ProHoster > Blog > wiadomości internetowe > Wyciek kodu z zestawu narzędzi Claude Code z powodu brakującego pliku mapy w pakiecie NPM

Wyciek kodu z zestawu narzędzi Claude Code z powodu brakującego pliku mapy w pakiecie NPM

Firma Anthropic nieumyślnie opublikowała pełny, niezaciemniony i nieoszlifowany kod źródłowy zestawu narzędzi Claude Code TypeScript w ramach pakietu NPM claude-code 2.1.88. Kod został udostępniony jako część pliku mapy cli.js.map, który był używany do debugowania. Aby zapobiec takim wyciekom, zaleca się programistom dodanie maski „*.map” do pliku „.npmignore”.

Archiwum kodu ma rozmiar 59.8 MB, zawiera 1884 pliki i ponad 500 000 linii kodu. Entuzjaści zaczęli replikować kod na GitHubie, ale Anthropic zainicjował powiadomienia DMCA o zablokowaniu repozytoriów zawierających kod na mocy amerykańskiej ustawy Digital Millennium Copyright Act (DMCA). Wyciek kodu z zestawu narzędzi Claude Code z powodu brakującego pliku mapy w pakiecie NPM

Analiza publicznie dostępnych informacji ujawniła osiem wcześniej niezapowiedzianych nowych funkcji, 26 ukrytych poleceń, 32 flagi kompilacji, 22 prywatne repozytoria i ponad 120 wrażliwych zmiennych środowiskowych. Wśród ukrytych funkcji znalazły się:

  • Tryb „Undercover”, który usuwa ślady udziału sztucznej inteligencji podczas wprowadzania zmian w publicznych repozytoriach (nie wyświetla informacji o współautorze i nie wspomina o nazwie modelu ani wykorzystaniu sztucznej inteligencji).
  • Jajko wielkanocne, które przyznaje użytkownikowi wirtualnego zwierzaka, pojawiającego się obok wiersza poleceń. Wygląd i zachowanie zwierzaka są unikalne i zależą od identyfikatora konta użytkownika.
  • Flaga CLAUDE_CODE_COORDINATOR_MODE=1 umożliwia programowi Claude Code działanie w trybie koordynatora, który sam dzieli zadania na części, dystrybuuje ich wykonanie pomiędzy poszczególnych agentów AI i łączy wyniki.
  • Interfejs IPC między sesjami, który umożliwia wysyłanie wiadomości do innych sesji uruchomionych na tym samym komputerze (podobnie jak rozmowa między agentami AI).
  • Tryb proaktywny, który umożliwia kodowanie 24/7 bez konieczności wiązania się z sesjami. Asystent KAIROS jest zawsze aktywny i zapamiętuje stan między sesjami.
  • Tryb tła (tryb demona), który umożliwia użycie polecenia „claude --bg” w celu uruchomienia sesji i przetwarzania komunikatów w tle, z możliwością przeglądania dziennika pracy i umieszczenia sesji na pierwszym planie.
  • Tryb ULTRAPLAN, który tworzy osobną instancję w chmurze w celu wygenerowania planu pracy mającego na celu rozwiązanie złożonych problemów.
  • Tryb automatycznego śnienia (/dream) porządkuje informacje otrzymane w trakcie sesji i w czasie braku aktywności pomiędzy sesjami, generując pomysły na rozwiązywanie problemów i opracowywanie planu działania.
  • Aby ominąć wewnętrzny detektor przecieków, wewnętrzna nazwa kodowa modelu „capybara” jest zakodowana jako String.fromCharCode(99,97,112,121,98,97,114,97).
  • Telemetria Tengu, śledzenie i transmisja nie serwery Ponad 1000 typów zdarzeń antropicznych.
  • Flaga ABLATION_BASELINE i zmienna środowiskowa CLAUDE_CODE_ABLATION_BASELINE wyłączają wszystkie środki bezpieczeństwa.
  • Ukryte polecenia nie wymienione w pomocy „--help”:
    • /ctx-viz - wizualizator kontekstu
    • /btw — dodatkowe pytania
    • /good-claude — „Jajko wielkanocne”
    • /teleport — transfer sesji
    • /share — udostępnianie sesji
    • /podsumowanie — podsumowanie
    • /ultraplan — planowanie pracy
    • /subscribe-pr — webhook PR
    • /autofix-pr autofix PR
    • /ant-trace — śledzenie
    • /perf-issue — raport wydajności
    • /debug-tool-call — wywołania debugowania
    • /bughunter — debugowanie błędów
    • /break-cache — resetuje pamięć podręczną
    • /wdrażanie - ustawienia
    • /oauth-refresh - odśwież token
    • /env — inspekcja środowiska
    • /reset-limits — resetuje stan limitów
    • /wersja — wewnętrzny numer wersji
    • /init-verifiers – skonfiguruj weryfikator
    • /wymuś-cięcie
    • /mock-limits
    • /kopnięcie mostowe
    • /sesje uzupełniania
    • /agents-platform
    • /marzenie
  • Nieudokumentowane opcje wiersza poleceń:
    • --bare — działa bez haków i wtyczek
    • --dump-system-prompt — wyloguj się z systemu i wyjdź
    • —daemon-worker= — ustawia liczbę procesów w tle
    • --computer-use-mcp — aktywuje serwer MCP
    • --cloud-in-chrome-mcp - Chrome MCP
    • —chrome-native-host
    • --bg — rozpocznij sesję w tle
    • -ikra
    • -pojemność — ograniczenie liczby procesów przetwarzania równoległego
    • --worktree / -w — izolacja drzewa roboczego Git

    Flagi zgromadzeń:

    • KAIROS
    • PROAKTYWNY
    • TRYB_KOORDYNATORA
    • TRYB_GRZBIETU
    • DEMON
    • BG_SESSIONS
    • ULTRAPLAN
    • KUMPEL
    • TORCH
    • SKRYPTY PRZEBIEGU PRACY
    • TRYB GŁOSOWY
    • SZABLONY
    • CHICAGO_MCP
    • UDS_INBOX
    • REAKTYWNY_KOMPAKTOWY
    • ZWIŃ KONTEKST
    • HISTORY_SNIP
    • CACHED_MICROCOMPACT
    • BUDŻET TOKENOWY
    • WYCIĄGNIJ_WSPOMNIENIA
    • TEST PRZEPEŁNIENIA
    • Panel terminala
    • PRZEGLĄDARKA INTERNETOWA
    • FORK_SUBAGENT
    • DUMP_SYS_PROMPT
    • ABLACJI_BAZA
    • BYOC_RUNNER
    • SAMOHOSTED
    • NARZĘDZIE MONITORUJĄCE
    • CCR_AUTO
    • MEM_SHAPE_TEL
    • WYSZUKIWANIE UMIEJĘTNOŚCI
  • Ponad 120 nieudokumentowanych zmiennych środowiskowych, w tym DISABLE_COMMAND_INJECTION_CHECK, CLAUDE_CODE_ABLATION_BASELINE (wyłącza wszystkie mechanizmy bezpieczeństwa), DISABLE_INTERLEAVED_THINKING,
  • Wymień wewnętrzne repozytoria, takie jak anthropics/casino, anthropics/trellis, anthropics/forge-web, anthropics/mycro_manifests i anthropics/feldspar-testing.

Źródło: opennet.ru

Dodaj komentarz