明明明天才是愚人节,今天就泄露了全部源码,真是太好笑了,我记得一模一样的翻车方式,一年前就来过一次吧?
去年的 2 月 24 日,就是发它那个研究预览版的时候,也是在 NPM 把源码泄露了出来,还被大伙儿复制了。
看来使用 NPM 得谨慎啊。要知道,Claude Code 用 TypeScript 编写,通过 npm install -g 全局安装分发。这意味着:
1.NPM 包是透明的。任何人都可以解压 .tgz 检查内容,这是 JS 生态的基本特性。
2.Source Map 是 JS 生态的标准调试工具。构建流水线中只要有一个配置项没关对,它就会跟着包一起发出去。
3.即使是 minified 的 JS ,也可以通过 LLM 辅助逆向还原。有人( Yuyz0112 )专门做了一个项目,让 Claude 自己反编译自己的代码。
如果 Claude Code 像 Cursor 一样用 Electron 打包二进制分发,或者像 Devin 那样做纯 SaaS ,Source Map 泄露这个问题就不会存在了。但 Anthropic 选择了 NPM —— 选择了 JS 生态的便利性,就要接受它的透明性。
这话说给大家,也说给我自己,因为我自己也用 NPM ,只能说别什么都交给 AI ,沉迷氛围编程,关键时刻还是要人工把关一下的。
 |
1
cryptovae 6 小时 19 分钟前
太搞笑了, 明明后天才是愚人节
|
 |
2
codehz 4 小时 48 分钟前 via Android  1
electron 的 asar 也是可以随便解密的啊,这种用 js 引擎的,就算真的彻底加密,也可以直接一键 hook 读取脚本或者解析字节码的部分来强行 dump ,就算自研加密引擎,那也不过就多一层 vmp 壳而已,要破解(尤其是有 ai 辅助)也只是时间问题
|
 |
3
cairnechen 4 小时 33 分钟前
Boris 说了是 developer error
 |
 |
4
cxd8190102 OP @cryptovae 哈哈哈搞错了,已经是今天了
|
 |
5
luzemin 1 小时 5 分钟前
 |
 |
6
Oilybear 57 分钟前
我就说,万一就是找个借口开源一下呢
 |
Select Language