文章总结： 文章探讨了ClaudeCodeCLI工具因sourcemap文件泄露完整源代码的事件。作者通过逆向工程恢复了其源码，并深入分析了其安全限制机制，包括系统提示词控制、权限系统和工具级安全检查等多层防御策略。文中还展示了如何通过简单修改来移除提示词层面的安全边界，但指出其他安全机制依然有效。 综合评分： 85 文章分类： AI安全,代码审计,威胁情报,恶意软件,安全建设

ClaudeCode源码泄露，我解除了限制

原创

Taoing Taoing

Ms08067安全实验室

2026年3月31日 23:23 山东

一、前言

2026年3月31日，发现Anthropic的Claude Code CLI工具通过source map文件暴露了完整源代码。这一发现迅速引发技术社区关注。

本次泄露的核心价值不在于代码本身,Claude Code作为客户端工具，其大部分逻辑本就可通过反编译获取,而在于它完整暴露了Anthropic的安全控制架构、提示词工程策略以及权限边界设计。对于安全研究人员而言，这是一份难得一见的商业级AI Agent安全实现参考样本。

二、源码恢复工程的技术路径

泄露的源码并非原始开发仓库，而是基于已发布包中的cli.js与cli.js.map进行反推恢复。这种恢复方式在技术上具有以下特点：

2.1 恢复方法

ounter(line原始产物 → Source Map解析 → TypeScript源码重构 → 工程化还原

• 构建工具：esbuild重新打包，替代官方原始构建链
• 运行时环境：Bun（非Node.js）
• UI框架：React + Ink（终端渲染框架）
• 架构模式：模块化工具架构，支持懒加载与动态发现

2.2 工程结构

恢复后的代码库呈现典型的分层架构：

| 层级 | 核心模块 | 功能定位 | | — | — | — | | 入口层 | src/entrypoints/ , src/bootstrap/ | 启动分流、全局状态初始化 | | 交互层 | src/components/ , src/ink/, src/screens/ | 终端UI渲染、事件处理 | | 业务层 | src/services/ , src/tools/, src/tasks/ | API调用、工具实现、任务执行 | | 基础设施 | src/utils/ , src/constants/, src/state/ | 配置管理、权限控制、状态容器 |

三、安全限制机制解构

3.1 提示词级安全边界

泄露代码中最受关注的安全控制点位于src/constants/cyberRiskInstruction.ts。该文件定义了一个系统级指令常量，被注入到所有对话模式的系统提示词中。

原始指令内容（泄露版本）：

ounter(lineexport const CYBER_RISK_INSTRUCTION = `IMPORTANT: Assist with authorized security testing, defensive security, CTF challenges, and educational contexts. Refuse requests for destructive techniques, DoS attacks, mass targeting, supply chain compromise, or detection evasion for malicious purposes. Dual-use security tools (C2 frameworks, credential testing, exploit development) require clear authorization context: pentesting engagements, CTF competitions, security research, or defensive use cases.`

该指令在src/constants/prompts.ts中被注入到两个关键位置：

• 普通模式：getSimpleIntroSection()函数（第182行）
• 自主代理模式：Proactive模块的系统提示词模板（第474行）

3.2 安全策略的层级设计

Claude Code的安全架构并非单一依赖提示词控制，而是采用多层防御：

┌─────────────────────────────────────────────────────────────┐│  Layer 1: 系统提示词控制 (System Prompt)                      ││  - CYBER_RISK_INSTRUCTION (网络安全限制)                      ││  - URL生成限制、提示词注入检测、OWASP防护                        │├─────────────────────────────────────────────────────────────┤│  Layer 2: 权限系统 (Permission System)                        ││  - 危险命令模式匹配                                           ││  - 权限检查流程                                               ││  - 自动模式分类器 (yoloClassifier)                            │├─────────────────────────────────────────────────────────────┤│  Layer 3: 工具级安全检查 (Tool-Level Security)                ││  - PowerShell AST安全分析                                     ││  - Bash破坏性命令警告                                         ││  - 沙箱文件系统隔离                                           │├─────────────────────────────────────────────────────────────┤│  Layer 4: 输入清理 (Input Sanitization)                       ││  - Unicode隐藏字符攻击防护                                     │└─────────────────────────────────────────────────────────────┘

3.3 权限系统的实现细节

权限控制核心位于src/utils/permissions/目录：

| 模块 | 功能 | | — | — | | dangerousPatterns.ts | 定义危险命令的正则匹配模式 | | permissions.ts | 权限检查主流程 | | yoloClassifier.ts | 自动模式ML分类器 |

权限级别枚举：

ounter(lineounter(lineounter(lineounter(lineounter(lineounter(lineenum PermissionLevel {  ALWAYS_ALLOW = "always_allow",  // 持久化授权  ALLOW_ONCE = "allow_once",      // 单次授权  DENY = "deny",                  // 拒绝  ASK = "ask"                     // 需要用户确认（默认）}

四、安全限制移除的技术分析

GitHub仓库Ta0ing/claude-code_evil展示了如何通过最小化修改绕过提示词级安全控制。

项目地址：https://github.com/Ta0ing/claude-code_evil

4.1 修改点

文件：src/constants/cyberRiskInstruction.ts

修改前：

ounter(lineexport const CYBER_RISK_INSTRUCTION = `IMPORTANT: Assist with authorized security testing...`

修改后：

ounter(lineexport const CYBER_RISK_INSTRUCTION = ``

4.2 移除限制

修改仅移除了提示词层面的安全边界，其他安全机制仍然生效：

| 安全机制 | 状态 | 说明 | | — | — | — | | URL生成限制 | ✅ 生效 | prompts.ts 第183行 | | 提示词注入检测 | ✅ 生效 | prompts.ts 第191行 | | OWASP安全漏洞防护 | ✅ 生效 | prompts.ts 第234行 | | 敏感操作确认 | ✅ 生效 | prompts.ts 第255-266行 | | 危险命令模式匹配 | ✅ 生效 | dangerousPatterns.ts | | Bash/PowerShell安全分析 | ✅ 生效 | 工具级检查 | | 沙箱隔离 | ✅ 生效 | sandbox-adapter.ts |

扫码进入AI交流群

—  关于我们  —

镇江刺掌信息科技有限公司成立于2020年，公司旗下MS08067安全实验室，专注于网络安全领域教育、培训、认证产品及服务提供商。近两年，线上培训人数近10万人次，培养网络安全人才近6000名。

公司被认定为国家高新技术企业、国家科技型中小企业、江苏省创新性中小企业、江苏省民营科技企业、江苏省软件企业。并荣获机械工业出版社“年度最佳合作伙伴”、电子工业出版社-博文视点“优秀合作伙伴”、镇江市企业发展服务中心优质合作伙伴、镇江市网络安全应急支撑服务单位等荣誉称号。

![](https://mmbiz.qpic.cn/mmbiz_png/ddqrZtAEBOj4xTcIKUfImvRJW3QEEJCaNqRTwr9WEqXjnoaQ54wf9BbUE3HqNN7PIOxTDRNRb3e6bsJlSZP6Yw/640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp#imgIndex=3)

![](https://mmbiz.qpic.cn/mmbiz_png/bL2iaicTYdZn55VMON4QdPLRem0HgglfDI6V20Pn5QiaW92aZBNoCAUbs5wzNqGSgnyBseeDYpF3UXjjIl1qwzvyg/640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp#imgIndex=4)

如果喜欢我们

![](https://mmbiz.qpic.cn/mmbiz_png/bL2iaicTYdZn55VMON4QdPLRem0HgglfDI6V20Pn5QiaW92aZBNoCAUbs5wzNqGSgnyBseeDYpF3UXjjIl1qwzvyg/640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp#imgIndex=5)

欢迎 在看丨留言丨分享至朋友圈 三连

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ms08067安全实验室 Taoing Taoing《ClaudeCode源码泄露，我解除了限制》