Claude Code código fonte vazado: o efeito borboleta desencadeado por um arquivo .map

Artigo: Claude

I. Génese

Na madrugada de 31 de março de 2026, um tweet numa comunidade de programadores causou enorme agitação.

Chaofan Shou, um estagiário de uma empresa de segurança em blockchain, descobriu que um pacote npm oficial da Anthropic vinha acompanhado por um ficheiro source map, expondo o código-fonte completo do Claude Code ao público. De imediato, ele publicou esta descoberta no X, anexando também uma ligação direta para descarregar.

Este post explodiu na comunidade de programadores como um sinalizador. Em poucas horas, mais de 512 mil linhas de código TypeScript foram espelhadas para o GitHub e, com milhares de programadores, foi feita análise em tempo real.

Esta é a segunda grande ocorrência de fuga de informação da Anthropic em menos de uma semana.

Cinco dias antes (a 26 de março), um erro de configuração num CMS da Anthropic fez com que cerca de 3000 ficheiros internos ficassem públicos, incluindo rascunhos de publicações de blogue prestes a ser lançadas para o modelo “Claude Mythos”.

II. Como é que a fuga aconteceu?

A causa técnica por trás deste incidente é digna de riso—o motivo de base foi, simplesmente, um ficheiro source map (.map) incluído de forma errada no pacote npm.

A função destes ficheiros é mapear o código de produção compactado e ofuscado de volta para o código-fonte original, para facilitar a localização dos números de linha dos erros aquando da depuração. E, neste ficheiro .map, existe uma ligação que aponta para um pacote zip dentro do próprio armazenamento Cloudflare R2 da Anthropic.

Shou e outros programadores descarregaram diretamente este pacote zip, sem quaisquer técnicas de hacking. O ficheiro estava lá, completamente aberto.

A versão envolvida foi a do @anthropic-ai/claude-code v2.1.88, que inclui um ficheiro de JavaScript source map com 59,8MB.

Na sua resposta a declarações feitas pelo The Register, a Anthropic reconheceu: “Uma versão anterior do Claude Code também sofreu uma fuga semelhante do código-fonte em fevereiro de 2025.” Isto significa que o mesmo erro ocorreu duas vezes em 13 meses.

Ironia das ironias: o código do Claude Code possui um sistema chamado “Undercover Mode (modo infiltrado)” concebido especificamente para impedir que os códigos internos da Anthropic vazem acidentalmente para os registos de commits no git… e depois engenheiros empacotaram todo o código-fonte dentro de um ficheiro .map.

Outro possível motor do incidente pode ser a própria toolchain: a Anthropic adquiriu o Bun no fim do ano, e o Claude Code foi construído precisamente com base no Bun. A 11 de março de 2026, alguém enviou um relatório de bug no sistema de tracking de issues do Bun (#28001), apontando que o Bun, em modo de produção, ainda gera e produz source map, contrariando a afirmação nos documentos oficiais. Este issue continua aberto até hoje.

Quanto a isso, a resposta oficial da Anthropic foi curta e comedida: “Nenhum dado do utilizador ou credencial esteve envolvido ou foi exposto. Isto foi um erro humano durante o processo de empacotamento para publicação, não uma vulnerabilidade de segurança. Estamos a avançar com medidas para evitar que incidentes deste tipo voltem a acontecer.”

III. O que foi vazado?

Dimensão do código

O conteúdo desta fuga abrange cerca de 1900 ficheiros e mais de 500 mil linhas de código. Isto não são pesos do modelo, mas sim a implementação de engenharia de todo o “nível de software” do Claude Code — incluindo o framework para chamadas de ferramentas, orquestração de múltiplos agentes, sistema de permissões, sistema de memória, e outras arquiteturas centrais.

Plano de funcionalidades não publicadas

Esta é a parte com maior valor estratégico desta fuga.

Processo autónomo de guarda KAIROS: este código de funcionalidade mencionado mais de 150 vezes vem do grego antigo por “o momento oportuno”, representando uma mudança fundamental do Claude Code para um “Agent em execução em segundo plano permanente”. A KAIROS inclui um processo chamado autoDream que, quando o utilizador está em inatividade, executa uma “integração de memória” — combinando observações fragmentadas, eliminando contradições lógicas e convertendo perceções vagas em factos determinísticos. Quando o utilizador volta, o contexto do Agent já está limpo e altamente relevante.

Códigos internos do modelo e dados de desempenho: o conteúdo vazado confirma que Capybara é um código interno de uma variante do Claude 4.6; Fennec corresponde a Opus 4.6; e o ainda não lançado Numbat continua em testes. Comentários no código também expõem que existe uma taxa de 29-30% de falsas afirmações em Capybara v8, o que representa uma piora face aos 16,7% de v4.

Mecanismo de anti-destilação (Anti-Distillation): existe no código um sinalizador de funcionalidade chamado ANTI_DISTILLATION_CC. Quando ativado, o Claude Code injeta definições falsas de ferramentas nas requisições à API, com o objetivo de poluir os dados de tráfego da API que os concorrentes possam usar para recolha de dados de treino do modelo.

Lista de funcionalidades beta da API: o ficheiro constants/betas.ts revela todas as funcionalidades beta de negociação de API do Claude Code, incluindo uma janela de contexto de 1 milhão de tokens (context-1m-2025-08-07), modo AFK (afk-mode-2026-01-31), gestão de orçamento de tarefas (task-budgets-2026-03-13) e uma série de outras capacidades ainda não divulgadas.

Sistema de parceiros virtuais ao estilo Pokémon incorporado: o código esconde até um sistema completo de parceiros virtuais (Buddy), incluindo raridade das espécies, variantes brilhantes, atributos gerados de forma programática e uma “descrição da alma” escrita por Claude aquando da primeira incubação. As categorias de parceiros são decididas por um gerador de números pseudoaleatórios determinístico com base no hash do ID do utilizador; o mesmo utilizador recebe sempre o mesmo parceiro.

IV. Ataques de cadeia de fornecimento em paralelo

Este incidente não ocorreu isoladamente. Na mesma janela temporal em que o código-fonte foi vazado, o pacote axios na npm sofreu um ataque independente à cadeia de fornecimento.

Entre 00:21 e 03:29 UTC de 31 de março de 2026, se alguém instalasse ou atualizasse o Claude Code via npm, poderia sem querer introduzir uma versão maliciosa contendo um trojan de acesso remoto (RAT) (axios 1.14.1 ou 0.30.4).

A Anthropic recomendou que os programadores afetados considerassem o host totalmente comprometido, rodassem (rodar/alternar) todas as chaves e reinstalassem o sistema operativo.

A sobreposição temporal destes dois casos torna a situação ainda mais confusa e perigosa.

V. Impacto na indústria

Danos diretos à Anthropic

Para uma empresa com receitas anuais na ordem dos 19 mil milhões de dólares e em fase de crescimento acelerado, esta fuga não é apenas uma falha de segurança—é uma drenagem de propriedade intelectual estratégica.

Pelo menos parte das capacidades do Claude Code não provém do modelo de grandes linguagens em si, mas sim do “framework” de software construído à volta do modelo—ele orienta como o modelo usa ferramentas e fornece vedações importantes e instruções para normalizar o comportamento do modelo.

Essas vedações e instruções estão agora perfeitamente visíveis para os concorrentes.

Alerta para o ecossistema completo de ferramentas de AI Agent

Esta fuga não vai derrubar a Anthropic, mas fornece aos concorrentes uma lição de engenharia gratuita—como construir agentes de programação de IA a nível de produção e quais direções de ferramentas valem a pena para investimento prioritário.

O verdadeiro valor do conteúdo vazado não está no código em si, mas no roteiro do produto revelado por sinalizadores de funcionalidade. KAIROS, mecanismos de anti-destilação—estes são detalhes estratégicos que os concorrentes agora conseguem antecipar e reagir de imediato. O código pode ser reestruturado, mas uma surpresa estratégica, uma vez revelada, não pode ser recuperada.

VI. Revelações profundas para a programação de Agents

Esta fuga é como um espelho, refletindo alguns dos principais enunciados da engenharia atual de AI Agent:

1. Os limites de capacidade de um Agent são, em grande medida, determinados pela “camada de framework”, e não pelo próprio modelo

A exposição de 500 mil linhas de código do Claude Code revela um facto relevante para toda a indústria: o mesmo modelo de base, quando acompanhado por diferentes frameworks de orquestração de ferramentas, mecanismos de gestão de memória e sistemas de permissões, gera capacidades de Agent completamente distintas. Isto significa que “quem tem o modelo mais forte” já não é a única dimensão de concorrência—“quem tem o framework de engenharia mais refinado” é igualmente crucial.

2. A autonomia de longo alcance é o próximo campo de batalha central

A existência do processo de guarda KAIROS indica que a próxima etapa da concorrência na indústria se irá concentrar em “fazer com que o Agent continue a trabalhar de forma eficaz sem supervisão humana”. Integração de memória em segundo plano, migração de conhecimento entre sessões, raciocínio autónomo em momentos de inatividade—uma vez que estas capacidades amadureçam, vão transformar completamente o modelo base de colaboração entre Agent e humanos.

3. Anti-destilação e proteção de propriedade intelectual tornar-se-ão um novo tema central na engenharia de IA

A Anthropic implementou mecanismos de anti-destilação no nível do código, o que antecipa que uma nova área de engenharia está a tomar forma: como impedir que os próprios sistemas de IA sejam usados por concorrentes para recolha de dados de treino. Isto não é apenas um problema técnico; irá evoluir para um novo campo de batalha de natureza jurídica e comercial.

4. A segurança da cadeia de fornecimento é o calcanhar de Aquiles das ferramentas de IA

Quando as ferramentas de programação de IA, por si, são distribuídas através de gestores públicos de pacotes de software como o npm, elas ficam expostas ao risco de ataques à cadeia de fornecimento como qualquer outro software open source. E a particularidade das ferramentas de IA é que, depois de serem inseridas com backdoor, o atacante não obtém apenas permissões de execução de código—obtém uma infiltração profunda em todo o fluxo de desenvolvimento.

5. Quanto mais complexos os sistemas, mais necessária é a automatização de guardas de publicação

“Um .npmignore com um erro de configuração, ou o campo files num package.json, pode expor tudo.” Para qualquer equipa a construir produtos de AI Agent, esta lição não exige um custo tão elevado para ser aprendida—a introdução de uma validação automatizada do conteúdo publicado na pipeline de CI/CD deve tornar-se prática padrão, e não apenas uma medida de remediação após o “remediar a tempo” falhar.

Epílogo

Hoje é 1 de abril de 2026, dia das mentiras. Mas isto não é uma brincadeira.

A Anthropic cometeu o mesmo erro duas vezes em treze meses. O código-fonte já foi espelhado para o mundo inteiro, e os pedidos de remoção do DMCA não conseguem acompanhar a velocidade dos forks. Agora, o roteiro do produto que deveria estar escondido na rede interna é referência para toda a gente.

Para a Anthropic, isto foi uma lição dolorosa.

Para a indústria inteira, foi um momento inesperado de transparência—permitam-nos ver como, afinal, os mais avançados Agents de programação de IA da atualidade são construídos, linha a linha.