Claude Code 工具包因 NPM 包中缺少映射文件而导致代码泄漏

Anthropic 无意中将 Claude Code TypeScript 工具包的完整、未经混淆和精简的源代码作为 claude-code 2.1.88 NPM 包的一部分发布了。该代码包含在用于调试的 cli.js.map 映射文件中。为防止此类泄露,建议开发者将“*.map”掩码添加到“.npmignore”文件中。

该代码库大小为 59.8 MB,包含 1884 个文件,超过 500 万行代码。爱好者们开始在 GitHub 上复制该代码,但 Anthropic 公司根据美国《数字千年版权法案》(DMCA) 发起了 DMCA 通知,以阻止包含该代码的存储库。 
Claude Code 工具包因 NPM 包中缺少映射文件而导致代码泄漏

对公开信息的分析揭示了八项此前未公布的新功能、26 个隐藏命令、32 个构建标志、22 个私有仓库以及超过 120 个敏感环境变量。其中隐藏功能包括:

  • “隐蔽”模式,在对公共存储库进行更改时,会消除 AI 参与的痕迹(不显示共同作者,也不提及模型名称或 AI 使用情况)。
  • 这是一个彩蛋,可以让用户获得一个虚拟宠物,它会显示在命令行旁边。宠物的外观和行为都是独一无二的,并且基于用户的账号ID。
  • CLAUDE_CODE_COORDINATOR_MODE=1 标志使 Claude Code 能够在协调器模式下运行,该模式会将任务分解成多个部分,将它们的执行分配给各个 AI 代理,并将结果合并。
  • 会话间 IPC 接口,允许向同一台计算机上运行的其他会话发送消息(类似于 AI 代理之间的聊天)。
  • 主动模式支持全天候编码,无需受限于会话。KAIROS 助手始终保持激活状态,并能记住会话之间的状态。
  • 后台模式(守护进程模式),允许您使用命令“claude --bg”在后台启动会话和处理提示,并能够查看工作日志并将会话置于前台。
  • ULTRAPLAN 模式会在云端创建一个单独的实例,以生成解决复杂问题的工作计划。
  • 自动梦境模式(/dream)在会话之间的非活跃时间内对会话期间接收到的信息进行结构化处理,并生成解决问题和制定行动计划的想法。
  • 为了绕过内部泄漏检测器,内部模型代号“capybara”被编码为String.fromCharCode(99,97,112,121,98,97,114,97)。
  • 天狗遥测、跟踪和传输并非 伺服器 人类活动超过1000种类型。
  • ABLATION_BASELINE 标志和 CLAUDE_CODE_ABLATION_BASELINE 环境变量会禁用所有安全措施。
  • “--help”帮助中未提及的隐藏命令:
    • /ctx-viz - 上下文可视化工具
    • /btw — 其他问题
    • /good-claude — “彩蛋”
    • /teleport — 转移会话
    • /share — 会话共享
    • /摘要 — 摘要
    • /ultraplan — 工作计划
    • /subscribe-pr — 公关网络钩子
    • /autofix-pr 自动修复 PR
    • /ant-trace — 追踪
    • /perf-issue — 性能报告
    • /debug-tool-call — 调试调用
    • /bughunter — 调试错误
    • /break-cache — 重置缓存
    • /入职设置
    • /oauth-refresh - 刷新令牌
    • /env — 环境检查
    • /reset-limits — 重置限制状态
    • /version — 内部版本号
    • /init-verifiers - 配置验证器
    • /force-snip
    • /mock-limits
    • /桥踢
    • /回填会话
    • /代理平台
    • /梦
  • 未记录的命令行选项:
    • --bare — 不使用钩子和插件运行
    • --dump-system-prompt — 转储系统提示符并退出
    • —daemon-worker= — 设置后台进程数
    • --computer-use-mcp — 激活 MCP 服务器
    • --cloud-in-chrome-mcp - Chrome MCP
    • —chrome-native-host
    • --bg — 启动后台会话
    • —生成
    • -容量—限制并行处理进程的数量
    • --worktree / -w — Git 工作树隔离

    汇编标志:

    • KAIROS
    • 前瞻
    • 协调器模式
    • 山脊模式
    • 达蒙
    • 背景会话
    • 超强动力
    • 伙伴
    • 火炬
    • 工作流脚本
    • 语音模式
    • TEMPLATES
    • 芝加哥_MCP
    • UDS收件箱
    • REACTIVE_COMPACT
    • 上下文折叠
    • 历史记录片段
    • 缓存_微紧凑
    • 代币预算
    • 提取内存
    • 溢出测试
    • 接线面板
    • 网络浏览器
    • 分叉子代理
    • DUMP_SYS_PROMPT
    • 消融基部
    • BYOC_RUNNER
    • 自托管
    • 监控工具
    • CCR_AUTO
    • MEM_SHAPE_TEL
    • 技能搜索
  • 超过 120 个未记录的环境变量,包括 DISABLE_COMMAND_INJECTION_CHECK、CLAUDE_CODE_ABLATION_BASELINE(禁用所有安全机制)、DISABLE_INTERLEAVED_THINKING、
  • 提及内部存储库,例如 anthropics/casino、anthropics/trellis、anthropics/forge-web、anthropics/mycro_manifests 和 anthropics/feldspar-testing。

来源: opennet.ru

为具有 DDoS 保护、VPS VDS 服务器的站点购买可靠的主机 🔥 购买具备 DDoS 防护的可靠网站托管服务,包括 VPS 和 VDS 服务器 | ProHoster