Claude Code código fonte vazado: o efeito borboleta desencadeado por um arquivo .map

Escrita: Claude

I. Origem

Na madrugada de 31 de Março de 2026, uma publicação no X (tweet) desencadeou uma grande onda de choque na comunidade de programadores.

Chaofan Shou, um estagiário de uma empresa de segurança de blockchain, descobriu que o pacote npm oficial da Anthropic incluía um ficheiro de source map, expondo o código-fonte completo do Claude Code ao público. De imediato, ele divulgou essa descoberta no X e anexou uma ligação direta para transferência.

Este post rebentou na comunidade de programadores como um sinal luminoso. Em poucas horas, mais de 512k linhas de código TypeScript foram espelhadas para o GitHub e foram analisadas em tempo real por milhares de programadores.

Esta é a segunda grande ocorrência de fuga de informação na Anthropic em menos de uma semana.

Apenas cinco dias antes (26 de Março), um erro de configuração do CMS da Anthropic levou à divulgação de cerca de 3.000 ficheiros internos, incluindo rascunhos de artigos do blogue previstos para lançamento do modelo “Claude Mythos”.

II. Como é que a fuga aconteceu?

A causa técnica deste incidente é, na verdade, quase ridícula — a causa de base foi um ficheiro de source map incluído de forma errada no pacote npm (.map).

Este tipo de ficheiro é usado para mapear o código de produção comprimido e ofuscado de volta para o código-fonte original, facilitando a localização do número de linha do erro durante a depuração. E, dentro desse ficheiro .map, existe uma ligação que aponta para um pacote .zip no armazenamento Cloudflare R2 da própria Anthropic.

Shou e outros programadores descarregaram diretamente esse pacote zip, sem qualquer meio de hacker. O ficheiro estava simplesmente lá, totalmente público.

A versão envolvida foi a v2.1.88 do @anthropic-ai/claude-code, que vinha acompanhada por um ficheiro de source map em JavaScript com 59,8MB.

Na resposta a uma declaração do The Register, a Anthropic reconheceu: “Uma versão anterior do Claude Code também sofreu uma fuga semelhante do código-fonte em Fevereiro de 2025.” Isto significa que o mesmo erro ocorreu duas vezes em 13 meses.

Ironicamente, o Claude Code tem um sistema interno chamado “Undercover Mode (modo encoberto)”, desenhado especificamente para impedir que códigos internos da Anthropic vazarão inadvertidamente para os registos de submissão no git… e, depois, o engenheiro empacotou o código-fonte inteiro dentro de um .map.

Um outro impulsionador do incidente poderá ter sido a própria toolchain: no fim de 2026, a Anthropic adquiriu a Bun, e o Claude Code foi construído precisamente com base na Bun. Em 11 de Março de 2026, alguém apresentou um relatório de bug no sistema de acompanhamento de issues da Bun (#28001), assinalando que, em modo de produção, a Bun continua a gerar e a emitir source map, contrariando a afirmação dos documentos oficiais. Este issue continua aberto até hoje.

Quanto a isso, a resposta oficial da Anthropic foi curta e contida: “Nenhum dado do utilizador ou credenciais foi envolvido ou vazado. Isto foi um erro humano no processo de publicação e empacotamento, não uma vulnerabilidade de segurança. Estamos a avançar com medidas para impedir que eventos como este voltem a acontecer.”

III. O que foi vazado?

Dimensão do código

O conteúdo desta fuga abrange cerca de 1.900 ficheiros e mais de 500k linhas de código. Não são pesos do modelo, mas sim toda a implementação de “camada de software” do Claude Code — incluindo o framework de chamada de ferramentas, orquestração de múltiplos agentes, sistema de permissões, sistema de memória e outras arquitecturas nucleares.

Roadmap de funcionalidades não lançadas

Esta é a parte com maior valor estratégico da fuga.

Processo de guarda autónoma KAIROS: este código-função referido mais de 150 vezes provém do grego antigo por “a altura certa”, representando a mudança fundamental do Claude Code para um “Agent em segundo plano permanente”. A KAIROS inclui um processo chamado autoDream, que executa “integração de memória” quando o utilizador está em inactividade — juntando observações fragmentadas, eliminando contradições lógicas e consolidando percepções vagas em factos determinísticos. Quando o utilizador regressa, o contexto do Agent já está limpo e altamente relevante.

Códigos internos do modelo e dados de desempenho: o conteúdo vazado confirma que Capybara é o código interno de uma variante do Claude 4.6; Fennec corresponde ao Opus 4.6; e o Numbat, ainda não lançado, continua em testes. Comentários no código também expõem que o Capybara v8 tem uma taxa de 29-30% de afirmações falsas, o que é uma regressão face aos 16,7% do v4.

Mecanismo de anti-distilação (Anti-Distillation): existe um sinalizador de funcionalidade chamado ANTI_DISTILLATION_CC no código. Quando activado, o Claude Code injecta definições falsas de ferramentas nas requests de API, com o objectivo de poluir os dados de tráfego de API que os concorrentes poderão usar para treino de modelos.

Lista de funcionalidades Beta de API: o ficheiro constants/betas.ts revela todas as funcionalidades beta de negociação de API entre o Claude Code e a API, incluindo uma janela de contexto de 1 milhão de tokens (context-1m-2025-08-07), o modo AFK (afk-mode-2026-01-31), gestão de orçamentos de tarefas (task-budgets-2026-03-13) e várias outras capacidades ainda não divulgadas.

Sistema de parceiros virtuais tipo Pokémon embutido: o código esconde até um sistema completo de parceiros virtuais (Buddy), incluindo raridade de espécies, variantes brilhantes, atributos gerados de forma procedural, e uma “descrição de alma” escrita por Claude durante a primeira incubação. Os tipos de parceiros são determinados por um gerador determinístico de números pseudo-aleatórios baseado no hash do ID do utilizador; o mesmo utilizador recebe sempre o mesmo parceiro.

IV. Ataques concorrentes à cadeia de fornecimento

Este incidente não ocorreu isoladamente. Na mesma janela temporal em que houve fuga do código-fonte, o pacote axios na npm sofreu um ataque independente à cadeia de fornecimento.

Entre 00:21 e 03:29 UTC de 31 de Março de 2026, se alguém instalasse ou actualizasse o Claude Code via npm, poderia inadvertidamente introduzir uma versão maliciosa contendo um trojan de acesso remoto (RAT) (axios 1.14.1 ou 0.30.4).

A Anthropic recomendou aos programadores afectados que considerassem o host totalmente comprometido, rodassem (recambiassem) todas as chaves e reinstalassem o sistema operativo.

A sobreposição temporal destas duas ocorrências torna a situação ainda mais caótica e perigosa.

V. Impacto na indústria

Dano directo para a Anthropic

Para uma empresa com receitas anuais a rondar 19.000 milhões de dólares, em fase de crescimento acelerado, esta fuga não foi apenas uma falha de segurança — foi uma sangria estratégica de propriedade intelectual.

Pelo menos parte das capacidades do Claude Code não provém do modelo de linguagem grande subjacente em si, mas sim do “framework” de software construído à volta do modelo — ele orienta como o modelo deve usar ferramentas e fornece protecções e instruções importantes para normalizar o comportamento do modelo.

Essas protecções e instruções são agora visíveis com clareza para os concorrentes.

Aviso para todo o ecossistema de ferramentas de AI Agent

Esta fuga não vai afundar a Anthropic, mas fornece a todos os concorrentes um manual de engenharia gratuito — como construir um AI programming Agent de nível de produção, e quais direcções de ferramentas merecem investimento prioritário.

O verdadeiro valor do conteúdo vazado não está no código em si, mas sim no roadmap de produto revelado pelos sinais de funcionalidade. KAIROS, o mecanismo de anti-distilação — estes são detalhes estratégicos que os concorrentes agora conseguem antecipar e reagir primeiro. O código pode ser reestruturado, mas um choque estratégico uma vez vazado não pode ser retirado.

VI. Implicações profundas para o Agent Coding

Esta fuga é um espelho, reflectindo alguns dos enunciados centrais da engenharia actual de AI Agents:

1. Os limites de capacidade do Agent são em grande medida determinados pela “camada de framework”, e não pelo modelo em si

A exposição das 500k linhas de código do Claude Code revela um facto relevante para toda a indústria: com o mesmo modelo subjacente, acompanhado por diferentes frameworks de orquestração de ferramentas, mecanismos de gestão de memória e sistemas de permissões, obtêm-se capacidades de Agent completamente distintas. Isto significa que “quem tem o modelo mais forte” já não é a dimensão competitiva única — “quem tem a engenharia do framework mais refinada” também se torna igualmente crucial.

2. A autonomia de longo alcance é o próximo campo de batalha central

A existência do processo de guarda KAIROS indica que, no próximo passo, a competição do sector se vai concentrar em “fazer com que o Agent continue a funcionar eficazmente sem supervisão humana”. A integração de memória em segundo plano, migração de conhecimento entre sessões e raciocínio autónomo durante períodos de ociosidade — quando estas capacidades amadurecerem, irão mudar completamente o modo básico de colaboração entre Agent e humanos.

3. Anti-distilação e protecção de propriedade intelectual tornar-se-ão novos temas base de engenharia de IA

A Anthropic implementou um mecanismo de anti-distilação ao nível do código, o que antecipa que um novo campo de engenharia está a ganhar forma: como impedir que os sistemas de IA próprios sejam usados por concorrentes para recolha de dados de treino. Isto não será apenas um problema técnico; evoluirá para um novo campo de batalha de leis e disputas comerciais.

4. A segurança da cadeia de fornecimento é o calcanhar de Aquiles das ferramentas de IA

Quando ferramentas de programação de IA são distribuídas através de gestores de pacotes públicos como o npm, tal como acontece com outros softwares open source, passam a estar expostas ao risco de ataques à cadeia de fornecimento. E a particularidade das ferramentas de IA reside no facto de que, uma vez injectadas com backdoors, o atacante não obtém apenas permissão para execução de código — obtém uma penetração profunda no fluxo de trabalho completo do desenvolvimento.

5. Quanto mais complexos os sistemas, mais necessária é a automação de guardas de publicação

“Um .npmignore mal configurado ou o campo files num package.json pode expor tudo.” Para qualquer equipa que construa produtos de AI Agent, esta lição não exige um custo tão elevado para ser aprendida — introduzir revisões automáticas do conteúdo a publicar nas pipelines de CI/CD deve tornar-se prática padrão, e não um remendo depois de se perder o gado.

Epílogo

Hoje é 1 de Abril de 2026, Dia das Mentiras. Mas isto não é brincadeira.

A Anthropic cometeu o mesmo erro duas vezes em treze meses. O código-fonte já foi espelhado por todo o mundo; os pedidos de remoção DMCA não conseguem acompanhar a velocidade dos forks. Esse roadmap de produto que deveria estar guardado em rede interna é agora uma referência para toda a gente.

Para a Anthropic, isto é uma lição dolorosa.

Para toda a indústria, é um momento acidental de transparência — que nos permite ver como é que os AI programming Agents mais avançados de hoje são construídos, linha a linha.