Claude Code 工具包因 NPM 套件中缺少映射檔案而導致程式碼洩漏

Anthropic 無意中將 Claude Code TypeScript 工具包的完整、未經混淆和精簡的原始程式碼作為 claude-code 2.1.88 NPM 套件的一部分發布了。該程式碼包含在用於偵錯的 cli.js.map 映射檔中。為防止此類洩露，建議開發者將「*.map」遮罩新增至「.npmignore」檔案。

程式碼庫大小為 59.8 MB，包含 1884 個文件，超過 500 萬行程式碼。愛好者開始在 GitHub 上複製該程式碼，但 Anthropic 公司根據美國《數位千禧年版權法案》(DMCA) 發起了 DMCA 通知，以阻止包含該程式碼的儲存庫。

對公開資訊的分析揭示了八項先前未公佈的新功能、26 個隱藏命令、32 個建置標誌、22 個私有倉庫以及超過 120 個敏感環境變數。其中隱藏功能包括：

• 「隱藏」模式，在對公共儲存庫進行變更時，會消除 AI 參與的痕跡（不顯示共同作者，也不提及模型名稱或 AI 使用情況）。
• 這是一個彩蛋，可以讓使用者獲得一個虛擬寵物，它會顯示在命令列旁邊。寵物的外觀和行為都是獨一無二的，並且基於用戶的帳號ID。
• CLAUDE_CODE_COORDINATOR_MODE=1 標誌使 Claude Code 能夠在協調器模式下運行，該模式會將任務分解成多個部分，將它們的執行分配給各個 AI 代理，並將結果合併。
• 會話間 IPC 接口，允許向同一台計算機上運行的其他會話發送訊息（類似於 AI 代理之間的聊天）。
• 主動模式支援全天候編碼，無需受限於會話。 KAIROS 助理始終保持啟動狀態，並能記住會話之間的狀態。
• 後台模式（守護程式模式），可讓您使用命令「claude --bg」在背景啟動會話和處理提示，並能夠查看工作日誌並將會話置於前台。
• ULTRAPLAN 模式會在雲端建立一個單獨的實例，以產生解決複雜問題的工作計畫。
• 自動夢境模式（/dream）在會話之間的非活躍時間內對會話期間接收到的信息進行結構化處理，並產生解決問題和製定行動計劃的想法。
• 為了繞過內部洩漏偵測器，內部模型代號「capybara」被編碼為String.fromCharCode(99,97,112,121,98,97,114,97)。
• 天狗遙測、追蹤與傳輸並非 服務 人類活動超過1000種類型。
• ABLATION_BASELINE 標誌和 CLAUDE_CODE_ABLATION_BASELINE 環境變數會停用所有安全措施。
• 「--help」說明中未提及的隱藏指令：
  • /ctx-viz - 情境視覺化工具
  • /btw — 其他問題
  • /good-claude — “彩蛋”
  • /teleport — 轉移會話
  • /share — 會話分享
  • /摘要 — 摘要
  • /ultraplan — 工作計劃
  • /subscribe-pr — 公關網路鉤子
  • /autofix-pr 自動修復 PR
  • /ant-trace — 追踪
  • /perf-issue — 性能報告
  • /debug-tool-call — 調試調用
  • /bughunter — 調試錯誤
  • /break-cache — 重置緩存
  • /入職設置
  • /oauth-refresh - 刷新令牌
  • /env — 環境檢查
  • /reset-limits — 重設限制狀態
  • /version — 內部版本號
  • /init-verifiers - 設定驗證器
  • /force-snip
  • /mock-limits
  • /橋踢
  • /回填會話
  • /代理平台
  • /夢
• 未記錄的命令列選項：
  • --bare — 不使用鉤子和插件運行
  • --dump-system-prompt — 轉儲系統提示符號並退出
  • —daemon-worker= — 設定後台進程數
  • --computer-use-mcp — 啟動 MCP 伺服器
  • --cloud-in-chrome-mcp - Chrome MCP
  • —chrome-native-host
  • --bg — 啟動背景會話
  • —生成
  • -容量—限制平行處理程序的數量
  • --worktree / -w — Git 工作樹隔離

  彙編標誌：

  • KAIROS
  • 積極主動的
  • 協調器模式
  • 山脊模式
  • 惡魔
  • 背景會話
  • 超強動力
  • 夥伴
  • 火炬
  • 工作流程腳本
  • 語音模式
  • TEMPLATES
  • 芝加哥_MCP
  • UDS收件匣
  • REACTIVE_COMPACT
  • 上下文折疊
  • 歷史記錄片段
  • 緩存_微壓縮
  • 代幣預算
  • 提取記憶體
  • 溢位測試
  • 接線面板
  • 網路瀏覽器
  • 分叉子代理
  • DUMP_SYS_PROMPT
  • 消融基底
  • BYOC_RUNNER
  • 自託管
  • 監控工具
  • CCR_AUTO
  • MEM_SHAPE_TEL
  • 技能搜尋
• 超過 120 個未記錄的環境變量，包括 DISABLE_COMMAND_INJECTION_CHECK、CLAUDE_CODE_ABLATION_BASELINE（停用所有安全機制）、DISABLE_INTERLEAVED_THINKING、
• 提及內部儲存庫，例如 anthropics/casino、anthropics/trellis、anthropics/forge-web、anthropics/mycro_manifests 和 anthropics/feldspar-testing。

來源： opennet.ru