ゲートニュース、3月31日、ブロックチェーンセキュリティ企業Fuzzlandのインターン研究員Chaofan ShouがX上で、Anthropic傘下のAIプログラミングツールClaude Codeのnpmパッケージに、完全なソースマップファイル(cli.js.map、約60MB)が含まれており、そこからTypeScriptのソースコード一式を復元できると指摘した。検証の結果、本日リリースされた最新バージョンv2.1.88でも当該ファイルが依然として含まれており、Claude Code独自のソースファイル1,906本の完全なコードが収められている。内部API設計、分析テレメトリシステム、暗号化ツール、プロセス間通信プロトコルなどの実装詳細が含まれる。ソースマップは、JavaScript開発において圧縮コードを元のソースコードへ対応づけるために使われるデバッグファイルであり、プロダクションの配布パッケージ内に含まれるべきではない。2025年2月、Claude Codeの初期バージョンも同一の問題で以前に露出していた。Anthropicは当時npmから旧バージョンを削除し、source mapも削除していたが、その問題はその後再び発生した。GitHub上には、復元されたソースコードを抽出して整理した公開リポジトリが複数存在し、そのうちghuntley/claude-code-source-code-deobfuscationは約1,000件のスターを獲得している。漏えいしたのはClaude Code CLIツールのクライアント実装コードであり、モデルの重みやユーザーデータは含まれないため、一般ユーザーに直接的なセキュリティリスクはない。しかし、完全なソースコードの継続的な露出は、内部アーキテクチャ、セキュリティメカニズム、テレメトリのロジックが外部に完全に透明であることを意味する。
