Claudeソースマップ漏洩：npm公開の縮小化JSに内部コメント

「リーク」の実際の内容

内部デバッグ用の.mapソースマップファイルが、npm上の@anthropic-ai/claude-codeパッケージのバージョン2.1.88に誤って含まれていた。セキュリティ研究者のChaofan Shouがこれを発見しXに投稿。Anthropicは「人為的ミスによるリリースパッケージングの問題であり、セキュリティ侵害ではない」と確認。パッケージは削除されたが、既にあらゆる場所にミラーリングされていた。

これは2度目の発生で、ほぼ同一のソースマップリークは13ヶ月前の2025年2月にも起きていた。

コードは既に公開されていた

Claude Codeは単一のバンドルされたJavaScriptファイル（cli.js）としてnpm経由で配布されている。13MB、16,824行のJavaScriptで、製品リリース当初からunpkg.com/@anthropic-ai/claude-code/cli.jsで公開アクセス可能だった。

ファイルはミニファイされているが難読化はされていない。違いは以下の通り：

ミニファイ（esbuild、Webpack、Rollupなどのバンドラーがデフォルトで行う）は変数名を短縮し空白を削除
難読化は文字列を暗号化、制御フローを平坦化、デッドコードを注入、改竄防止メカニズムを追加

Claude Codeは変数名のマングリングと空白削除による標準的なミニファイのみで、難読化技術は一切使用されていない：

文字列暗号化/エンコード：なし
制御フロー平坦化：なし
デッドコード注入：なし
自己防御/改竄防止：なし
文字列配列回転：なし
プロパティ名マングリング：なし

プレーンテキスト内容の抽出

148,000以上の文字列リテラルはすべてプレーンテキストで存在。すべてのシステムプロンプト、ツール説明、行動指示はテキストエディタで読める。ソースマップは不要。

シンプルなASTベースの抽出スクリプトを使用すると、13MBのファイル全体を1.47秒で解析し147,992の文字列を抽出可能。カテゴリ分け後：

1,017のシステムプロンプトと指示
431のツール説明
837のユニークなテレメトリイベント名（すべてtengu_ - Claude Codeの内部コードネーム - で始まる）
製品の動作を制御する504の環境変数
3,196のエラーメッセージ
ハードコードされたエンドポイント、OAuth URL、DataDog APIキー、完全なモデルカタログ

コミュニティの反応

ソースマップ発見からわずか1日で：

GitHubにコードダンプが出現（nirholas/claude-codeなど）、数時間でAnthropicによるDMCA削除要請を受けるも数百回フォーク
Claw Code - Claude Codeアーキテクチャの完全なRust書き換え - が2時間で50,000 GitHubスターを獲得、史上最速でこのマイルストーンに到達
ccleaks.comが登場 - ソース内で見つかったすべての未公開機能、隠しコマンド、ビルドフラグをカタログ化した完全設計の分析サイト
DEV Community、YouTube、技術ブログで数十の分析記事が詳細を解剖

Geoffrey Huntleyはこの事件の数ヶ月前にClaude Codeの完全な「クリーンルームトランスパイル」を公開していた。

📖 完全なソースを読む： HN AI Agents