,该帖浏览量突破2800万,由Sigrid Jin创建的GitHub镜像仓库被疯狂分叉超过7.7万次,其传播速度甚至让OpenClaw项目都相形见绌。这场震动AI与安全圈的泄露事件,其源头并非商业间谍,而是一位简历上标注着“退学”的华人研究员。Claude Code之父随后紧急回应,确认此次重大泄露与Bun漏洞无关,纯属人为导致。 撕开这道口子的Chaofan Shou,背景绝非寻常。...
AI巨头Anthropic的核心技术架构因一次低级的人为失误被彻底曝光。3月31日,华人安全研究员Chaofan Shou在例行检查中发现,Anthropic的Claude Code项目超过51万行核心源代码,竟通过其官方npm包中的一个map文件意外泄露。这一发现并非源于复杂的黑客攻击,而是隐藏在公开发布包中的一个简单疏忽,却让这家估值数百亿美元的AI独角兽的核心代码库完全暴露在公众视野中。 事件的揭发者Chaofan Shou背景硬核。他曾在加州大学伯克利分校Sky Computing Lab攻读博士,师从权威教授Koush Sen,后辍学进入业界。他拥有丰富的安全实战经验,早年任职于Salesforce,后成为Web3安全公...