Claude Code izvorni kod procurio kroz sourcemap u npm paketu
Tekst opisuje kako je izvorni kod Claude Code alata postao dostupan kroz sourcemap fajl objavljen uz npm paket, čime su u javnost dospeli interni TypeScript fajlovi, promptovi, feature flagovi i delovi arhitekture. Autor objašnjava mehanizam curenja kroz sourcesContent polje u map fajlu i daje širok pregled internih funkcija, razvojnih pravaca i neobjavljenih mogućnosti koje je pronašao u tom kodu. Po tonu i strukturi, ovo je pre svega dubinski osvrt na već nastali incident, a ne klasična vest.
Neprijatni deo ove priče je što problem nije nastao probojem zaštite, već greškom u procesu objave paketa. Za timove koji objavljuju softver ovo je dobar podsetnik da build artefakti, sourcemap fajlovi i sadržaj paketa moraju da se proveravaju isto onoliko ozbiljno koliko se proverava sam kod.
- Proveriti da produkcioni npm paketi ne sadrže .map fajlove sa sourcesContent sadržajem
- Pregledati .npmignore, files polje i build pipeline pre svake objave
- Automatski skenirati finalni paket pre publish koraka, ne samo repozitorijum
- Odvojiti debug artefakte od produkcionih izdanja i zabraniti njihovo slučajno pakovanje
- Uvesti internu proveru objavljenog paketa kao poslednji korak release procesa