*-cli & *code: 感谢 claude code 大哥开源，马上开始新版本自研* 前端工程中 .js.map 就是包含完整源代码 (甚至注释) 的项目映射，一般是用于 debug 的，而此次 Anthropic 发布 npm 包的时候直接不小心 (?) 把这个文件一起发出来了，属于是实习工都不会犯的问题想了一下，如果黑客拿这份源代码尝试恶意利用 (例如找 0day) 的话就非常恐怖了，在 vibe coding 盛行的浪潮下所有人都会暴露在阴影之中特别是今天还爆出了有人拿 claude 一句话找出 vim 0day RCE 的事... 要是 claude code 也因此爆出一车 1-click 甚至 0-click RCE 的话真的是完全不敢想更何况现在绝大部分人用 cc 等 vibe coding 工具的时候都是直接默认 accept all edit 甚至 --dangerously-skip-permissions 的？src:

*-cli & *code: 感谢 claude code 大哥开源

，马上开始新版本自研

* 前端工程中 .js.map 就是包含完整源代码 (甚至注释) 的项目映射，一般是用于 debug 的，而此次 Anthropic 发布 npm 包的时候直接不小心 (?) 把这个文件一起发出来了，属于是实习工都不会犯的问题

想了一下，如果黑客拿这份源代码尝试恶意利用 (例如找 0day) 的话就非常恐怖了，在 vibe coding 盛行的浪潮下所有人都会暴露在阴影之中

特别是今天还爆出了有人拿 claude 一句话找出 vim 0day RCE 的事... 要是 claude code 也因此爆出一车 1-click 甚至 0-click RCE 的话真的是完全不敢想

更何况现在绝大部分人用 cc 等 vibe coding 工具的时候都是直接默认 accept all edit 甚至 --dangerously-skip-permissions 的？

src: https://www.npmjs.com/package/@anthropic-ai/claude-code/v/2.1.88?activeTab=code