Anthropic旗下Claude Code源代码通过npm源映射泄露

一名安全研究人员披露，Anthropic公司旗下命令行工具Claude Code的完整源代码库已通过Node Package Manager（npm）的源映射机制泄露。该文件列表可通过Cloudflare R2存储桶公开访问，包含全部目标文件，引发技术社区广泛关注。

架构亮点

Claude Code采用插件式工具架构，共包含约40个独立工具，涵盖文件读取、Bash执行、网络请求及LSP集成等功能，每个工具均受权限控制。基础工具定义代码量达29,000行TypeScript。

查询引擎模块规模最大，共计46,000行代码，负责处理所有大型语言模型（LLM）API调用、流式传输、缓存及任务编排。

系统支持多代理编排，可生成子代理（称为“swarms”）以并行处理复杂任务，每个代理运行于独立上下文并拥有特定工具权限。

IDE桥接系统实现VS Code、JetBrains等开发环境与CLI之间的双向通信，通过JWT认证机制实现“Claude在编辑器中”功能。

持久化内存系统采用文件目录存储用户、项目及偏好上下文，实现跨会话记忆功能。

关键技术决策

项目选择Bun作为JavaScript运行时，利用其死代码消除功能优化特性开关，并提升启动速度。

使用Ink（React终端库）构建CLI界面，使其具备组件化、状态管理能力，类似Web应用开发。

广泛采用Zod v4进行模式验证，涵盖所有工具输入、API响应及配置文件。

系统内置约50个斜杠命令（slash commands），包括/commit、/review-pr及内存管理等，功能丰富度媲美主流IDE。

为加速启动，OpenTelemetry和gRPC等重型依赖模块采用延迟加载机制。