Anthropic Claude Code npm 发布导致源码泄漏，暴露情绪检测机制

事件概述

Anthropic 公司推出的 AI 编程工具 Claude Code 在将其发布到 npm 包管理器时发生安全疏忽。由于构建过程中生成的映射文件（source map）未进行混淆处理，导致工具的未混淆源代码被直接暴露。这些源代码随后被第三方提取，并上传至 GitHub 等公开代码托管平台。

核心信息

• 泄漏来源：npm 发布的构建产物中包含未混淆的映射文件。
• 关键发现：通过解析泄漏的源码，研究人员发现 Claude Code 在处理用户输入时，采用了一种特定的优化策略。
• 技术细节：
  • 工具使用 正则表达式（Regular Expressions）来检测用户提示词中是否包含负面情绪。
  • 相比调用大型语言模型（LLM）进行检测，该方法具有显著优势：
    • 速度更快：正则匹配计算开销极小。
    • 成本更低：大幅减少了 API 调用次数，从而节省算力资源。
• 涉及文件：泄漏代码中包含如 src/utils/userPromptKeywords.ts 等具体实现文件。

值得关注

此次事件揭示了开源或半开源工具在发布流程中的潜在风险，特别是构建产物中敏感元数据（如 source maps）的处理不当可能导致核心逻辑甚至商业策略的泄露。目前相关代码已在多个公共仓库可见。