泄露过程
第一次泄露(2025 年 2 月)
Claude Code 随 Claude 3.7 一起发布,以 npm 包形式分发。在 v0.2.8 及之前版本中:
使用了开发环境配置打生产包,包含了inline-source-map所以混淆可以说是没有,被一行命令即可反解出全部源码
Anthropic发现后删除了 0.2.8 之前的包,并在 0.2.9 中修正。但 GitHub 上已经有人存档了完整代码(如 dnakov/claude-code)。
第二次泄露(2026 年 3 月)
版本从 0.2.x 到 2.1.88,代码量膨胀了近 10 倍,但是还是没涨记性:
npm 包中误留了 cli.js.map 文件(59.8 MB)
所以又被放出源码了。。。
提取方式也非常简单:
# 下载 npm 包
npm pack @anthropic-ai/claude-code@2.1.88
# 解压
tar -xzf anthropic-ai-claude-code-2.1.88.tgz
# cli.js.map 的 sourcesContent 字段中包含了所有源码
# 一行 jq 即可提取
cat package/cli.js.map | jq -r '.sources[]'