#ClaudeCode500KCodeLeak

1 de abril de 2026, a Anthropic, a empresa de segurança de IA por trás da família de modelos Claude, expôs acidentalmente o código-fonte quase completo do seu produto principal de desenvolvimento, o Claude Code. O incidente não foi resultado de um ciberataque, de um insider malicioso ou de uma violação sofisticada. Foi um erro de embalagem. Um único ficheiro mal colocado enviado a um registo público, e em poucas horas, o mundo da IA estava a analisar meio milhão de linhas de código proprietário.

Como Aconteceu

Quando a Anthropic publicou a versão 2.1.88 do pacote @anthropic-ai/claude-code no registo público do npm, o processo de build inadvertidamente agrupou um ficheiro de mapa de origem JavaScript de 59,8 megabytes, especificamente cli.js.map, juntamente com o resto do pacote. Os ficheiros de mapa de origem são artefactos de depuração. Existem para ligar o código agrupado, minificado ou compilado ao código fonte original legível por humanos. São ferramentas estritamente internas e nunca devem ser enviados para utilizadores finais ou aparecer em registos públicos de pacotes.

O problema é que este ficheiro de mapa de origem em particular não apontava para código ofuscado ou compilado — referenciava ficheiros de origem TypeScript não ofuscados. Qualquer pessoa que descarregasse o pacote npm e soubesse trabalhar com mapas de origem poderia reconstruir a base de código TypeScript original numa forma legível e totalmente navegável. E foi exatamente isso que aconteceu.

Um investigador de segurança afiliado à Solayer Labs, a publicar sob o nome @Fried_rice no X, foi alegadamente o primeiro a identificar e desempacotar a exposição. Em pouco tempo, apareceu um repositório no GitHub hospedando o que foi apresentado como a fonte reconstruída — cerca de 512.000 linhas de código TypeScript distribuídas por aproximadamente 1.900 ficheiros. O repositório foi rapidamente forkado antes que a Anthropic pudesse responder.

O Que Estava Realmente Dentro

O vazamento não expôs os pesos do modelo subjacente do Claude, dados de treino ou credenciais de clientes. A Anthropic confirmou isto diretamente. Mas o que foi exposto foi, talvez, a coisa mais sensível a seguir: uma visão detalhada de como o Claude Code foi arquitetado, como processa a intenção do utilizador, como comunica com os modelos e o que estava a ser construído nos bastidores.

Vários achados circularam rapidamente entre desenvolvedores e investigadores que analisaram o código.

Foram encontradas referências a modelos não lançados ao longo do código. Os nomes Opus 4.7 e Sonnet 4.8 apareceram, assim como nomes de código internos Capybara e Mythos — este último já tinha sido parcialmente revelado dias antes através de um incidente separado, em que posts de blog não publicados e documentação foram inadvertidamente deixados acessíveis numa cache de dados pública. Os nomes Mythos e Capybara pareciam referir-se ao mesmo modelo que estava a ser preparado para lançamento, e o código vazado confirmou que a preparação do lançamento estava em andamento.

Uma funcionalidade descrita internamente como ultraplan foi descoberta no código. Parece ser um modo assíncrono multi-agente, desenhado para sessões de pesquisa mais longas, com janelas de conclusão estimadas entre dez e trinta minutos. A implicação é que o Claude Code estava a ser construído para coordenar múltiplas instâncias de agentes em tarefas prolongadas, uma capacidade arquitetural significativa que não tinha sido divulgada publicamente.

Houve também referências a algo chamado Kairos, descrito no código como um agente proativo sempre ligado, um processo de background que poderia iniciar ações sem solicitação explícita do utilizador. Além disso, uma funcionalidade chamada autoDream parecia ser um sistema de consolidação de memória, provavelmente destinado a ajudar o agente a reter contexto ou resumir automaticamente o história da sessão.

Talvez a descoberta mais inesperada tenha sido algo internamente nomeado como Buddy System, que parecia modelar uma forma de comportamento de companheiro de IA, completo com atributos que rastreavam níveis de caos e sarcasmo. Se isto era uma funcionalidade séria do produto ou um experimento interno, não está claro, mas chamou atenção significativa online.

No que diz respeito à segurança e telemetria, o código revelou que o Claude Code regista expressões específicas do utilizador, incluindo frases profanas como wtf e ffs, e as marca como is_negative na sua pipeline de análise. Mais estruturalmente importante foi a descoberta de que as medidas de segurança cibernética do Claude Code são implementadas como strings de prompt em texto simples, em vez de lógica codificada, o que significa que podem, em princípio, ser substituídas ou modificadas sem alterações profundas no sistema. A base de código também continha mais de 44 flags de funcionalidades, a maioria delas escondidas da documentação pública.

O código também mostrou que mais de 120 nomes de ferramentas de desenvolvimento estavam codificados para tratamento especial dentro do produto, sugerindo que o Claude Code tinha sido deliberadamente ajustado para reconhecer e interagir de forma diferente com integrações específicas.

Resposta da Comunidade e Forks

A comunidade de desenvolvedores agiu rapidamente. Horas após o repositório se tornar público, surgiram múltiplos projetos derivados.

Um fork, chamado OpenCode, foi desenhado para remover as dependências específicas do modelo Claude e substituí-las por um backend modular capaz de encaminhar pedidos para qualquer grande modelo de linguagem, incluindo GPT, Llama, entre outros. A intenção era usar os padrões arquiteturais do Claude Code enquanto tornava o sistema independente do modelo.

Outro fork, chamado free-code, foi ainda mais longe. Removeu a telemetria, desativou as camadas de segurança e ativou funcionalidades experimentais. Para evitar remoções por DMCA, foi distribuído via IPFS em vez de qualquer plataforma de hospedagem centralizada.

Ambos os forks levantaram questões legais imediatas. O código é propriedade intelectual proprietária. A redistribuição e o uso derivado sem licença constituem violação de direitos de autor na maioria das jurisdições. Alguns membros da comunidade apontaram que até analisar o código em detalhe poderia criar riscos legais dependendo das circunstâncias. Apesar disso, o código continuou a espalhar-se rapidamente.

Contexto e Incidentes Anteriores

O timing não poderia ter sido pior para a Anthropic. Apenas dias antes do incidente do mapa de origem, a empresa tinha sofrido uma exposição separada quando documentação não publicada e posts de blog sobre o modelo Mythos foram inadvertidamente deixados acessíveis numa cache de dados pública. Esse incidente foi embaraçoso. Este foi significativamente mais prejudicial em termos de propriedade intelectual.

A Anthropic está atualmente a operar com uma taxa de receita anualizada de cerca de 19 mil milhões de dólares em início de 2026, e o Claude Code foi especificamente citado como gerando uma receita recorrente anualizada estimada em 2,5 mil milhões de dólares — um valor que, alegadamente, mais que dobrou nos primeiros meses do ano. O produto é central para a trajetória comercial da empresa.

A ironia apontada por vários comentadores é que o próprio responsável pelo Claude Code na Anthropic tinha declarado publicamente no final de 2025 que 100% das suas contribuições recentes para o produto tinham sido escritas pelo Claude Code. A sugestão que emergiu da comunidade foi que o erro de embalagem responsável por incluir o ficheiro do mapa de origem pode ter sido resultado de processos automatizados de build a operar sem revisão humana suficiente — ou seja, um produto parcialmente moldado por IA pode ter sido desfeito pela mesma automação. Isto é especulativo e não confirmado, mas a narrativa teve impacto forte.

Uma revisão de código assistida por IA do código vazado, alegadamente realizada com GPT-5.4 e um modelo Claude de alto nível, retornou uma pontuação de 6,5 em 10, com a caracterização de algo como spaghetti consciente de desempenho — ou seja, o código mostrava sinais de otimização sob pressão e patches iterativos, em vez de um design de base limpo.

Resposta da Anthropic

Um porta-voz da Anthropic confirmou o incidente com uma declaração breve: hoje de manhã, uma versão do Claude Code incluía algum código fonte interno. A empresa afirmou que nenhum dado de cliente ou credenciais foram envolvidos ou expostos. A versão comprometida do pacote npm foi rapidamente retirada. Quando questionada se a empresa pretendia tomar ações legais contra quem publicou ou forkou os repositórios expostos, a Anthropic recusou-se a comentar além da sua declaração inicial.

Em início de abril de 2026, as notas de lançamento públicas ainda mostravam a versão 2.1.88 como a mais recente do Claude Code, e o caminho de distribuição npm estava listado na documentação como uma via de compatibilidade obsoleta, sugerindo que a empresa já estava a migrar para outros mecanismos de distribuição.

Implicações Mais Amplas

Este incidente situa-se na interseção de várias conversas em curso na indústria de IA.

Primeiro, destaca os riscos de distribuir ferramentas de desenvolvimento de IA através de registos públicos de pacotes sem pipelines de build reforçados. O ecossistema npm, em particular, tem uma longa história de exposições acidentais, mas a escala e sensibilidade deste vazamento são incomuns.

Segundo, levanta questões sobre como as empresas de IA equilibram velocidade com segurança. O Claude Code tinha crescido a uma velocidade excecional, e essa velocidade parece ter contribuído para um processo de build que não detectou um artefacto de depuração incluído numa versão pública.

Terceiro, a presença de funcionalidades escondidas, strings de segurança substituíveis e telemetria extensa no código vazado provavelmente intensificará o escrutínio sobre como as ferramentas de codificação de IA lidam com dados de utilizador e como as medidas de segurança são realmente implementadas a nível de engenharia, e não apenas a nível de política.

Quarto, o surgimento de forks destinados a remover telemetria e camadas de segurança — mesmo que legalmente questionáveis — demonstra que, uma vez expostas ferramentas proprietárias de IA neste nível, a capacidade prática de controlar o uso subsequente diminui rapidamente.

Para os concorrentes, o vazamento oferece uma visão rara e detalhada de um dos produtos de codificação de IA mais bem-sucedidos comercialmente já construídos. Para a Anthropic, o trabalho agora envolve não apenas corrigir um processo de build, mas avaliar que vantagem estratégica foi transferida permanentemente para o domínio público.