Vazamento do Código-Fonte do Claude Code: 512 Mil Linhas Expostas, Features Secretas e O Que Sua Empresa Precisa Saber

Um arquivo de 59,8 MB que não deveria existir acaba de expor o código-fonte completo do Claude Code — a ferramenta de programação com IA mais usada do mundo. São ~512.000 linhas de TypeScript, ~1.900 arquivos e dezenas de funcionalidades secretas que a Anthropic ainda não havia revelado. E tudo começou porque alguém esqueceu de adicionar uma linha no .npmignore.

Neste artigo, você vai entender exatamente o que aconteceu, o que o código vazado revela sobre o futuro das ferramentas de IA, quais são os riscos reais para empresas que usam o Claude Code, e — o mais importante — o que fazer agora para proteger seus projetos.

O Que Aconteceu: A Cronologia Completa

Na madrugada de 31 de março de 2026, Chaofan Shou, estagiário na Solayer Labs, publicou no X/Twitter a descoberta de algo incomum no pacote npm @anthropic-ai/claude-code versão 2.1.88: um arquivo .map de source map com quase 60 MB.

Source maps são arquivos de debug que mapeiam código minificado de volta ao código-fonte original. São essenciais durante o desenvolvimento — mas nunca deveriam ser publicados em produção.

A causa? O bundler Bun (usado pelo Claude Code) gera source maps por padrão. A equipe da Anthropic simplesmente esqueceu de adicionar *.map ao .npmignore. Um erro humano trivial com consequências monumentais.

Em poucas horas, o código inteiro foi espelhado em repositórios no GitHub — acumulando mais de 41.500 forks e milhares de estrelas. A internet não esquece, e o código agora é público de forma irreversível.

O Que Foi Revelado: Dentro das 512 Mil Linhas

O código exposto não é apenas a "interface" do Claude Code. É a arquitetura completa de um dos agentes de IA mais sofisticados do mercado. Vamos ao que importa:

44 Feature Flags — 20 Ainda Não Lançadas

O código revela 44 feature flags de compilação, sendo que 20 controlam funcionalidades que o público ainda não conhecia:

KAIROS — O Agente Que Nunca Dorme

A revelação mais significativa. KAIROS (do grego antigo, "no momento certo") é um modo daemon que transforma o Claude Code em um agente always-on. Mencionado mais de 154 vezes no código, ele inclui:

• autoDream: consolida memória do projeto enquanto o desenvolvedor está inativo
• Resolução de contradições: identifica inconsistências no entendimento do projeto
• Webhooks GitHub: assina eventos e reage automaticamente a push notifications
• Agentes cron-scheduled: tarefas agendadas que executam em intervalos definidos

Na prática, isso significa que a Anthropic está desenvolvendo um assistente de código que trabalha enquanto você dorme — organizando o projeto, resolvendo issues menores e preparando o terreno para a próxima sessão de trabalho.

Modo "Undercover" — A Revelação Mais Polêmica

O código revela que a Anthropic usa o Claude Code para contribuir anonimamente em projetos open-source públicos. O system prompt instrui literalmente:

"You are operating UNDERCOVER in a PUBLIC/OPEN-SOURCE repository. Your commit messages, PR titles, and PR bodies MUST NOT contain ANY Anthropic-internal information. Do not blow your cover."

A ironia de um sistema projetado para esconder informações internas existir no mesmo codebase que foi inteiramente vazado não passou despercebida pela comunidade.

Nomes Internos de Modelos

O código revela os codinomes internos da Anthropic para seus modelos de IA:

• Capybara = Claude 4.6 (variante)
• Fennec = Opus 4.6
• Numbat = Modelo em pré-lançamento/testes

Mais preocupante: comentários no código revelam uma taxa de false claims de 29-30% no Capybara v8 — uma regressão significativa comparada aos 16,7% da versão v4. Isso levanta questões sobre a gestão de qualidade em modelos de IA.

A Arquitetura Interna

O código mostra um sistema muito mais complexo do que o público imaginava:

• Entry point principal de 785KB (main.tsx) com renderizador React customizado para terminal
• ~40 ferramentas de agente (BashTool, FileReadTool, FileEditTool, AgentTool para sub-agentes)
• ~85 slash commands cobrindo Git workflows, code review e orquestração multi-agente
• Motor de chamadas LLM com streaming, tool-call loops, thinking mode e retry logic
• Sistema completo de permissões e fluxos de aprovação

Por Que Este Vazamento É Diferente (E Mais Perigoso)

Vazamentos de código acontecem. Mas este caso tem agravantes que o tornam particularmente sério:

1. Padrão de incidentes repetidos

Apenas 4 dias antes (27 de março), a Anthropic já havia vazado acidentalmente informações sobre um modelo em desenvolvimento chamado "Mythos". O vazamento do Claude Code é o segundo incidente em uma semana.

2. Source maps expõem mais que código

Diferente de um vazamento de código compilado, um source map restaura o código original e não-ofuscado — com comentários internos, nomes de variáveis significativos e lógica de negócio legível. É como ter acesso ao rascunho manuscrito, não ao livro impresso.

3. Superfície de ataque ampliada

Com a lógica interna exposta, pesquisadores de segurança (e atacantes) podem identificar vulnerabilidades com muito mais facilidade. Isso é especialmente preocupante considerando que o Claude Code já teve CVEs graves documentadas — incluindo execução remota de código (RCE) e roubo de chaves de API.

O Que a Anthropic Disse

A empresa emitiu uma declaração oficial confirmando o incidente:

"Earlier today, a Claude Code release included some internal source code. This was a release packaging issue caused by human error, not a security breach. No sensitive customer data or credentials were involved or exposed. We're rolling out measures to prevent this from happening again."

Ações tomadas pela Anthropic:

• Publicou atualização no npm removendo o source map
• Deletou versões anteriores afetadas do registro npm
• Designou o instalador nativo (curl -fsSL https://claude.ai/install.sh | bash) como método recomendado
• Recomendou que usuários desinstalem v2.1.88 e revertam para v2.1.86

Impacto Para Empresas: O Que Fazer Agora

Se sua empresa usa o Claude Code ou qualquer ferramenta de IA no pipeline de desenvolvimento, este vazamento é um alerta de segurança. Aqui está o que você precisa verificar:

Checklist imediato (próximas 24h)

• Verifique a versão: Se está usando Claude Code v2.1.88, desinstale imediatamente e reverta para v2.1.86
• Audite lockfiles: Procure por plain-crypto-js nos seus package-lock.json — indicador do ataque supply-chain ao axios
• Rotacione secrets: Se atualizou via npm entre 00:21 e 03:29 UTC do dia 31/03, rotacione todas as chaves de API e credenciais expostas à máquina
• Hardening: Configure CLAUDE_CODE_SUBPROCESS_ENV_SCRUB=1 para impedir que subprocessos herdem variáveis de ambiente sensíveis

Ações de médio prazo

• Política de ferramentas de IA: Defina quais ferramentas são aprovadas, como são atualizadas e quem monitora vulnerabilidades
• Auditoria de dependências: Implemente npm audit e ferramentas como Snyk ou Socket no seu CI/CD
• Isolamento: Execute ferramentas de IA em ambientes sandbox, separados de código proprietário e dados sensíveis
• Revisão de permissões: O Claude Code tem acesso ao shell, filesystem e rede. Avalie se esse nível de acesso é necessário para cada caso de uso

O Que Isso Revela Sobre o Futuro da IA

Além do drama do vazamento em si, o código exposto nos dá uma janela rara para onde a indústria de ferramentas de IA está indo:

Agentes autônomos são o próximo passo

O KAIROS não é um experimento. Com 154+ referências no código, infraestrutura de webhooks e sistema de memória persistente, está claro que o futuro do Claude Code é operar de forma autônoma — não apenas responder quando perguntado. Isso muda fundamentalmente como equipes de desenvolvimento vão trabalhar.

Multi-agent orchestration é o padrão

O COORDINATOR_MODE e o AgentTool (que permite ao Claude Code spawnar sub-agentes) mostram que a orquestração de múltiplos agentes trabalhando em paralelo é o modelo arquitetural que a Anthropic aposta. Não é um único assistente — é um time de agentes coordenados.

O dilema open-source vs. propriedade intelectual

O vazamento gerou um debate real: esse código deveria ser open-source desde o início? A comunidade já está construindo clones e forks. O projeto claw-code no GitHub está reescrevendo o código vazado em Rust. A linha entre "vazamento" e "open-sourcing acidental" nunca foi tão tênue.

Lições Para Qualquer Empresa de Software

Este incidente não é exclusivo da Anthropic. Qualquer empresa que publica pacotes npm — ou usa qualquer gerenciador de pacotes — está sujeita ao mesmo tipo de erro.

As lições são universais:

1. Automatize a verificação de artefatos de build. Se um npm pack --dry-run estivesse no CI, o source map seria detectado antes da publicação.
2. Use allowlists, não blocklists. Em vez de listar o que excluir (.npmignore), liste o que incluir ("files" no package.json). É mais seguro por padrão.
3. Trate o pipeline de publicação como superfície de ataque. Se o deploy para npm é um npm publish manual sem gates, é questão de tempo até algo vazar.
4. Monitore suas dependências. O ataque ao axios no mesmo dia mostra que supply-chain security precisa de monitoramento contínuo, não verificação pontual.
5. Assuma que código vai vazar. Não armazene secrets, credenciais ou informações sensíveis em código-fonte. Nunca.

Conclusão

O vazamento do Claude Code é, ao mesmo tempo, um acidente trivial e um evento histórico. Trivial porque a causa foi um .npmignore mal configurado. Histórico porque expôs a engenharia interna da ferramenta de IA de código mais usada do mundo — e mostrou que até empresas avaliadas em US$ 175 bilhões cometem erros básicos de pipeline.

Para empresas que usam ferramentas de IA no desenvolvimento, a mensagem é clara: confie, mas verifique. Audite suas dependências, isole suas ferramentas e tenha um plano de resposta para quando (não se) algo der errado.

O primeiro passo? Abra o terminal e rode npm ls @anthropic-ai/claude-code. Se aparecer a versão 2.1.88, você já sabe o que fazer.