Vazamento do código-fonte da Anthropic 2026: a CLI do Claude Code exposta através de um erro de mapa de origem no npm

A Anthropic enviou acidentalmente o código-fonte completo da sua CLI Claude Code numa embalagem pública do npm, expondo aproximadamente 512.000 linhas de TypeScript a qualquer pessoa que prestasse atenção.

O vazamento do npm da Claude Code revela funcionalidades não lançadas, incluindo KAIROS, BUDDY e enxames de agentes

A empresa confirmou o incidente a 31 de março de 2026, falando com a Venture Beat, atribuindo-o a um erro humano no processo de embalagem do lançamento. A versão 2.1.88 de @anthropic-ai/claude-code foi distribuída com um ficheiro de source map de 59,8 MB em Javascript. Basicamente, um artefacto de depuração que mapeava o código de produção minificado de volta para o TypeScript original, o que apontava diretamente para um arquivo zip publicamente acessível alojado no próprio armazenamento Cloudflare R2 da Anthropic.

Ninguém teve de fazer hacking. O ficheiro estava simplesmente lá.

O investigador de segurança Chaofan Shou, um estagiário da empresa de segurança blockchain Fuzzland, detetou o problema e publicou a ligação direta do bucket no X. Em poucas horas, apareceram repositórios espelhados no Github, alguns a acumularem dezenas de milhares de estrelas antes de as remoções por DMCA da Anthropic atingirem. Os membros da comunidade já tinham começado a remover telemetria, a alternar sinalizadores de funcionalidades ocultas e a redigir reimplementações em clean-room em Python e Rust para contornar preocupações de direitos de autor.

A causa raiz foi simples: o empacotador do Bun gera source maps por omissão, e nenhum passo de build excluiu ou desativou o artefacto de depuração antes de publicar. Uma entrada em falta em .npmignore ou no campo files em package.json teria evitado todo o sucedido.

O que os programadores encontraram foi detalhado. Os ~1.900 ficheiros de TypeScript cobriam a lógica de execução de ferramentas, esquemas de permissões, sistemas de memória, telemetria, prompts do sistema e sinalizadores de funcionalidades — uma visão completa de como a Anthropic constrói uma ferramenta de codificação agentica de nível de produção. A telemetria analisa prompts em busca de palavrões como um sinal de frustração, mas não regista conversas completas dos utilizadores nem código. Um “modo encoberto” instrui a IA a remover referências a nomes de código internos e detalhes do projeto de commits git e pull requests.

Várias funcionalidades não lançadas estavam por detrás de sinalizadores. KAIROS é descrito como um daemon em segundo plano sempre ativo que vigia ficheiros, regista eventos e executa um processo de consolidação de memória “de sonho” durante os períodos de inatividade. BUDDY é um animal de estimação terminal com 18 espécies — incluindo capivara — transportando estatísticas como DEBUGGING, PATIENCE e CHAOS. COORDINATOR MODE permite que um único agente gere e gerira agentes trabalhadores em paralelo. ULTRAPLAN agenda sessões remotas de planeamento multi-agente com duração de 10 a 30 minutos.

A Anthropic disse à Venture Beat que o incidente não envolveu dados sensíveis de clientes, credenciais, nem comprometeu pesos do modelo ou a infraestrutura de inferência. “Isto foi um problema de embalagem do lançamento causado por erro humano”, disse a empresa, acrescentando que está a implementar medidas para evitar uma repetição.

Essas medidas poderão ter de avançar rapidamente. Este é o segundo caso em que o mesmo erro aconteceu. Um vazamento de source-map quase idêntico ocorreu com uma versão anterior do Claude Code em fevereiro de 2025.

O incidente de 31 de março também aconteceu ao lado de um ataque separado à cadeia de fornecimento do npm ao pacote axios, ativo entre 00:21 e 03:29 UTC. Aos programadores que instalaram ou atualizaram a Claude Code via npm durante essa janela é aconselhado que auditem as suas dependências e rodem (rotate) as credenciais. A Anthropic recomenda o seu instalador nativo em vez do npm no futuro.

O contexto importa aqui. Cinco dias antes, a 26 de março, uma configuração incorreta num CMS na Anthropic expôs cerca de 3.000 ficheiros internos cobrindo detalhes sobre o não lançado modelo “Claude Mythos”, também atribuído a erro humano. Dois descuidos significativos em menos de uma semana levantam questões sobre higiene de lançamentos numa empresa cujas ferramentas são usadas ativamente para escrever e enviar código à escala.

O código-fonte vazado continua disponível em formas arquivadas e espelhadas apesar do cumprimento ativo das remoções. A Anthropic não publicou uma análise pós-mortem mais ampla nem uma declaração pública para além do seu comentário à Venture Beat.

Não foi exposta informação de utilizadores. Os modelos principais Claude estão inalterados. O blueprint para construir um concorrente ao Claude Code, no entanto, tornou-se agora consideravelmente mais fácil de reunir.

FAQ 🔎

• P: O vazamento do código-fonte da Claude Code foi um hack? Não — a Anthropic confirmou que a exposição foi um erro de empacotamento, não uma violação de segurança nem um acesso não autorizado.
• P: O que foi exposto, afinal, no vazamento do npm da Anthropic? Aproximadamente 512.000 linhas de TypeScript a abranger a CLI da Claude Code, incluindo telemetria, sinalizadores de funcionalidades, funcionalidades ocultas e arquitetura de agentes — não pesos do modelo nem dados de clientes.
• P: Os meus dados correm risco com o incidente do npm da Claude Code? A Anthropic diz que não foram expostos dados de utilizadores nem credenciais; os programadores que instalaram via npm durante a janela do ataque simultâneo à cadeia de fornecimento do axios devem auditar as dependências e rodar as credenciais.
• P: A Anthropic já vazou código-fonte antes? Sim — ocorreu em fevereiro de 2025 um vazamento de source-map quase idêntico envolvendo uma versão anterior do Claude Code, tornando este o segundo incidente desse tipo em cerca de 13 meses.