Le noyau de la fuite de code source de Claude Code n'est pas un pirate informatique, mais Anthropic qui a mis par erreur la carte source dans le package de distribution npm. Après qu 'un www.example.com d'environ 57 Mo ait été découvert par la communauté, le monde extérieur n'a pratiquement pas besoin de décompiler, il suffit de lire les sources et les tableaux sourcesContent, et peut restaurer une grande quantité de code original. Pour les assistants de programmation d'IA, ces fuites sont plus sensibles que les projets front-end ordinaires, car elles exposent non seulement l'interface, mais aussi le fonctionnement de l'agent.
La carte source devient-elle une exportation de code source
La carte source était à l'origine un outil de débogage de développement, utilisé pour mapper le code compressé en paquets dans le fichier source, pour faciliter le dépannage des problèmes. Le problème est qu 'une fois que sourcesContent est conservé dans la publication, il stocke souvent le code source complet plutôt que de simples informations de chemin d'accès. La collecte de la communauté a montré que le www.example.com correspond à 4 756 fichiers, dont environ 1906 sont du code TypeScript et TSX de Claude Code lui-même, et le reste provient de paquets de dépendances.
Cela explique pourquoi beaucoup de gens appellent cet incident une « fuite directe de code source » plutôt qu ' une « analyse rétrograde ». L'inversion traditionnelle nécessite également la restauration du nom de la variable, de la structure d'inférence et de la logique d'épissage. Cette fois, c'est comme remettre l'ensemble du répertoire de développement entre les mains du monde extérieur. Il suffit d'écrire quelques lignes de script et d'extraire par index, et les fichiers sources peuvent être vendus en vrac, avec un seuil si bas qu 'il n'y a presque aucun tampon technique.
Claude Code est donc vu à travers
D'après le contenu de la restauration, Claude Code n'est pas un simple encapsulant de ligne de commande, mais un ensemble typique de produits d'agents d'IA. Il utilise React et Ink pour construire l'interface interactive CLI, la couche externe est une boucle de type REPL, qui prend en charge l'entrée en langage naturel et les commandes slash, et la couche inférieure route la demande de l'utilisateur vers le système d'outils et l'interface de grand modèle. Ce qui est vraiment précieux pour les personnes qui s'intéressent à l'assistant de programmation d'IA, ce n'est pas à quoi ressemble l'interface, mais à la façon dont elle organise les invites, planifie les outils et gère les limites d'exécution.
C'est aussi l'endroit où l'industrie est le plus vigilante pour l'incident de Claude Code. La différenciation des outils de programmation d'IA provient de plus en plus non seulement du modèle sous-jacent, mais aussi de la couche d'ingénierie à l'extérieur du modèle : la logique d'appel d'outils, le mécanisme de validation des droits, la méthode d'assemblage contextuel, la stratégie de retour en arrière et la conception du système de commande. Une fois que ces parties sont déracinées par la carte source, les concurrents et les chercheurs ne voient pas la fonctionnalité de surface, mais la méthodologie du produit elle-même.
Dans une application métier ordinaire, cela signifie généralement une meilleure lisibilité et une exposition à l'implémentation interne ; dans une chaîne d'outils d'IA, cela peut être plus coûteux, car il peut être exposé avec des invites système, des schémas d'outils, des distributions de commande et des stratégies de sécurité.Anthropic a ensuite supprimé la carte source associée et le dépôt d'extraction sur GitHub a également été traité par le DMCA, mais c'est plus comme un remède après coup. Tant que les paquets npm précédents ont été téléchargés, mis en miroir et archivés, le code est difficile à récupérer. Pour les équipes qui travaillent sur des assistants de programmation d'IA, des agents CLI et des outils de développement locaux, la vérification des fichiers. map avant la publication n'est plus une option, mais une vérification de base de la chaîne d'approvisionnement.
Le rappel de cette vague de Claude Code est simple : les fossés des produits AI ne sont pas seulement dans le modèle, mais aussi dans la capacité d'organisation de l'ingénierie en dehors du modèle. Ceux qui ignorent la carte source peuvent exposer leur propre orchestration d'invite, la conception de la chaîne d'outils et le cadre d'agent. Ensuite, la compétition autour des assistants de programmation d'IA se tournera plus rapidement vers les détails d'ingénierie, plutôt que simplement vers qui a accès au modèle le plus fort.
@
