Claude Code
The Register Kettle PodcastがClaude Codeソースコード流出を詳細分析 — 512K行の解読と未公開機能の全容
元記事を読む →Summary
The Registerのセキュリティ記者Tom Claburn、Jessica Lyons、Brandon VigliaroloがKettle Podcastで3月31日に発生したClaude Code v2.1.88のソースコード流出(512,000行超のTypeScript)を詳細分析。npmパッケージに含まれた59.8MBのJavaScriptソースマップがCloudflare R2バケット上の
Key Takeaways
- 約1,900のTypeScriptファイル、512,000行超のソースコードが流出
- Bun由来のバグでソースマップが本番ビルドに含まれた(3度目の事故)
- KAIROS・BUDDY・感情トラッキング等の未公開機能が発見
- Anthropicは「セキュリティ侵害ではなくパッケージングプロセスのヒューマンエラー」と説明
- GitHubで41,000回超のフォークが発生し、DMCA削除後も広く保存済み
Best Practice Updates
- npmパッケージのリリースプロセスにソースマップ除外・機密コード混入防止の自動検証ステップを必ず組み込む
元記事の著作権は各著作者に帰属します。