Claude Code código fonte vazado: o efeito borboleta desencadeado por um arquivo .map

Redigido por: Claude

I. Origem

Na madrugada de 31 de março de 2026, um tweet numa comunidade de programadores provocou uma grande agitação.

Chaofan Shou, um estagiário de uma empresa de segurança para blockchain, descobriu que o pacote npm oficial da Anthropic vinha acompanhado de um ficheiro source map, expondo publicamente todo o código-fonte do Claude Code. De imediato, publicou essa descoberta no X, anexando também uma ligação direta para transferência.

A publicação explodiu na comunidade de programadores como um sinalizador. Em poucas horas, mais de 512k linhas de código TypeScript foram espelhadas para o GitHub e analisadas em tempo real por milhares de programadores.

Este é o segundo grande incidente de vazamento de informação ocorrido na Anthropic em menos de uma semana.

Apenas cinco dias antes (26 de março), um erro de configuração num CMS da Anthropic levou à exposição de cerca de 3.000 ficheiros internos, incluindo rascunhos de posts de blog para o modelo “Claude Mythos”, prestes a ser lançado.

II. Como é que o vazamento aconteceu?

A causa técnica deste incidente é tão absurda que chega a ser ridícula—a causa raiz é que o pacote npm incluía por engano um ficheiro source map (.map).

Este tipo de ficheiro serve para mapear o código de produção comprimido e ofuscado de volta para o código-fonte original, facilitando a localização de números de linhas de erro durante a depuração. E neste ficheiro .map, existe uma ligação para um pacote .zip no armazenamento Cloudflare R2 da própria Anthropic.

Shou e outros programadores transferiram diretamente esse pacote .zip, sem qualquer tipo de artifício de hacker. O ficheiro estava lá, completamente público.

A versão envolvida foi a v2.1.88 do @anthropic-ai/claude-code, acompanhada por um ficheiro source map em JavaScript com 59,8MB.

Na resposta a uma declaração do The Register, a Anthropic reconheceu: “Uma versão mais antiga do Claude Code teve também, em fevereiro de 2025, um vazamento semelhante do código-fonte.” Isto significa que o mesmo erro ocorreu duas vezes em 13 meses.

O mais irónico é que o Claude Code tem um sistema interno chamado “Undercover Mode (modo encoberto)”, concebido para impedir que códigos internos da Anthropic sejam, por acidente, revelados em registos de submissão no git… e depois os engenheiros empacotaram todo o código-fonte dentro de um ficheiro .map.

Outro impulso para o acidente pode ter sido a própria cadeia de ferramentas: no final do ano, a Anthropic adquiriu a Bun, e o Claude Code é construído com base na Bun. Em 11 de março de 2026, alguém submeteu um relatório de bug no sistema de acompanhamento de issues da Bun (#28001), apontando que a Bun em modo de produção continua a gerar e a emitir source maps, em contradição com o que diz a documentação oficial. Esta issue permanece aberta até hoje.

Quanto a isto, a resposta oficial da Anthropic foi breve e contida: “Não há dados nem credenciais de utilizadores envolvidos ou divulgados. Foi um erro humano num processo de empacotamento de lançamento, não uma vulnerabilidade de segurança. Estamos a avançar com medidas para evitar que este tipo de incidente volte a acontecer.”

III. O que foi vazado?

Escala do código

O conteúdo envolvido neste vazamento abrange cerca de 1.900 ficheiros e mais de 500k linhas de código. Não são pesos do modelo, mas sim a implementação da totalidade da “camada de software” do Claude Code — incluindo a estrutura de chamadas de ferramentas, a orquestração multiagente, o sistema de permissões, o sistema de memória e outras arquiteturas nucleares.

Roteiro de funcionalidades não publicadas

Esta é a parte de maior valor estratégico do vazamento.

Processo autónomo de guarda KAIROS: este código-nome de funcionalidade, mencionado mais de 150 vezes, vem do grego antigo “o momento oportuno”, representando uma mudança fundamental do Claude Code para um “Agent residente em segundo plano”. O KAIROS inclui um processo chamado autoDream, que executa “integração de memória” quando o utilizador está inactivo — combinando observações fragmentadas, eliminando contradições lógicas e convertendo perceções vagas em factos determinísticos. Quando o utilizador regressa, o contexto do Agent já está limpo e altamente relevante.

Códigos internos do modelo e dados de desempenho: o conteúdo vazado confirma que Capybara é o código interno de uma variante do Claude 4.6, Fennec corresponde ao Opus 4.6, e o ainda não lançado Numbat continua em testes. Comentários no código revelam ainda que o Capybara v8 tem uma taxa de 29-30% de falsidades, ligeiramente abaixo do v4 com 16,7%.

Mecanismo de anti-destilação (Anti-Distillation): o código contém um sinalizador de funcionalidade chamado ANTI_DISTILLATION_CC. Quando ativado, o Claude Code injeta definições falsas de ferramentas nas requisições de API, com o objetivo de contaminar os dados de tráfego da API que os concorrentes possam vir a usar para treino de modelos.

Lista de funcionalidades beta da API: o ficheiro constants/betas.ts revela todas as funcionalidades beta em que o Claude Code e a API negociam, incluindo uma janela de contexto de 1M token (context-1m-2025-08-07), o modo AFK (afk-mode-2026-01-31), gestão de orçamento de tarefas (task-budgets-2026-03-13) e uma série de outras capacidades ainda não divulgadas.

Sistema embutido tipo Pokémon de parceiros virtuais: o código esconde ainda um sistema completo de parceiros virtuais (Buddy), incluindo raridade das espécies, variantes brilhantes, atributos gerados de forma processual e uma “descrição da alma” escrita pelo Claude na primeira incubação. As categorias de parceiros são determinadas por um gerador de números pseudo-aleatórios determinístico baseado no hash do ID do utilizador; o mesmo utilizador obtém sempre o mesmo parceiro.

IV. Ataques de cadeia de abastecimento em paralelo

Este incidente não ocorreu isoladamente. Na mesma janela temporal do vazamento do código-fonte, o pacote axios no npm sofreu um ataque independente à cadeia de abastecimento.

Entre 31 de março de 2026 00:21 e 03:29 UTC, se instalasse ou atualizasse o Claude Code via npm, poderia sem querer introduzir uma versão maliciosa contendo um trojan de acesso remoto (RAT) (axios 1.14.1 ou 0.30.4).

A Anthropic aconselhou os programadores afetados a tratarem os anfitriões como totalmente comprometidos, a fazerem a rotação de todas as chaves e a reinstalarem o sistema operativo.

A sobreposição temporal destas duas ocorrências tornou o cenário ainda mais caótico e perigoso.

V. Impacto na indústria

Danos diretos para a Anthropic

Para uma empresa com uma receita anualizada de 19.000 milhões de dólares e em fase de crescimento acelerado, este vazamento não é apenas uma falha de segurança—é também uma perda de propriedade intelectual estratégica.

Pelo menos uma parte das capacidades do Claude Code não provém do modelo de grande linguagem subjacente em si, mas sim do “framework” de software construído em torno do modelo — este orienta como o modelo utiliza ferramentas e fornece vedações importantes e instruções para normalizar o comportamento do modelo.

Essas vedações e instruções são agora perfeitamente visíveis para os concorrentes.

Aviso para o ecossistema completo de ferramentas de AI Agent

Este vazamento não vai derrubar a Anthropic, mas fornece a todos os concorrentes um manual de engenharia gratuito—como construir Agents de programação de IA ao nível de produção e quais as direções de ferramentas que valem a pena receber um investimento prioritário.

O valor real do que foi vazado não está no código em si, mas sim no roteiro de produto revelado pelos sinalizadores de funcionalidade. KAIROS, mecanismos de anti-destilação—estes são detalhes estratégicos que os concorrentes já podem antecipar e responder atempadamente. O código pode ser reestruturado, mas um choque estratégico divulgado não pode ser recuperado.

VI. Lições profundas para a codificação de Agent

Este vazamento é um espelho que reflete alguns pontos centrais da engenharia atual de AI Agents:

1. Os limites das capacidades do Agent são, em grande medida, determinados pela “camada de framework”, e não pelo próprio modelo

A exposição de 500k linhas de código do Claude Code revela um facto com significado para toda a indústria: o mesmo modelo de base, quando acompanhado por diferentes estruturas de orquestração de ferramentas, mecanismos de gestão de memória e sistemas de permissões, produz Agents com capacidades completamente distintas. Isto significa que “quem tem o modelo mais forte” já não é o único fator de competição—“quem tem uma engenharia de framework mais refinada” torna-se igualmente crucial.

2. Autonomia de longo alcance é o próximo campo de batalha

A existência do processo guardião KAIROS indica que a próxima fase da competição na indústria se vai concentrar em “permitir que o Agent continue a funcionar de forma eficaz mesmo sem supervisão humana”. Integração de memória em segundo plano, migração de conhecimento entre sessões, raciocínio autónomo durante períodos de inatividade—uma vez que estas capacidades amadureçam, vão alterar de forma decisiva o modo básico de colaboração entre Agents e seres humanos.

3. Anti-destilação e proteção de propriedade intelectual tornar-se-ão a nova disciplina base da engenharia de IA

A Anthropic implementou o mecanismo de anti-destilação a nível de código, o que antecipa que um novo campo de engenharia está a ganhar forma: como impedir que os próprios sistemas de IA sejam usados pelos concorrentes para recolha de dados de treino. Isto não é apenas um problema técnico; vai evoluir para um novo campo de batalha de natureza jurídica e comercial.

4. A segurança da cadeia de abastecimento é o calcanhar de Aquiles das ferramentas de IA

Quando as ferramentas de programação em IA são distribuídas pelos próprios gestores de pacotes de software públicos, como o npm, elas enfrentam riscos de ataques à cadeia de abastecimento como qualquer outro software open source. A especificidade das ferramentas de IA é que, uma vez inserida uma backdoor, o atacante não obtém apenas permissão para executar código—obtém uma penetração profunda no fluxo completo de desenvolvimento.

5. Quanto mais complexo for o sistema, mais é necessária a guardas de publicação automatizadas

“Um .npmignore mal configurado ou o campo files em package.json pode expor tudo.” Para qualquer equipa a construir produtos de AI Agent, esta lição não exige um custo tão elevado para ser aprendida—deve passar a ser prática padrão introduzir revisões automatizadas do conteúdo a publicar na pipeline de CI/CD, e não ficar à espera de remendos depois de um desastre.

Epílogo

Hoje é 1 de abril de 2026, Dia das Mentiras. Mas isto não é uma brincadeira.

A Anthropic cometeu o mesmo erro duas vezes em treze meses. O código-fonte foi espelhado para todo o mundo, e os pedidos de eliminação DMCA não conseguem acompanhar a velocidade dos forks. O roteiro de produto que deveria estar escondido na rede interna é agora material de referência para todos.

Para a Anthropic, isto é uma lição dolorosa.

Para toda a indústria, é um momento inesperadamente transparente—que nos permite ver, linha a linha, como é construído atualmente o Agent de programação de IA mais avançado.