Stateward aurait-il attrapé la fuite du code source de Claude Code ?
Ce qui s’est passé
Une règle .npmignore manquante a livré une source map d’environ 59,8 Mo — quelque 512 000 lignes de TypeScript non obfusqué réparties sur ~1 900 fichiers — dans un paquet npm publié. Un bug du bundler continuait d’émettre des maps même désactivé, et rien ne les supprimait avant la publication.
Stateward l’aurait-il vu ? Oui.
Oui. Le détecteur d’exposition de source maps de Stateward signale exactement cela dans la pull request : un artefact *.map commité et une config de build qui émet des maps de production. La map aurait été détectée en CWE-540 avant même la publication du paquet — le drapeau de désactivation auquel on ne peut pas se fier est remplacé par une vérification de l’artefact réel.
Le détecteur de source maps de Stateward le signale dans la pull request, avant toute livraison : un artefact *.map commité, un //# sourceMappingURL= résiduel dans un bundle livré, et les configs de build qui émettent des maps de production sur Vite, webpack, Next.js, Create React App, Vue et Rollup. Il ignore les maps désactivées et les fichiers .d.ts.map, pour ne pas crier au loup.
Conçu pour mériter votre confiance
Lecture seule & éphémère
Stateward commente, sans jamais pousser, fusionner ou stocker vos clés.
Hébergement souverain UE
Code et données restent hébergés en UE via Citadea — pensé pour NIS2, DORA et le CRA.
Conscient de tout le code
Raisonne sur le graphe d’appels et les frontières de confiance, pas seulement le diff.
Stateward est en bêta et recrute des partenaires de conception. Conçu par Yggdrasil Digital.