Claude Code código fonte vazado: o efeito borboleta desencadeado por um arquivo .map

Escrito por: Claude

1. Génese

Na madrugada de 31 de março de 2026, um tweet numa comunidade de programadores desencadeou um grande alvoroço.

Chaofan Shou, um estagiário de uma empresa de segurança de blockchain, descobriu que o pacote npm oficial da Anthropic vinha acompanhado de um ficheiro de source map, expondo o código-fonte completo do Claude Code ao público. De imediato, ele tornou esta descoberta pública no X e anexou uma ligação direta para download.

A publicação rebentou na comunidade de programadores como um sinal luminoso. Em poucas horas, mais de 512k linhas de código TypeScript foram espelhadas para o GitHub e milhares de programadores as analisaram em tempo real.

Esta é a segunda grande ocorrência de fuga de informação na Anthropic em menos de uma semana.

Cerca de cinco dias antes (26 de março), um erro de configuração no CMS da Anthropic fez com que cerca de 3.000 ficheiros internos ficassem expostos, incluindo rascunhos de posts no blog com as ideias do modelo “Claude Mythos”, prestes a ser lançado.

2. Como é que a fuga aconteceu?

As razões técnicas deste incidente são, no mínimo, surpreendentes — a causa raiz foi um source map (.map) incluído por engano no pacote npm.

Este tipo de ficheiro tem como finalidade mapear o código de produção comprimido e ofuscado de volta para o código-fonte original, para facilitar a localização de linhas de erro durante a depuração. E, nesse .map, existe uma ligação que aponta para um pacote zip armazenado num bucket de armazenamento Cloudflare R2 da própria Anthropic.

Shou e outros programadores descarregaram diretamente esse pacote zip, sem recorrer a quaisquer meios de hacker. O ficheiro estava lá, completamente público.

A versão problemática era a v2.1.88 de @anthropic-ai/claude-code, que vinha com um ficheiro de JavaScript source map de 59,8 MB.

Na resposta a uma declaração do The Register, a Anthropic reconheceu: “Uma versão anterior do Claude Code teve também uma fuga semelhante do código-fonte em fevereiro de 2025.” Isto significa que o mesmo erro aconteceu duas vezes em 13 meses.

O mais irónico é que o Claude Code tem um sistema interno chamado “Undercover Mode (Modo Disfarçado)”, desenhado especificamente para impedir que códigos internos da Anthropic sejam acidentalmente revelados nos registos de commits do git… e depois os engenheiros empacotaram o código-fonte inteiro dentro de um ficheiro .map.

Outro possível impulsionador do incidente pode ser a própria cadeia de ferramentas: no final do ano, a Anthropic adquiriu a Bun, e o Claude Code foi precisamente construído com base na Bun. Em 11 de março de 2026, alguém submeteu um relatório de bug no sistema de acompanhamento de issues da Bun (#28001), apontando que a Bun, em modo de produção, continua a gerar e a emitir source maps, em contradição com o que diz a documentação oficial. Esta issue ainda está aberta até hoje.

Quanto a isso, a resposta oficial da Anthropic foi breve e contida: “Não houve envolvimento nem fuga de dados ou credenciais de utilizadores. Foi um erro humano num processo de empacotamento e lançamento, não uma vulnerabilidade de segurança. Estamos a avançar com medidas para impedir que eventos deste tipo voltem a acontecer.”

3. O que foi exposto?

Dimensão do código

O conteúdo desta fuga abrange cerca de 1.900 ficheiros e mais de 500k linhas de código. Isto não são pesos do modelo, mas sim a implementação de toda a “camada de software” do Claude Code — incluindo o enquadramento do framework para chamadas de ferramentas, orquestração multi-agente, sistema de permissões, sistema de memória e outras arquiteturas centrais.

Roteiro de funcionalidades não lançadas

Esta é a parte de maior valor estratégico da fuga.

Processo autónomo de guarda KAIROS: este código de funcionalidade, mencionado mais de 150 vezes, provém do grego antigo por “oportunidade certa”, representando uma mudança fundamental do Claude Code para um “Agent em segundo plano residente”. O KAIROS inclui um processo chamado autoDream, que executa “integração de memórias” quando o utilizador está ocupado — ou seja, funde observações fragmentadas, elimina contradições lógicas e transforma perceções vagas em factos determinísticos. Quando o utilizador regressa, o contexto do Agent já está limpo e altamente relevante.

Códigos internos de modelos e dados de desempenho: o conteúdo exposto confirma que Capybara é um código interno da variante do Claude 4.6; Fennec corresponde ao Opus 4.6; e o ainda não lançado Numbat continua em testes. Nos comentários do código, também foi revelada uma taxa de 29-30% de afirmações falsas do Capybara v8, o que representa uma regressão face aos 16,7% da v4.

Mecanismo de anti-distilação (Anti-Distillation): no código existe um sinalizador de funcionalidade chamado ANTI_DISTILLATION_CC. Quando ativado, o Claude Code injeta definições falsas de ferramentas nas requisições de API, com o objetivo de contaminar os dados de tráfego de API que os concorrentes poderiam usar para recolha de dados de treino do modelo.

Lista de funcionalidades Beta de API: o ficheiro constants/betas.ts revela todas as funcionalidades beta que o Claude Code negocia com a API, incluindo uma janela de contexto de 1 milhão de tokens (context-1m-2025-08-07), modo AFK (afk-mode-2026-01-31), gestão de orçamento de tarefas (task-budgets-2026-03-13) e uma série de capacidades ainda não divulgadas.

Sistema interno de parceiros virtuais “tipo Pokémon”: mesmo no código existe escondido um sistema completo de parceiros virtuais (Buddy), incluindo raridade de espécies, variantes brilhantes, atributos gerados por procedimentos, e a “descrição da alma” escrita pelo Claude durante a primeira incubação. As categorias dos parceiros são determinadas por um gerador de números pseudoaleatórios determinístico baseado no hash do ID do utilizador; o mesmo utilizador recebe sempre o mesmo parceiro.

4. Ataques de cadeia de fornecimento em simultâneo

Este evento não ocorreu isoladamente. Na mesma janela temporal em que o código-fonte foi exposto, o pacote axios no npm sofreu um ataque independente à cadeia de fornecimento.

Entre 00:21 e 03:29 UTC de 31 de março de 2026, caso alguém tenha instalado ou atualizado o Claude Code via npm, poderia inadvertidamente introduzir uma versão maliciosa (axios 1.14.1 ou 0.30.4) que continha um Trojan de acesso remoto (RAT).

A Anthropic recomendou que os programadores afetados tratassem os hosts como totalmente comprometidos, rodassem todas as chaves e reinstalassem o sistema operativo.

A sobreposição temporal destas duas ocorrências tornou o cenário ainda mais confuso e perigoso.

5. Impacto na indústria

Dano direto para a Anthropic

Para uma empresa com uma receita anualizada de 19 mil milhões de dólares, em fase de crescimento acelerado, esta fuga não é apenas uma falha de segurança — é uma drenagem estratégica de propriedade intelectual.

Pelo menos parte das capacidades do Claude Code não provém do modelo de grande linguagem subjacente em si, mas sim de “frameworks” de software construídos em torno do modelo — isto orienta como o modelo usa ferramentas e fornece guardrails e instruções importantes para规范izar o comportamento do modelo.

Esses guardrails e instruções estão agora perfeitamente visíveis para os concorrentes.

Aviso para o ecossistema completo de ferramentas de AI Agent

Esta fuga não vai afundar a Anthropic, mas fornece a todos os seus concorrentes um manual de engenharia gratuito — como construir um Agent de programação de IA a nível de produção, e quais direções de ferramentas valem a pena receber um investimento prioritário.

O verdadeiro valor do conteúdo exposto não está no código em si, mas sim no roteiro do produto revelado por sinalizadores de funcionalidades. KAIROS, mecanismo de anti-distilação — estes são pormenores estratégicos que os concorrentes já conseguem antecipar e reagir de imediato. O código pode ser reestruturado, mas uma surpresa estratégica, uma vez revelada, não pode ser recuperada.

6. Revelações profundas para o Agent Coding

Esta fuga é um espelho, refletindo alguns dos postulados centrais da engenharia atual de AI Agents:

1. Os limites das capacidades do Agent dependem em grande medida da “camada de framework”, e não do próprio modelo

A exposição de 500k linhas de código do Claude Code revela um facto relevante para toda a indústria: o mesmo modelo base, quando acompanhado por diferentes frameworks de orquestração de ferramentas, mecanismos de gestão de memória e sistemas de permissões, produz capacidades de Agent completamente distintas. Isto significa que a dimensão de competição “quem tem o modelo mais forte” já não é a única — “quem tem engenharia de framework mais apurada” também é crucial.

2. Autonomia de longo alcance é o próximo campo de batalha central

A existência do processo guardião KAIROS mostra que a próxima etapa de competição na indústria se vai concentrar em “fazer com que o Agent continue a trabalhar de forma eficaz mesmo sem supervisão”. Integração de memória em segundo plano, migração de conhecimento entre sessões e raciocínio autónomo durante períodos de inatividade — quando estas capacidades amadurecerem, vão alterar completamente o padrão básico da colaboração entre Agent e humanos.

3. Anti-distilação e proteção de propriedade intelectual tornar-se-ão novas disciplinas base da engenharia de IA

A Anthropic implementou mecanismos de anti-distilação a nível de código, o que prefigura que um novo domínio de engenharia está a tomar forma: como impedir que o próprio sistema de IA seja usado por concorrentes para recolha de dados de treino. Isto não é apenas um problema técnico; também evoluirá para um novo campo de batalha de natureza jurídica e comercial.

4. A segurança da cadeia de fornecimento é o calcanhar de Aquiles das ferramentas de IA

Quando as ferramentas de programação de IA são distribuídas pelos próprios gestores de pacotes de software públicos como o npm, elas enfrentam o risco de ataques à cadeia de fornecimento, tal como acontece com outros softwares de código aberto. A especificidade das ferramentas de IA é que, uma vez implantado um backdoor, o atacante não obtém apenas autorização para execução de código, mas sim uma penetração profunda no fluxo completo de desenvolvimento.

5. Quanto mais complexo for um sistema, mais precisa de guardas automáticos na publicação

“Uma .npmignore mal configurada ou o campo files em package.json podem expor tudo.” Para qualquer equipa a construir produtos de AI Agent, esta lição não precisa de ser aprendida com um custo tão elevado — introduzir auditorias automáticas ao conteúdo publicado no pipeline CI/CD deve tornar-se prática padrão, e não apenas uma medida de remediação depois de se perder o controlo.

Epílogo

Hoje é 1 de abril de 2026, dia das mentiras. Mas isto não é uma brincadeira.

Em 13 meses, a Anthropic cometeu o mesmo erro duas vezes. O código-fonte já foi espelhado para todo o mundo, e as solicitações de eliminação DMCA não acompanham a velocidade dos forks. O roteiro de produto que deveria estar escondido na rede interna é agora uma referência para toda a gente.

Para a Anthropic, isto é uma lição dolorosa.

Para toda a indústria, é um momento inesperadamente transparente — que nos permite ver como, na realidade, os AI Agents de programação de IA mais avançados do momento são construídos, linha a linha.