Anthropic Acidentalmente Expõe Código-Fonte Completo do Claude CLI no npm
Em um incidente notável, a Anthropic divulgou acidentalmente o código-fonte completo de sua ferramenta de linha de comando (CLI) Claude Code dentro de um pacote npm público. Este erro resultou na exposição de aproximadamente 512.000 linhas de código Typescript para qualquer pessoa que estivesse atenta, oferecendo uma visão sem precedentes de sua arquitetura interna e recursos futuros.
A empresa confirmou o ocorrido em 31 de março de 2026, atribuindo-o a um erro humano durante o processo de empacotamento da versão. O incidente não envolveu uma violação de segurança ou acesso não autorizado; o arquivo simplesmente estava publicamente acessível.
Detalhes Técnicos do Incidente: Um Erro no Mapa de Código-Fonte
A raiz do problema foi a versão 2.1.88 do pacote @anthropic-ai/claude-code, que foi enviado com um arquivo de mapa de código-fonte Javascript de 59,8 MB. Este artefato de depuração, destinado a mapear o código de produção minificado de volta ao Typescript original, apontava diretamente para um arquivo zip acessível ao público, armazenado no próprio bucket Cloudflare R2 da Anthropic.
O pesquisador de segurança Chaofan Shou, da Fuzzland, identificou o problema e publicou o link direto do bucket no X. Em poucas horas, repositórios espelhados do código surgiram no GitHub, acumulando dezenas de milhares de estrelas antes que as remoções por DMCA da Anthropic pudessem ser aplicadas. Membros da comunidade rapidamente começaram a extrair dados de telemetria, ativar sinalizadores de recursos ocultos e desenvolver reimplementações em Python e Rust.
A causa principal foi identificada como uma configuração padrão do bundler Bun, que gera mapas de código-fonte. Nenhuma etapa de compilação excluiu ou desativou este artefato de depuração antes da publicação, e uma entrada ausente no arquivo .npmignore ou no campo files do package.json teria evitado a exposição.
O Que o Vazamento Expôs: Visão Aprofundada da Engenharia e Recursos Futuros
Os cerca de 1.900 arquivos Typescript vazados forneceram uma visão completa da engenharia por trás da ferramenta de codificação agentica da Anthropic. Os desenvolvedores encontraram detalhes sobre:
- Lógica de execução de ferramentas
- Esquemas de permissão
- Sistemas de memória
- Telemetria (incluindo verificação de prompts para palavrões, mas sem registrar conversas completas ou código do usuário)
- Prompts do sistema
- Sinalizadores de recursos
Entre as descobertas mais intrigantes estavam vários recursos ainda não lançados, ocultos por sinalizadores:
- KAIROS: Um daemon de fundo sempre ativo que monitora arquivos, registra eventos e executa um processo de consolidação de memória “sonhadora” durante o tempo ocioso.
- BUDDY: Um “animal de estimação” de terminal com 18 espécies (incluindo a capivara), que exibe estatísticas como DEBUGGING, PATIENCE e CHAOS.
- COORDINATOR MODE: Permite que um único agente gere e gerencie agentes de trabalho paralelos.
- ULTRAPLAN: Agenda sessões remotas de planejamento com múltiplos agentes, com duração de 10 a 30 minutos.
Um “modo secreto” também foi revelado, instruindo a IA a remover referências a codinomes internos e detalhes do projeto de commits do Git e pull requests.
A Resposta da Anthropic e um Padrão de Incidentes
A Anthropic afirmou que o incidente não envolveu dados confidenciais de clientes, credenciais, nem comprometimento dos pesos do modelo ou da infraestrutura de inferência. A empresa reiterou que se tratava de um “problema de empacotamento da versão causado por erro humano” e que está implementando medidas para evitar que isso se repita.
No entanto, este é o segundo incidente do tipo. Um vazamento de mapa de código-fonte quase idêntico ocorreu com uma versão anterior do Claude Code em fevereiro de 2025. Além disso, cinco dias antes, em 26 de março de 2026, uma configuração incorreta de CMS na Anthropic expôs cerca de 3.000 arquivos internos contendo detalhes sobre o modelo “Claude Mythos”, ainda não lançado, também atribuído a erro humano. Duas divulgações acidentais significativas em menos de uma semana levantam sérias questões sobre a higiene de lançamento e os processos internos de segurança da empresa.
Recomendações e Riscos Adicionais
O incidente de 31 de março ocorreu em paralelo a um ataque separado à cadeia de suprimentos do npm no pacote axios, ativo entre 00:21 e 03:29 UTC. Desenvolvedores que instalaram ou atualizaram o Claude Code via npm durante esse período são aconselhados a verificar suas dependências e atualizar suas credenciais. A Anthropic, por sua vez, recomenda o uso de seu instalador nativo em vez do npm daqui para frente.
As Implicações e o Futuro
Apesar das medidas de remoção ativas, o código-fonte vazado continua disponível em formatos arquivados e espelhados. Embora a Anthropic não tenha publicado uma análise pós-incidente mais abrangente ou uma declaração pública além de seu comentário inicial, a exposição do código-fonte torna consideravelmente mais fácil para concorrentes montarem alternativas ao Claude Code.
Este evento sublinha a importância de processos de empacotamento e revisão rigorosos, especialmente para empresas que desenvolvem e distribuem ferramentas de código em larga escala.
Perguntas Frequentes
- O vazamento do código-fonte do Claude Code foi um hack? Não. A Anthropic confirmou que a exposição foi um erro de empacotamento da versão, não uma violação de segurança ou acesso não autorizado.
- O que realmente foi exposto no vazamento do npm da Anthropic? Aproximadamente 512.000 linhas de TypeScript cobrindo a CLI do Claude Code, incluindo telemetria, sinalizadores de recursos, recursos ocultos e arquitetura de agentes. Não foram expostos pesos de modelos ou dados de clientes.
- Meus dados estão em risco devido ao incidente do Claude Code no npm? A Anthropic afirma que nenhum dado ou credencial de usuário foi exposto. No entanto, desenvolvedores que fizeram a instalação via npm durante a janela de ataque à cadeia de suprimentos do
axios(31 de março, 00:21-03:29 UTC) devem auditar suas dependências e atualizar suas credenciais. - A Anthropic já vazou código-fonte antes? Sim. Um vazamento de mapa de código-fonte quase idêntico envolvendo uma versão anterior do Claude Code ocorreu em fevereiro de 2025, tornando este o segundo incidente desse tipo em cerca de 13 meses. Além disso, um vazamento de CMS ocorreu dias antes, em 26 de março de 2026.