Vazamento do Código do Claude da Anthropic: Um Mergulho Profundo no Código-Fonte e Suas Implicações
O mundo digital muitas vezes opera com uma ilusão de controle, uma fachada cuidadosamente curada sobre sistemas complexos. Em 31 de março de 2026, essa fachada desmoronou brevemente para a Anthropic, uma das principais empresas de IA, quando todo o código-fonte de sua ferramenta de interface de linha de comando (CLI), Claude Code, tornou-se inadvertidamente público. Isso não foi um hack malicioso, mas sim uma simples falha, amplificada pela curiosidade natural dos desenvolvedores e pela interconectividade generalizada das plataformas online.
Resumo Rápido: Principais Conclusões do Vazamento do Código do Claude
O vazamento acidental do código-fonte do Claude Code da Anthropic revelou insights críticos e levantou questões importantes. Aqui está uma breve visão geral:
- O que aconteceu? Em 31 de março de 2026, o código-fonte da ferramenta CLI da Anthropic, Claude Code, foi acidentalmente tornado público através de um arquivo Source Map no registro npm. Esta é a terceira vez que a Anthropic comete este erro.
- Escopo do Vazamento: O vazamento compreendeu 1.906 arquivos TypeScript proprietários, totalizando mais de 512.000 linhas de código, oferecendo um projeto completo da ferramenta do lado do cliente.
- Resposta da Anthropic: A empresa removeu rapidamente o pacote npm problemático, confirmou o vazamento não intencional e declarou que nenhum dado sensível de cliente ou credenciais de login foram comprometidos. Eles atribuíram o ocorrido a um erro de empacotamento causado por falha humana.
- Descobertas Chave: O código revelou uma sofisticada arquitetura de "Memória Auto-curável" de três camadas, um modo autônomo de daemon "KAIROS" para operações em segundo plano e codinomes de modelos internos como "Capybara" (Claude 4.6) e "Fennec" (Opus 4.6).
- Recursos Controversos: Foi descoberto um "Modo Dissimulado", projetado para mascarar a origem da IA em contribuições para repositórios públicos de código aberto. Um sistema "Buddy", um animal de estimação de terminal semelhante a Tamagotchi, também foi encontrado.
- Implicações de Segurança: O vazamento aumenta o risco de atacantes criarem repositórios maliciosos. Um comprometimento concomitante do pacote `axios` npm também representou uma ameaça para usuários que atualizaram o Claude Code via npm durante uma janela específica.
- Recomendações: Recomenda-se aos usuários que mudem para o Instalador Nativo, verifiquem lockfiles em busca de versões maliciosas de `axios`, rotacionem chaves de API e adotem uma abordagem de confiança zero em ambientes desconhecidos.
Desvendando o Vazamento do Código do Claude da Anthropic
Em 31 de março de 2026, o código-fonte da ferramenta CLI da Anthropic, Claude Code, foi acidentalmente tornado público, um fato amplamente divulgado por publicações como The Register. O cerne do problema foi um arquivo Source Map, que foi inadvertidamente publicado no registro npm, conforme detalhado por The Decoder. A descoberta foi relatada publicamente pela primeira vez pelo especialista em segurança Chaofan Shou no X (anteriormente Twitter).

Fonte: usethebitcoin.com
O especialista em segurança Chaofan Shou relatou inicialmente a liberação pública acidental do código-fonte do Claude Code da Anthropic, trazendo o incidente à atenção pública.
Imediatamente após essa revelação, um snapshot completo da base de código surgiu em um repositório público do GitHub intitulado instructkr/claude-code, um fato verificado por dev.to. Este código espelhado era substancial, contendo aproximadamente 1.900 arquivos e totalizando mais de 512.000 linhas, de acordo com Heise.
O Claude Code foi projetado como uma ferramenta de linha de comando, permitindo que desenvolvedores interajam com os modelos de IA da Anthropic usando linguagem natural, conforme relatado por Silicon Republic. Ele auxilia em tarefas como edição de arquivos ou execução de comandos. Source Maps, tipicamente usados para depuração, ajudam a vincular código compactado aos seus arquivos de origem originais, como dev.to explica. Quando esses arquivos são incluídos acidentalmente em pacotes publicados, eles podem expor todo o código-fonte desminificado. Neste incidente específico, o arquivo Source Map JavaScript de 59,8 MB (.map) dentro da versão 2.1.88 do pacote `@anthropic-ai/claude-code` apontava diretamente para suas fontes TypeScript desminificadas, de acordo com dev.to. Acredita-se que uma configuração incorreta do pacote durante o processo de publicação npm seja a causa raiz dessa exposição.
A Anthropic respondeu rapidamente, removendo a versão problemática do pacote do registro npm e substituindo-a por uma versão limpa que não continha os Source Maps expostos. Um porta-voz da empresa confirmou o vazamento não intencional do código, tranquilizando o público que nenhum dado sensível do cliente ou credenciais de login foram comprometidos. A Anthropic caracterizou o incidente como um problema de empacotamento causado por erro humano, não uma vulnerabilidade de segurança, e declarou que medidas estavam sendo implementadas para evitar ocorrências semelhantes no futuro.
O que torna este vazamento particularmente notável é que esta é a terceira vez que a Anthropic comete o mesmo erro com Source Maps no registro npm, conforme relatado por The Register. Uma versão anterior do Claude Code enfrentou uma exposição semelhante em fevereiro de 2025; a Anthropic resolveu isso removendo a versão antiga e o Source Map. No entanto, o problema ressurgiu na versão 2.1.88 em 2026. A causa raiz técnica parece ser um bug documentado (oven-sh/bun#28001) no empacotador Bun, que gera Source Maps por padrão, a menos que sejam explicitamente desativados, levando a incidentes repetidos se não forem configurados corretamente.
Implicações e Descobertas Inesperadas no Código do Claude da Anthropic
O extenso código vazado, compreendendo 1.906 arquivos-fonte TypeScript proprietários, ofereceu uma janela sem precedentes para a arquitetura interna da Anthropic. Ele expôs detalhes intrincados sobre o design de sua API, sistemas de análise de telemetria, ferramentas de criptografia e protocolos de comunicação interprocessos. Embora os dados do usuário e os pesos dos modelos de IA tenham permanecido não expostos, essa nova transparência das operações internas da Anthropic fornece insights significativos para concorrentes e introduz novas considerações de segurança para os usuários.
Memória Auto-curável e Daemon KAIROS
Uma das revelações mais marcantes do vazamento é a sofisticada arquitetura de memória de três camadas da Anthropic, explicitamente projetada para lidar com "entropia de contexto". Ao contrário dos métodos tradicionais de recuperação "salvar tudo", o Claude Code emprega um sistema exclusivo de "Memória Auto-curável", conforme detalhado por dev.to. Este sistema depende do `MEMORY.md`, um índice leve de ponteiros (aproximadamente 150 caracteres por linha) que é carregado consistentemente no contexto do modelo. Crucialmente, este índice armazena locais de memória, não os dados reais. O conhecimento real do projeto é distribuído em "arquivos de tópicos", que são recuperados apenas quando necessários. Transcrições brutas nunca são completamente relidas; em vez disso, são "`grep`adas" para identificadores específicos. Uma "Disciplina de Escrita Estrita" garante que o agente atualize seu índice apenas após uma operação bem-sucedida de escrita de arquivo, evitando que o contexto do modelo seja poluído por tentativas falhas. O código confirma explicitamente que os agentes da Anthropic são instruídos a tratar sua própria memória meramente como uma "dica", exigindo verificação contra a base de código real antes de prosseguir com qualquer ação.
O vazamento também trouxe à tona o "KAIROS", um modo daemon autônomo mencionado mais de 150 vezes em todo o código-fonte, conforme detalhado por dev.to. O KAIROS opera como um agente de segundo plano constantemente ativo, gerenciando meticulosamente sessões em segundo plano e utilizando um processo chamado "autoDream". Enquanto o usuário está inativo, "autoDream" realiza a "consolidação de memória", um processo sofisticado que mescla observações díspares, resolve contradições lógicas e transforma insights vagos em fatos concretos. Esta manutenção em segundo plano garante que o contexto do agente permaneça limpo e altamente relevante para o retorno do usuário. Um subagente com fork lida com essas tarefas, impedindo criticamente que essas operações de manutenção de rotina corrompam o "raciocínio" do agente principal.
Roadmap Interno de Modelos
O código vazado também ofereceu um vislumbre do roadmap interno de modelos da Anthropic. "Capybara" foi revelado como o codinome interno para uma variante do Claude 4.6, enquanto "Fennec" está associado ao Opus 4.6. "Numbat" representa um modelo ainda em fase de testes. Comentários internos no código indicaram que a Anthropic já estava trabalhando no Capybara v8, que apresentou uma taxa significativa de 29-30% de alegações falsas — uma regressão da taxa de 16,7% observada na v4. Para contrabalançar isso, um recurso "Contrapeso de Assertividade" visa impedir que o modelo se torne excessivamente agressivo durante processos de refatoração, destacando os esforços da Anthropic para equilibrar desempenho com precisão.
Aqui está um rápido resumo dos codinomes de modelos revelados:
| Codinome | Modelo/Status Associado | Notas |
|---|---|---|
| Capybara | Variante do Claude 4.6 | Comentários internos indicam que a v8 tem uma taxa de falsas alegações de 29-30% (regressão de 16,7% na v4). |
| Fennec | Opus 4.6 | — |
| Numbat | Modelo em fase de testes | — |
| Tengu | Funcionalidade de Attestation | — |
Modo Dissimulado e Sistema Buddy
Um recurso eticamente questionável trazido à luz é o "Modo Dissimulado", como destacado por dev.to. Este modo sugere que a Anthropic usa o Claude Code para contribuições "dissimuladas" para repositórios públicos de código aberto. O prompt do sistema avisa explicitamente o modelo: "Você está operando SOB DISFARCE... Suas mensagens de commit... NÃO DEVEM conter nenhuma informação interna da Anthropic. Não se revele." Essa lógica garante que nenhum nome de modelo (como 'Tengu' ou 'Capybara') ou atribuições de IA apareçam nos logs públicos do Git, mascarando efetivamente a natureza automatizada das contribuições. Crucialmente, não há como um usuário desativar forçadamente esta função Dissimulada.
❝ Você está operando SOB DISFARCE... Suas mensagens de commit... NÃO DEVEM conter nenhuma informação interna da Anthropic. Não se revele. ❞

Fonte: red-gate.com
Um trecho de código adverte explicitamente o modelo sobre sua operação no "Modo Dissimulado", instruindo-o a evitar revelar qualquer informação interna da Anthropic em mensagens de commit públicas.
Além disso, o código expôs o sistema "Buddy", um animal de estimação de terminal semelhante a Tamagotchi com estatísticas como CHAOS e SNARK, projetado para aumentar o engajamento do usuário, também descoberto por dev.to. Os nomes das espécies são codificados para contornar revisões de código automatizadas, adicionando outra camada de obscuridade à sua funcionalidade interna.

Fonte: etsy.com
O sistema Buddy é um animal de estimação de terminal semelhante a Tamagotchi, apresentando estatísticas como CHAOS e SNARK, projetado para aumentar o engajamento do usuário com o Claude Code.
Riscos de Segurança e Recomendações para Usuários do Claude Code
O vazamento do código-fonte do Claude Code apresenta riscos de segurança elevados tanto para usuários individuais quanto para clientes corporativos. Com o projeto detalhado do funcionamento interno da ferramenta agora público, atacantes poderiam criar repositórios maliciosos projetados para enganar o Claude Code a executar comandos em segundo plano ou até mesmo exfiltrar dados. Agravando isso, um ataque separado na cadeia de suprimentos no pacote `axios` npm ocorreu concorrentemente, poucas horas antes do vazamento do Claude Code. Isso significa que se o Claude Code foi instalado ou atualizado via npm entre 00:21 e 03:29 UTC em 31 de março de 2026, uma versão maliciosa de `axios` (seja 1.14.1 ou 0.30.4) contendo um Cavalo de Troia de Acesso Remoto (RAT) pode ter sido instalada nos sistemas dos usuários.
Usuários afetados devem revisar imediatamente seus lockfiles de projeto (como `package-lock.json`, `yarn.lock` ou `bun.lockb`) quanto à presença dessas versões suspeitas de `axios` ou da dependência `plain-crypto-js`. Se alguma for encontrada, a máquina host deve ser considerada comprometida. Todos os segredos devem ser rotacionados e uma reinstalação limpa do sistema operacional deve ser realizada para garantir a remediação completa.
Melhores Práticas de Instalação
Daqui para frente, é altamente recomendável fazer a transição de instalações baseadas em npm para o Instalador Nativo para Claude Code, que pode ser acessado via `curl -fsSL https://claude.ai/install.sh | bash`. O Instalador Nativo usa um binário independente, tornando-o imune à volatilidade da cadeia de dependências npm. Ele também suporta atualizações automáticas em segundo plano, cruciais para receber patches de segurança (provavelmente versão 2.1.89 ou posterior). Se a manutenção da instalação npm for inevitável, os usuários devem desinstalar a versão 2.1.88 agora comprometida e fixar explicitamente sua instalação a uma versão segura verificada, como 2.1.86.
curl -fsSL https://claude.ai/install.sh | bash
Além disso, uma postura de confiança zero é recomendada ao usar o Claude Code em ambientes desconhecidos. Evite executar o agente dentro de repositórios recém-clonados ou não confiáveis até que o arquivo `.claude/config.json` e quaisquer hooks personalizados tenham sido manualmente revisados em busca de elementos suspeitos. As chaves de API da Anthropic devem ser rotacionadas frequentemente através do console do desenvolvedor, e os padrões de uso devem ser continuamente monitorados quanto a quaisquer anomalias, fornecendo uma camada adicional de segurança.
Perguntas Frequentes (FAQ)
O que exatamente foi vazado?
O vazamento compreendeu todo o código-fonte da ferramenta de interface de linha de comando (CLI) da Anthropic, Claude Code. Isso incluiu 1.906 arquivos TypeScript proprietários, totalizando mais de 512.000 linhas de código, cobrindo design de API interno, sistemas de telemetria, ferramentas de criptografia e protocolos de comunicação interprocessos.
Algum dado sensível do usuário ou modelos de IA foram comprometidos?
De acordo com a Anthropic, nenhum dado sensível do cliente, credenciais de login ou pesos principais de modelos de IA foram comprometidos neste incidente. O vazamento expôs principalmente a implementação do lado do cliente da ferramenta Claude Code.
Como ocorreu o vazamento?
O vazamento ocorreu devido a um arquivo Source Map publicado inadvertidamente dentro da versão 2.1.88 do pacote `@anthropic-ai/claude-code` no registro npm. Acredita-se que uma configuração incorreta do pacote durante o processo de publicação npm, possivelmente relacionada a um bug no empacotador Bun, seja a causa raiz. Esta é a terceira vez que a Anthropic comete este erro específico.
Quais são as descobertas mais significativas do código vazado?
Descobertas chave incluem uma sofisticada arquitetura de "Memória Auto-curável" de três camadas, um modo de daemon autônomo "KAIROS" para consolidação de memória em segundo plano, codinomes de modelos internos (por exemplo, "Capybara" para Claude 4.6) e um "Modo Dissimulado" projetado para mascarar a origem da IA em contribuições de código para repositórios públicos.
Quais são os riscos de segurança para os usuários?
A disponibilidade pública do código-fonte pode permitir que atacantes criem repositórios maliciosos que enganem o Claude Code a executar comandos ou exfiltrar dados. Além disso, um comprometimento concorrente do pacote `axios` npm significa que usuários que atualizaram o Claude Code via npm durante uma janela específica (31 de março de 2026, 00:21 às 03:29 UTC) podem ter instalado uma versão maliciosa de `axios` contendo um Cavalo de Troia de Acesso Remoto (RAT).
O que os usuários do Claude Code devem fazer para se protegerem?
Os usuários devem migrar de instalações baseadas em npm para o Instalador Nativo. Verifique imediatamente os lockfiles do projeto em busca de versões maliciosas de `axios` (1.14.1 ou 0.30.4) ou a dependência `plain-crypto-js`. Se encontradas, considere a máquina comprometida, rotacione todos os segredos e realize uma reinstalação limpa do sistema operacional. Adote uma abordagem de confiança zero, revise arquivos de configuração e rotacione frequentemente as chaves de API da Anthropic.
Conclusão
A exposição pública acidental do código-fonte do Claude Code da Anthropic destaca vividamente os desafios persistentes inerentes ao desenvolvimento e implantação de software, particularmente dentro do cenário de IA em rápida evolução. Embora a Anthropic afirme que nenhum dado sensível do usuário ou pesos cruciais de modelos de IA foram comprometidos, o vazamento fornece aos concorrentes um projeto excepcionalmente detalhado das operações internas do Claude Code, incluindo seu gerenciamento de memória sofisticado e fluxos de trabalho complexos de múltiplos agentes, conforme amplamente relatado por dev.to. Além de insights competitivos, também levanta preocupações críticas de segurança para os usuários finais, destacando a necessidade absoluta de vigilância e adesão às melhores práticas no gerenciamento de dependências de software. Este incidente serve como um lembrete severo de que mesmo um único erro, aparentemente menor, em um arquivo de configuração pode expor meses de trabalho proprietário e enviar ondulações significativas pela comunidade técnica.