Toàn bộ mã nguồn của Claude Code đã bị lộ.

Chaofan Shou, một nhà nghiên cứu thực tập tại công ty bảo mật blockchain Fuzzland, đã chỉ ra trên X rằng gói npm của công cụ lập trình AI Claude Code của Anthropic chứa một tệp bản đồ nguồn hoàn chỉnh (cli.js.map, khoảng 60MB), từ đó có thể tái tạo toàn bộ mã nguồn TypeScript. Đã được xác minh rằng phiên bản mới nhất v2.1.88 được phát hành hôm nay vẫn chứa tệp này, bao gồm mã nguồn hoàn chỉnh của 1.906 tệp nguồn độc quyền của Claude Code, bao gồm các chi tiết triển khai như thiết kế API nội bộ, phân tích hệ thống đo từ xa, công cụ mã hóa và giao thức truyền thông giữa các tiến trình. Bản đồ nguồn là các tệp gỡ lỗi được sử dụng trong quá trình phát triển JavaScript để ánh xạ mã nén trở lại mã nguồn gốc và không nên xuất hiện trong các bản phát hành sản phẩm. Vào tháng 2 năm 2025, một phiên bản cũ hơn của Claude Code đã bị lộ lỗi tương tự, và Anthropic đã gỡ bỏ phiên bản cũ khỏi npm và xóa bản đồ nguồn vào thời điểm đó. Tuy nhiên, vấn đề này lại nổi lên và một số kho lưu trữ công khai trên GitHub đã trích xuất và sắp xếp lại mã nguồn được khôi phục, với kho ghuntley/claude-code-source-code-deobfuscation nhận được gần một nghìn lượt đánh dấu sao. Mã bị rò rỉ là phần triển khai phía máy khách của công cụ dòng lệnh Claude Code, không liên quan đến trọng số mô hình hoặc dữ liệu người dùng và không gây ra rủi ro bảo mật trực tiếp nào cho người dùng thông thường. Tuy nhiên, việc tiếp tục để lộ toàn bộ mã nguồn có nghĩa là kiến ​​trúc nội bộ, cơ chế bảo mật và logic đo lường từ xa hoàn toàn minh bạch đối với thế giới bên ngoài.