#V2EX
### [程序员] 太搞笑了, Claude Code 又双叒叕开源了,是 NPM 的锅吗?
明明明天才是愚人节,今天就泄露了全部源码,真是太好笑了,我记得一模一样的翻车方式,一年前就来过一次吧?
去年的 2 月 24 日,就是发它那个研究预览版的时候,也是在 NPM 把源码泄露了出来,还被大伙儿复制了。
看来使用 NPM 得谨慎啊。要知道,Claude Code 用 TypeScript 编写,通过 npm install -g 全局安装分发。这意味着:
1.NPM 包是透明的。任何人都可以解压 .tgz 检查内容,这是 JS 生态的基本特性。
2.Source Map 是 JS 生态的标准调试工具。构建流水线中只要有一个配置项没关对,它就会跟着包一起发出去。
3.即使是 minified 的 JS ,也可以通过 LLM 辅助逆向还原。有人( Yuyz0112 )专门做了一个项目,让 Claude 自己反编译自己的代码。
如果 Claude Code 像 Cursor 一样用 Electron 打包二进制分发,或者像 Devin 那样做纯 SaaS ,Source Map 泄露这个问题就不会存在了。但 Anthropic 选择了 NPM —— 选择了 JS 生态的便利性,就要接受它的透明性。
这话说给大家,也说给我自己,因为我自己也用 NPM ,只能说别什么都交给 AI ,沉迷氛围编程,关键时刻还是要人工把关一下的。
https://www.v2ex.com/t/1202740#reply1
推特大V同步
npub195…pwpxu
2026-04-01 03:22:55 UTC
Author Public Key
npub195q4fc2qx05y3dzg49cny2lm7nsy52wrwuqjac844dnqnx6k7xks3pwpxuPublished at
2026-04-01 03:22:55 UTCEvent JSON
{
"id": "1edb61aaa4fb54350038d7e251ffccf5a1a0f9c3367cc71401d8f999963a5880",
"pubkey": "2d0154e14033e848b448a971322bfbf4e04a29c377012ee0f5ab66099b56f1ad",
"created_at": 1775013775,
"kind": 1,
"tags": [
[
"t",
"v2ex"
]
],
"content": "#V2EX\n### [程序员] 太搞笑了, Claude Code 又双叒叕开源了,是 NPM 的锅吗?\n\n明明明天才是愚人节,今天就泄露了全部源码,真是太好笑了,我记得一模一样的翻车方式,一年前就来过一次吧?\n\n去年的 2 月 24 日,就是发它那个研究预览版的时候,也是在 NPM 把源码泄露了出来,还被大伙儿复制了。\n\n看来使用 NPM 得谨慎啊。要知道,Claude Code 用 TypeScript 编写,通过 npm install -g 全局安装分发。这意味着:\n\n1.NPM 包是透明的。任何人都可以解压 .tgz 检查内容,这是 JS 生态的基本特性。\n\n2.Source Map 是 JS 生态的标准调试工具。构建流水线中只要有一个配置项没关对,它就会跟着包一起发出去。\n\n3.即使是 minified 的 JS ,也可以通过 LLM 辅助逆向还原。有人( Yuyz0112 )专门做了一个项目,让 Claude 自己反编译自己的代码。\n\n如果 Claude Code 像 Cursor 一样用 Electron 打包二进制分发,或者像 Devin 那样做纯 SaaS ,Source Map 泄露这个问题就不会存在了。但 Anthropic 选择了 NPM —— 选择了 JS 生态的便利性,就要接受它的透明性。\n\n这话说给大家,也说给我自己,因为我自己也用 NPM ,只能说别什么都交给 AI ,沉迷氛围编程,关键时刻还是要人工把关一下的。\nhttps://www.v2ex.com/t/1202740#reply1",
"sig": "3a84aac230792def8a9a83dee410f944e85efb6594dbdaab6ec37b2a98d98eaa3b9f2f046c65597652c5ecc0898a34b6c8748cdc7791a5cdfe25400c4c0a7554"
}