Vazamento do código-fonte completo do pacote npm da ferramenta de programação com IA da Anthropic, o Claude Code

Notícias do Gate News: a 31 de março, o estagiário investigador da empresa de segurança blockchain Fuzzland, Chaofan Shou, indicou no X que o pacote npm da ferramenta de programação em IA Claude Code, da Anthropic, inclui um ficheiro de source map completo (cli.js.map, cerca de 60MB), do qual é possível reconstituir todo o código-fonte TypeScript. Confirmado: a versão mais recente v2.1.88 publicada hoje continua a conter esse ficheiro; este inclui o código completo de 1.906 ficheiros-fonte próprios do Claude Code, cobrindo detalhes de implementação como o desenho das APIs internas, o sistema de telemetria de análise, ferramentas de criptografia, protocolos de comunicação entre processos, entre outros. O source map é um ficheiro de depuração utilizado no desenvolvimento JavaScript para mapear o código comprimido de volta para o código-fonte original; não deve aparecer em pacotes de produção. Em fevereiro de 2025, uma versão inicial do Claude Code já tinha sido exposta por causa do mesmo problema: na altura, a Anthropic removeu a versão antiga do npm e apagou o source map, mas o problema acabou por voltar a surgir. No GitHub já existem vários repositórios públicos que extraíram e organizaram o código-fonte reconstituído, e o ghuntley/claude-code-source-code-deobfuscation obteve quase mil estrelas. O que foi divulgado é o código da implementação cliente da ferramenta Claude Code CLI; não envolve pesos do modelo nem dados de utilizadores, pelo que não constitui um risco de segurança direto para utilizadores comuns. No entanto, a exposição contínua do código-fonte completo significa que a arquitetura interna, os mecanismos de segurança e a lógica de telemetria ficam totalmente transparentes ao exterior.