Acabei de ver uma novidade no grupo, a Anthropic voltou a vazar informações 😂

O pacote npm mais recente do Claude Code, v2.1.88, foi lançado ontem e alguém descobriu que o pacote continha um arquivo source map de 60MB. Quem entende do assunto sabe que, uma vez divulgado, isso equivale a entregar o código-fonte TypeScript diretamente.
Olhei os dados, a versão anterior, v2.1.87, tinha apenas 17MB, e esta versão disparou para 31MB, chegando a 60MB após descompactar. São 1906 arquivos fonte, organizados, incluindo API interna, sistema de telemetria, ferramentas de criptografia, comunicação IPC, tudo exposto claramente.
E o mais impressionante? Não é a primeira vez. Quando foi lançada pela primeira vez em fevereiro do ano passado, já vazou uma vez, e depois foi corrigido discretamente. Mas, um ano depois, o mesmo erro aconteceu novamente. Não sabemos se foi um estagiário que assumiu a culpa ou um bug no script de build, mas cometer esse erro duas vezes é realmente absurdo.
Alguém no GitHub já organizou o código fonte, o repositório ghuntley tem quase mil estrelas. Claro, o vazamento foi do código do cliente CLI, os pesos do modelo e os dados dos usuários não foram afetados, então não há risco direto para os usuários comuns.
Mas o mais interessante é que — uma empresa de IA que escreve suas próprias ferramentas de código acabou vazando seu próprio código. De certa forma, isso também contribui com um caso clássico para o setor de “Segurança em IA”.
Profissionais de auditoria na área podem dar uma olhada e ver se há algum “easter egg” escondido que ainda não foi descoberto.
Não me perguntem como vejo isso, só acho que essa situação abriu uma janela de auditoria gratuita para os white hats. Quanto à Anthropic, provavelmente precisam revisar bem o processo de CI/CD.
Não é conselho de investimento, é só uma observação. 🍉