Claude Code 源码泄露后，很多人开始尝试本地编译和安装。 
但一个容易被忽视的风险是：部分疑似内部依赖名已经被他人抢注，存在供应链投毒窗口。 
例如这两个近期注册的包： 
https://www.npmjs.com/package/modifiers-napi
https://www.npmjs.com/package/color-diff-napi

如果你正在复现相关源码，建议不要直接执行 npm install，先锁定依赖来源并逐项校验包的发布者、发布时间和内容，避免在安装阶段引入恶意依赖。 
 [image]