Nouvelles de la Gate News, le 31 mars, le stagiaire chercheur en sécurité blockchain Chaofan Shou de la société Fuzzland a indiqué sur X que le package npm de l’outil de programmation IA Claude Code de l’entreprise Anthropic contient un fichier de source map complet (cli.js.map, environ 60 Mo), à partir duquel il est possible de reconstituer l’intégralité du code source TypeScript. Après vérification, la dernière version publiée aujourd’hui, la v2.1.88, contient encore ce fichier : il renferme le code complet des 1 906 fichiers de source appartenant à Claude Code, incluant des détails d’implémentation tels que la conception des API internes, le système de télémétrie d’analyse, les outils de chiffrement, les protocoles de communication interprocessus, etc. Une source map est un fichier de débogage utilisé en développement JavaScript pour faire correspondre le code compressé au code source original ; elle ne devrait pas apparaître dans les paquets de déploiement en production. En février 2025, une version précoce de Claude Code a déjà été exposée pour le même problème : à l’époque, Anthropic avait retiré l’ancienne version de npm et supprimé la source map, mais ce problème est ensuite réapparu. Sur GitHub, plusieurs dépôts publics ont déjà extrait et organisé les codes sources reconstitués ; parmi eux, le dépôt ghuntley/claude-code-source-code-deobfuscation a obtenu près de mille étoiles. La fuite concerne le code côté client de l’outil CLI de Claude Code : elle ne porte pas sur les poids du modèle ni sur les données des utilisateurs, et ne présente donc pas de risque de sécurité direct pour les utilisateurs ordinaires. Toutefois, la exposition continue du code source complet signifie que l’architecture interne, les mécanismes de sécurité et la logique de télémétrie sont entièrement transparents pour le public.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Un homme de Californie, Marlon Ferro, reconnu coupable de vol de portefeuilles froids d’une valeur de 250 millions de dollars, condamné à 78 mois
Selon une déclaration officielle publiée le 7 mai par le ministère américain de la Justice (DOJ), un homme californien de 20 ans, Marlon Ferro, a été condamné par un tribunal fédéral à 78 mois de prison pour sa participation à une affaire nationale de fraude par ingénierie sociale liée aux crypto-actifs. Il a également écopé de 3 ans de mise sous contrôle et de 2,5 millions de dollars de dédommagement. D’après la déclaration du ministère, le groupe criminel a volé pour plus de 250 millions de dollars d’actifs cryptographiques à plusieurs victimes.
MarketWhisperIl y a 51m
Le teneur de marché TrustedVolumes, de 1inch, a été attaqué, avec des pertes atteignant 5,87 millions de dollars
La société de sécurité blockchain Blockaid a révélé sur X, le 6 mai, à 5 h (heure de l’Est des États-Unis), que l’agrégateur d’échanges décentralisés 1inch fait l’objet d’attaques continues visant ses fournisseurs de liquidité et market makers, TrustedVolumes. Au moment de la publication du communiqué de Blockaid, les pertes s’élèvent déjà à environ 5,87 millions de dollars.
MarketWhisperIl y a 1h
Liquidation des positions des attaquants de Kelp DAO sur Aave, le vote sur Arbitrum approuve le déblocage de rsETH
Selon l’annonce d’Aave du 7 mai, le vote d’Arbitrum DAO visant à déverrouiller les ETH liés à l’incident rsETH du 18 avril a atteint le quorum. Plus de 1 600 adresses ont participé, avec un soutien unanime de la communauté. Le même jour, Aave, conformément aux procédures de gouvernance établies, a finalisé la liquidation des positions rsETH restantes du/ des attaquant(s) de Kelp DAO sur le protocole Aave.
MarketWhisperIl y a 1h
Les fournisseurs de liquidité de 1inch TrustedVolumes visés par une attaque sur Ethereum, 5,87 millions de dollars volés
D'après Blockaid, le market maker et résolveur 1inch TrustedVolumes fait l'objet d'une attaque sur Ethereum au 7 mai. La vulnérabilité a été détectée dans le système de surveillance de sécurité de Blockaid, au sein d'un contrat de négociation RFQ personnalisé contrôlé par TrustedVolumes. Les attaquants ont extrait
GateNewsIl y a 2h
Alerte du projet Eleven : 6,9 millions de BTC exposés à une menace quantique, le Q-Day au plus tôt en 2030
Dans le domaine de la sécurité post-quantique, la startup Project Eleven a publié un rapport le 6 mai, avertissant que le point critique (Q-Day) de rupture des technologies cryptographiques modernes par les ordinateurs quantiques pourrait arriver dès 2030, avec une probabilité supérieure à 50% pour 2033. Le rapport estime aussi qu’environ 6,9 millions de bitcoins font face à un risque potentiel d’attaques quantiques dans certaines conditions, et appelle l’écosystème des cryptomonnaies à accélérer la transition vers des solutions résistantes aux attaques quantiques.
MarketWhisperIl y a 3h
Le projet Eleven avertit que le « Q-Day » pourrait arriver dès 2030
Le projet Eleven a publié, mercredi, un rapport proposant que le point d’inflexion des ordinateurs quantiques capables de casser le chiffrement moderne, souvent appelé « Q-Day », pourrait survenir dès 2030, avec une percée décrite comme « plus probable que non » d’ici 2033. La startup, axée sur la sécurisation post-quantique
CryptoFrontierIl y a 4h
