太搞笑了, Claude Code 又双叒叕开源了,是 NPM 的锅吗?

4 月 1 日
 cxd8190102

明明明天才是愚人节,今天就泄露了全部源码,真是太好笑了,我记得一模一样的翻车方式,一年前就来过一次吧?

去年的 2 月 24 日,就是发它那个研究预览版的时候,也是在 NPM 把源码泄露了出来,还被大伙儿复制了。

看来使用 NPM 得谨慎啊。要知道,Claude Code 用 TypeScript 编写,通过 npm install -g 全局安装分发。这意味着:

1.NPM 包是透明的。任何人都可以解压 .tgz 检查内容,这是 JS 生态的基本特性。

2.Source Map 是 JS 生态的标准调试工具。构建流水线中只要有一个配置项没关对,它就会跟着包一起发出去。

3.即使是 minified 的 JS ,也可以通过 LLM 辅助逆向还原。有人( Yuyz0112 )专门做了一个项目,让 Claude 自己反编译自己的代码。

如果 Claude Code 像 Cursor 一样用 Electron 打包二进制分发,或者像 Devin 那样做纯 SaaS ,Source Map 泄露这个问题就不会存在了。但 Anthropic 选择了 NPM —— 选择了 JS 生态的便利性,就要接受它的透明性。

这话说给大家,也说给我自己,因为我自己也用 NPM ,只能说别什么都交给 AI ,沉迷氛围编程,关键时刻还是要人工把关一下的。

3044 次点击
所在节点    程序员
7 条回复
cryptovae
4 月 1 日
太搞笑了, 明明后天才是愚人节
codehz
4 月 1 日
electron 的 asar 也是可以随便解密的啊,这种用 js 引擎的,就算真的彻底加密,也可以直接一键 hook 读取脚本或者解析字节码的部分来强行 dump ,就算自研加密引擎,那也不过就多一层 vmp 壳而已,要破解(尤其是有 ai 辅助)也只是时间问题
cairnechen
4 月 1 日
Boris 说了是 developer error
cxd8190102
4 月 1 日
@cryptovae 哈哈哈搞错了,已经是今天了
luzemin
4 月 1 日
Oilybear
4 月 1 日
我就说,万一就是找个借口开源一下呢
iorilu
4 月 1 日
不明白, 为什么不用 rust 重写然后发布可执行文件就行了

有人一天就把 typescript 转成 rust 了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1202740

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX