明明明天才是愚人节,今天就泄露了全部源码,真是太好笑了,我记得一模一样的翻车方式,一年前就来过一次吧?
去年的 2 月 24 日,就是发它那个研究预览版的时候,也是在 NPM 把源码泄露了出来,还被大伙儿复制了。
看来使用 NPM 得谨慎啊。要知道,Claude Code 用 TypeScript 编写,通过npm install -g全局安装分发。这意味着:
1.NPM 包是透明的。任何人都可以解压.tgz检查内容,这是 JS 生态的基本特性。
2.Source Map 是 JS 生态的标准调试工具。构建流水线中只要有一个配置项没关对,它就会跟着包一起发出去。
3.即使是 minified 的 JS ,也可以通过 LLM 辅助逆向还原。有人( Yuyz0112 )专门做了一个项目,让 Claude 自己反编译自己的代码。
如果 Claude Code 像 Cursor 一样用 Electron 打包二进制分发,或者像 Devin 那样做纯 SaaS ,Source Map 泄露这个问题就不会存在了。但 Anthropic 选择了 NPM 选择了 JS 生态的便利性,就要接受它的透明性。
这话说给大家,也说给我自己,因为我自己也用 NPM ,只能说别什么都交给 AI ,沉迷氛围编程,关键时刻还是要人工把关一下的。
 | 1 cryptovae 20 小时 16 分钟前 太搞笑了, 明明后天才是愚人节 |
 | 2 codehz 18 小时 45 分钟前 via Android  1 electron 的 asar 也是可以随便解密的啊,这种用 js 引擎的,就算真的彻底加密,也可以直接一键 hook 读取脚本或者解析字节码的部分来强行 dump ,就算自研加密引擎,那也不过就多一层 vmp 壳而已,要破解(尤其是有 ai 辅助)也只是时间问题 |
 | 3 cairnechen 18 小时 30 分钟前 Boris 说了是 developer error  |
 | 4 cxd8190102 OP @cryptovae 哈哈哈搞错了,已经是今天了 |
 | 5 luzemin 15 小时 2 分钟前  |
 | 6 Oilybear 14 小时 54 分钟前 我就说,万一就是找个借口开源一下呢  |
 | 7 iorilu 13 小时 8 分钟前 不明白, 为什么不用 rust 重写然后发布可执行文件就行了 有人一天就把 typescript 转成 rust 了 |
Select Language