Fuga épica de 51,2 mil linhas do Claude Code, o código fonte, agora de código aberto

Autor: Yang Chen, Observações da Wall Street

A Anthropic sofreu um incidente de fuga de código que pode ser considerado o maior de que há registo na indústria. O código-fonte completo do Claude Code, devido a um erro básico ao nível da embalagem, ficou totalmente exposto. Mais de 510.000 linhas de código TypeScript, mais de 40 módulos de ferramentas e várias funcionalidades nucleares ainda não lançadas passam, assim, a “andar sem roupa” perante programadores de todo o mundo.

Foi um acidente e, ao mesmo tempo, um aviso. Embora esta fuga não tenha afetado os pesos do modelo central do Claude nem os dados dos utilizadores, revelou integralmente a lógica de arquitetura interna do Claude Code, o desenho das instruções do sistema e o mecanismo de chamadas às ferramentas, apresentando ainda várias funcionalidades não lançadas e potenciais lógicas de segurança ao olhar do público.

Insiders consideram que este evento irá reduzir de forma substancial o patamar de conhecimento exigido para a engenharia de AI Agents, acelerando a evolução competitiva do ecossistema de desenvolvimento de toda a comunidade.

Importa notar que isto não foi a primeira vez que a Anthropic cometeu um erro deste tipo. Em fevereiro de 2025, uma versão inicial do Claude Code da empresa já tinha sido exposta devido ao mesmo tipo de descuido com source map; desta vez, a fuga, além disso, intensificou as dúvidas do exterior sobre a maturidade da segurança da cadeia de fornecimento de software desta estrela da IA, cuja avaliação excede 18 mil milhões de dólares.

Um ficheiro .map, a detonar 510.000 linhas de código

O investigador de segurança blockchain Chaofan Shou, da Fuzzland, foi o primeiro a expor este incidente na X. No pacote de software npm oficial da Anthropic @anthropic-ai/claude-code, versão 2.1.88, foi incluído, por engano, um ficheiro cli.js.map de cerca de 60MB.

No ficheiro cli.js.map existem duas listas fundamentais: sources (uma lista de caminhos de ficheiro) e sourcesContent (o conteúdo completo do código-fonte correspondente). Os índices de ambas correspondem um-para-um. Isto significa que, para qualquer pessoa, basta descarregar este ficheiro JSON para conseguir extrair integralmente todo o código original, com um patamar de operação extremamente baixo.

De acordo com a análise, este ficheiro de source map contém, no total, conteúdos de 4756 ficheiros de origem, dos quais 1906 são ficheiros TypeScript/TSX do próprio Claude Code; os restantes 2850 são dependências de node_modules. O volume total de código ultrapassa 512.000 linhas.

Horas após a divulgação do incidente, o número de “stars” nos repositórios espelho no GitHub ultrapassou rapidamente 5000. A Anthropic removeu este source map do pacote npm. No entanto, versões iniciais do pacote npm já foram arquivadas por várias entidades, e o conteúdo relacionado continua a circular na comunidade de programadores.

O quadro completo da arquitetura é exposto pela primeira vez

O código-fonte após a reconstrução fornece ao exterior a visão mais completa até agora sobre a arquitetura do Claude Code.

O código mostra que o Claude Code utiliza React e o framework Ink para construir a interface terminal, executando-se no runtime Bun. O núcleo é um ciclo REPL, que suporta entrada em linguagem natural e comandos com barra (/), e a camada inferior interage com a LLM API através de um sistema de ferramentas.

Na camada das ferramentas, o código inclui mais de 40 módulos independentes, cobrindo leitura e escrita de ficheiros, execução de comandos Bash, integração do protocolo LSP e capacidade de geração de sub-agentes, formando um “kit de ferramentas universal” completo em funcionalidades.

Na camada de inferência, um ficheiro central chamado QueryEngine.ts tem um volume de código de até 46.000 linhas, sendo responsável por todo o trabalho de processamento da lógica de inferência, contagem de tokens e do ciclo de “cadeia de pensamento”.

Na camada de múltiplos agentes, no código vazado surgem módulos como coordinator (coordenador de múltiplos agentes) e também bridge; este último encarrega-se de ligar VS Code e IDEs populares como JetBrains, mostrando que o Claude Code já possui capacidade de engenharia para colaboração multi-máquina e integração profunda no ambiente de desenvolvimento.

Funcionalidades não lançadas surgem inesperadamente

Entre as funcionalidades mais em destaque nesta fuga estão várias que nunca foram publicadas.

O modo com o codinome Kairos é, provavelmente, o item mais chamativo. O código mostra que se trata de um processo autónomo de vigilância com ciclo de vida persistente, com suporte para sessões em segundo plano e integração de memórias. Isto significa que o Claude pode funcionar como um agente de IA residente em segundo plano, continuando a tratar tarefas e acumulando uma compreensão do projeto.

Existe também um conjunto de sistema de “animais de estimação eletrónicos” embutido no código chamado “Buddy System”, incluindo 18 espécies, níveis de raridade, variantes brilhantes (glow) e estatísticas de atributos — um desenho que claramente provém da brincadeira dos engenheiros da Anthropic, existindo lado a lado no repositório com a arquitetura central.

Na conceção de modos, o código revela ainda o “Coordinator Mode” (modo do coordenador), que permite ao Claude despachar agentes subordinados para execução em paralelo, e o “Auto Mode”, um classificador de IA capaz de aprovar automaticamente permissões de ferramentas, com o objetivo de simplificar o fluxo de confirmação de operações.

Além disso, uma funcionalidade chamada “Undercover Mode” (modo encoberto) gerou controvérsia — segundo a descrição no código, quando os funcionários da Anthropic realizam operações em repositórios públicos, este modo ativa-se automaticamente, apagando indícios relacionados com IA nos registos de submissão e não podendo ser desligado manualmente.

Riscos de segurança e alerta da cadeia de fornecimento

Investigadores de segurança apontam que, embora esta fuga não envolva diretamente pesos do modelo nem dados de privacidade dos utilizadores, os riscos potenciais não podem ser ignorados.

De acordo com reportes, o conteúdo vazado expôs integralmente a lógica interna de segurança e poderá revelar vetores de ataque como falsificação de pedidos no lado do servidor (SSRF), fornecendo um ponto de entrada para futuras pesquisas de segurança. A comunidade de código aberto já começou a explorar versões fork com base no código vazado e a tentar combiná-las com outras frameworks de agentes.

No contexto da indústria, o npm é o maior repositório de pacotes JavaScript do mundo, processando milhões de downloads por dia. Este tipo de falha na embalagem indica às empresas que, ao perseguirem o ritmo de lançamentos rápidos, devem reforçar mecanismos de revisão de ficheiros de origem nas cadeias de CI/CD.

O aviso direto para todos os programadores que publicam pacotes npm é: antes de publicar, é imprescindível verificar se o ficheiro .map foi incluído nos artefactos publicados. Um único campo sourcesContent basta para revelar o código-fonte completo ao público.

O ecossistema de Agents pode estar a caminho de um ponto de viragem acelerado

Ao analisar o impacto na indústria, o significado deste incidente pode ir além do próprio acidente técnico.

A solução completa de implementação de ponta para AI Agents foi divulgada inesperadamente, o que irá reduzir significativamente as barreiras de conhecimento neste domínio. Os programadores conseguem aprender e beneficiar diretamente a partir do desenho da arquitetura do Claude Code, da lógica das instruções e do mecanismo de chamadas às ferramentas, encurtando o ciclo de exploração de desenvolvimento independente.

Em simultâneo, o incidente também confirma, de forma inesperada, a acumulação técnica da Anthropic na direção da engenharia de Agents — quer sejam os mecanismos de coordenação de múltiplos agentes, quer o desenho de processos de vigilância em segundo plano persistentes, ambos evidenciam uma profundidade de engenharia que ultrapassa produtos semelhantes.

O Claude Code, como ferramenta de extensão do ecossistema da Anthropic, é principalmente dirigido a programadores profissionais e concorre com assistentes de codificação com IA como GitHub Copilot e Cursor. Resta saber se a divulgação do código-fonte, num cenário em que a pressão competitiva se agrava, irá, inversamente, acelerar a inovação coletiva da indústria na arquitetura de AI Agents; a comunidade está a acompanhar de perto as respostas subsequentes.