Claudeのソースコードマップ漏洩により、縮小化されたJavaScriptがすでにnpmで公開されていたことが明らかになりました

「リーク」の実際の内容
内部デバッグ用の.mapソースマップファイルが、npm上の@anthropic-ai/claude-codeパッケージのバージョン2.1.88に誤って含まれていた。セキュリティ研究者のChaofan Shouがこれを発見しXに投稿。Anthropicは「人為的ミスによるリリースパッケージングの問題であり、セキュリティ侵害ではない」と確認。パッケージは削除されたが、既にあらゆる場所にミラーリングされていた。
これは2度目の発生で、ほぼ同一のソースマップリークは13ヶ月前の2025年2月にも起きていた。
コードは既に公開されていた
Claude Codeは単一のバンドルされたJavaScriptファイル(cli.js)としてnpm経由で配布されている。13MB、16,824行のJavaScriptで、製品リリース当初からunpkg.com/@anthropic-ai/claude-code/cli.jsで公開アクセス可能だった。
ファイルはミニファイされているが難読化はされていない。違いは以下の通り:
- ミニファイ(esbuild、Webpack、Rollupなどのバンドラーがデフォルトで行う)は変数名を短縮し空白を削除
- 難読化は文字列を暗号化、制御フローを平坦化、デッドコードを注入、改竄防止メカニズムを追加
Claude Codeは変数名のマングリングと空白削除による標準的なミニファイのみで、難読化技術は一切使用されていない:
- 文字列暗号化/エンコード:なし
- 制御フロー平坦化:なし
- デッドコード注入:なし
- 自己防御/改竄防止:なし
- 文字列配列回転:なし
- プロパティ名マングリング:なし
プレーンテキスト内容の抽出
148,000以上の文字列リテラルはすべてプレーンテキストで存在。すべてのシステムプロンプト、ツール説明、行動指示はテキストエディタで読める。ソースマップは不要。
シンプルなASTベースの抽出スクリプトを使用すると、13MBのファイル全体を1.47秒で解析し147,992の文字列を抽出可能。カテゴリ分け後:
- 1,017のシステムプロンプトと指示
- 431のツール説明
- 837のユニークなテレメトリイベント名(すべてtengu_ - Claude Codeの内部コードネーム - で始まる)
- 製品の動作を制御する504の環境変数
- 3,196のエラーメッセージ
- ハードコードされたエンドポイント、OAuth URL、DataDog APIキー、完全なモデルカタログ
コミュニティの反応
ソースマップ発見からわずか1日で:
- GitHubにコードダンプが出現(nirholas/claude-codeなど)、数時間でAnthropicによるDMCA削除要請を受けるも数百回フォーク
- Claw Code - Claude Codeアーキテクチャの完全なRust書き換え - が2時間で50,000 GitHubスターを獲得、史上最速でこのマイルストーンに到達
- ccleaks.comが登場 - ソース内で見つかったすべての未公開機能、隠しコマンド、ビルドフラグをカタログ化した完全設計の分析サイト
- DEV Community、YouTube、技術ブログで数十の分析記事が詳細を解剖
Geoffrey Huntleyはこの事件の数ヶ月前にClaude Codeの完全な「クリーンルームトランスパイル」を公開していた。
📖 完全なソースを読む: HN AI Agents
👀 See Also

BlindKey: AIエージェント向けブラインド認証情報インジェクション
BlindKeyは、暗号化されたボールトトークンとローカルプロキシを使用して、AIエージェントが平文のAPI認証情報にアクセスするのを防ぐセキュリティツールです。エージェントはbk://stripeのようなトークンを参照し、プロキシがリクエスト時に実際の認証情報を注入します。

偽のClaudeサイトがサイドローディング攻撃を介してPlugXマルウェアを配信
偽のClaudeウェブサイトは、トロイの木馬化されたインストーラーを提供し、DLLサイドローディングを通じてPlugXマルウェアを展開し、攻撃者に侵害されたシステムへのリモートアクセスを与えます。この攻撃は、正当に署名されたG DATAアンチウイルスアップデータを使用して悪意のあるコードをロードします。

AIエージェントのセキュリティ分析により、信頼モデルの破綻と高い脆弱性率が明らかに
AIエージェントのセキュリティ分析により、基本的な信頼モデルが破綻していることが示された。MCPパッケージの49%にセキュリティ上の問題があり、間接的インジェクション攻撃は最先端モデルに対して36〜98%の攻撃成功率を達成している。

SIEMホームラボ脅威ハンティングのためのOpenClaw SOCエージェント統合
Redditユーザーが、Debian 13上に構築したオープンソースSIEM「Red Threat Redemption」を紹介。Elasticsearch、Kibana、Wazuh、Zeek、pfSense with Suricataを統合し、AIエージェントを追加して脅威の自動相関分析、ハンティング、アラートトリアージを実現。